《网络设备安全概述课件.ppt》由会员分享,可在线阅读,更多相关《网络设备安全概述课件.ppt(43页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、1网络设备安全2网络与信息安全从业人员培训网络与信息安全从业人员培训目录目录1.1网络基础1.2典型网络设备1.3网络设备安全3网络与信息安全从业人员培训网络与信息安全从业人员培训网络安全问题网络安全问题事发的5月18日22时左右,域名解析服务器DNSPod主站及多个DNS服务器遭受超过10G流量的恶意攻击,导致DNSPod的6台解析服务器开始失效,大量网站开始间歇性无法访问。从2009年5月19日21:06开始,江苏、安徽、广西、海南、甘肃、浙江等6个省份的中国电信网络用户发现无法登录网络,与此同时,电信的客服部门源源不断地开始接到客户的投诉。5月20日下午,根据工业和信息化部通信保障局发布
2、的公告,确认该事件原因是暴风网站域名解析系统受到网络攻击出现故障,导致电信运营企业的递归域名解析服务器收到大量异常请求而引发拥塞。4网络与信息安全从业人员培训网络与信息安全从业人员培训网络为何如此脆弱?如何保障网络的安全?51.1网络基础6网络与信息安全从业人员培训网络与信息安全从业人员培训1.1.1 网络的概念网络的概念计算机网络是通过通信线路通信线路和通信设备通信设备将多个具有独立功能的计算机系统计算机系统连接起来,按照网络通信协议网络通信协议实现资资源共享源共享和信息传递信息传递的系统。7网络与信息安全从业人员培训网络与信息安全从业人员培训1.1.2 通信协议的概念通信协议的概念通信协议
3、是为使计算机之间能够正确通信,而制定的通信规则、约定和标准。在开始通信之前需要确定的事情:通信的发送方、接收方一致的通信方法相同的语言注意传递的速度和时间证实或确认要求8网络与信息安全从业人员培训网络与信息安全从业人员培训语义语义发送方、接收方发送方、接收方语法语法双方一致同意的通信方法双方一致同意的通信方法通信语言和语法通信语言和语法时序时序传递的速度和时间证实或确认要求通信协议通信协议9网络与信息安全从业人员培训网络与信息安全从业人员培训网络通信协议的问题:计算机间通信仅靠一个一个通信协议无法完成!解决方法:网络分层各层内使用自己的通信协议完成层内通信;各层间通过接口提供服务;各层可以采用
4、最适合的技术来实现;各层内部的变化不影响其他层。10网络与信息安全从业人员培训网络与信息安全从业人员培训定义传输介质、信号波形(电压、电流)等,实现比特流传输。定义差错控制、流量控制机制如何在通信网络间选择路由端到端可靠数据传输建立维护通信双方的会话连接信息表示方法(数据格式)为应用提供网络通信服务1.1.3 网络体系结构网络体系结构11网络与信息安全从业人员培训网络与信息安全从业人员培训按照TCP/IP模型搭建计算机网络时,在计算机上需要安装配置的组件。3.计算机上安装的网卡(或者其它通信接口)、网线。2.计算机上的TCP/IP通信程序,一般随操作系统安装,但需要用户配置用于网络路由的地址。
5、1.计算机上的网络应用程序,例如IE浏览器、QQ程序这是计算机使用TCP/IP模型进行通信的标志12网络与信息安全从业人员培训网络与信息安全从业人员培训AH1.1.4 TCP/IP网络中数据传输过程网络中数据传输过程计算机A计算机B电子邮件数据AHAHAH数据段数据包数据帧比特流封装/重组131.2典型网络设备14网络与信息安全从业人员培训网络与信息安全从业人员培训使用TCP/IP模型通信的网络设备路由器企业级的二层交换机桌面二层交换机15网络与信息安全从业人员培训网络与信息安全从业人员培训计算机A计算机B计算机A计算机B计算机A与计算机B之间通信的数据传输过程16网络与信息安全从业人员培训网
6、络与信息安全从业人员培训1.2.1 交换机交换机交换机可以将LAN细分为多个单独的冲突域,其每个端口都代表一个单独的冲突域,为该端口连接的节点提供完全的介质带宽。17网络与信息安全从业人员培训网络与信息安全从业人员培训交换机的工作原理选择性转发18网络与信息安全从业人员培训网络与信息安全从业人员培训以太网LAN交换机采用五种基本操作来实现其用途:获取过期泛洪选择性转发过滤119网络与信息安全从业人员培训网络与信息安全从业人员培训交换机的分类交换机的分类按是否可配置分类20网络与信息安全从业人员培训网络与信息安全从业人员培训按端口速率分类10Mbps、100Mbps、1000Mbps按是否可物理
7、扩展分类21网络与信息安全从业人员培训网络与信息安全从业人员培训按转发方式分类22网络与信息安全从业人员培训网络与信息安全从业人员培训按照工作层次分类:二层交换机三层交换机23网络与信息安全从业人员培训网络与信息安全从业人员培训VLAN的概念的概念3rd Floor2nd Floor1st Floor计算机系计算机系邮政系邮政系金融系金融系A VLAN=A Broadcast Domain=Logical Network(Subnet)24网络与信息安全从业人员培训网络与信息安全从业人员培训VLAN10VLAN20VLAN30物理拓扑物理拓扑逻辑拓扑(逻辑拓扑(3台交换机)台交换机)三个广播域
8、三个广播域一个广播域一个广播域25网络与信息安全从业人员培训网络与信息安全从业人员培训1.2.2 路由器路由器路由器是专门用于路由的计算机为数据报文选择到达目的地址的最佳路径将数据报文转发到正确的输出端口26网络与信息安全从业人员培训网络与信息安全从业人员培训路由器工作在网络层,实现不同网段之间的通信。27网络与信息安全从业人员培训网络与信息安全从业人员培训路由器核心:路由表目的地址、子网掩码下一跳地址、输出端口注意:路由器的路由描述方式是局部的RTB#showiproute-outputomitted-10.0.0.0/24issubnetted,1subnetsR10.1.1.0120/1
9、via11.1.1.1,00:00:25,Serial0/111.0.0.0/24issubnetted,1subnetsC11.1.1.0isdirectlyconnected,Serial0/112.0.0.0/24issubnetted,1subnetsC12.1.1.0isdirectlyconnected,Serial0/013.0.0.0/24issubnetted,1subnetsO13.1.1.0110/65via12.1.1.2,00:00:13,Serial0/028网络与信息安全从业人员培训网络与信息安全从业人员培训RTBdisplayiprouting-tableRou
10、tingTables:PublicDestinations:10Routes:10Destination/MaskProtoPreCostNextHopInterface10.1.1.0/24RIP100111.1.1.1S2/011.1.1.0/24Direct0011.1.1.2S2/011.1.1.1/32Direct0011.1.1.1S2/011.1.1.2/32Direct00127.0.0.1InLoop012.1.1.0/24Direct0012.1.1.1S1/012.1.1.1/32Direct00127.0.0.1InLoop012.1.1.2/32Direct0012.
11、1.1.2S1/013.1.1.0/24OSPF10156312.1.1.2S1/0127.0.0.0/8Direct00127.0.0.1InLoop0127.0.0.1/32Direct00127.0.0.1InLoop029网络与信息安全从业人员培训网络与信息安全从业人员培训路由器和三层交换机的比较路由器和三层交换机的比较第3层交换机可以像专用路由器一样在不同的LAN网段之间路由数据包。专用路由器在支持WAN接口卡(WIC)方面更加灵活,这使得它成为用于连接WAN的首选设备,而且有时是唯一的选择。第3层交换机不能完全取代网络中的路由器。30网络与信息安全从业人员培训网络与信息安全从业人员
12、培训1.2.3 典型网络拓扑结构典型网络拓扑结构31网络与信息安全从业人员培训网络与信息安全从业人员培训在汇聚层交换机上进行VLAN的创建,并在接入层交换机上通过将接入端口指定到相应的VLAN中来按部门划分广播域,由汇聚层交换机实现其下的接入层各VLAN之间的路由。在汇聚层交换机和核心层交换机之间运行动态路由选择协议,由核心层交换机实现整个局域网的路由。对于带宽需求较高的部分,在接入层交换机和汇聚层交换机之间进行链路聚合。对网络可用性要求较高的部分,进行设备和链路的冗余,保障可用性的同时,通过负载均衡提高网络通信效率。321.3网络设备安全33网络与信息安全从业人员培训网络与信息安全从业人员培
13、训1.3.1 网络设备自身安全保障网络设备自身安全保障禁止不必要的网络服务禁止HTTP服务禁止DNS服务禁止IP源路由选择禁止ICMP重定向禁止ARP代理服务禁止直接广播禁止CDP禁止SNMP协议服务34网络与信息安全从业人员培训网络与信息安全从业人员培训关闭不使用的接口或端口使用SSH代替Telnet进行设备远程访问管理严格控制远程访问用户的权限对于远程访问进行严格的限制交换机管理VLAN与业务VLAN相独立35网络与信息安全从业人员培训网络与信息安全从业人员培训1.3.2 交换机数据安全交换机数据安全静态配置端口类型,避免DTP协商导致的VLAN跳跃攻击对于Trunk链路,明确配置其能传输
14、的VLAN数据。对于CISCO交换机,尽量不要使用VTP协议功能。36网络与信息安全从业人员培训网络与信息安全从业人员培训1.3.3 路由协议安全路由协议安全RIP协议安全配置抑制接口配置MD5认证OSPF协议安全配置MD5认证37网络与信息安全从业人员培训网络与信息安全从业人员培训1.3.4 局域网安全局域网安全AAA认证Authentication:认证,对访问网络的用户的身份进行认证,判断访问者是否为合法的用户;Authorization:授权,为认证通过的不同用户赋予不同的权限,限制用户可以访问的资源和使用的服务;Accounting:计费,用来记录用户的操作和使用的网络资源,包括使用
15、的服务类型、起始时间和数据流量等,在计费的同时对网络安全情况进行监控。38网络与信息安全从业人员培训网络与信息安全从业人员培训IEEE802.1x技术在以太网接入设备的端口一级对所接入的设备进行认证和控制。在应用了IEEE802.1x的交换机端口上,如果该端口连接的终端设备能够通过认证,就可以访问网络中的资源;而如果不能通过认证,则无法访问网络中的资源。39网络与信息安全从业人员培训网络与信息安全从业人员培训端口安全技术基于MAC地址对网络接入进行控制的安全机制,它通过定义各种端口安全模式,让网络设备的端口学习到该端口下的合法的终端MAC地址;通过检测端口收到的数据帧中的源MAC地址来控制非授
16、权设备对网络的访问;通过检测从端口发出的数据帧中的目的MAC地址地址来控制对非授权设备的访问。端口安全模式noRestrictions模式autolearn模式secure模式40网络与信息安全从业人员培训网络与信息安全从业人员培训端口绑定技术将用户的IP地址和MAC地址绑定到指定的交换机端口上,使交换机只对从相应端口收到的指定IP地址和指定MAC地址的数据报文进行转发,从而实现对端口转发的报文进行过滤控制,增强端口的安全性,实现IP源防护(IPSourceGuard,IPSG)功能。交换机上支持IP、MAC、IP+MAC、IP+VLAN、MAC+VLAN、IP+MAC+VLAN等六种绑定表项
17、的组合,因此它既支持IP+MAC的绑定,也支持单独只绑定IP地址或单独只绑定MAC地址。41网络与信息安全从业人员培训网络与信息安全从业人员培训DHCPSnooping技术保证客户端从合法的DHCP服务器获取IP地址。将连接DHCP服务器的端口指定为信任端口,而将其它的端口指定为不信任端口来保证客户端从合法的DHCP服务器获取IP地址。在不信任端口上配置DHCP报文限速功能来防范基于DHCP请求的DoS攻击。监听DHCP报文,记录客户端的IP地址与MAC地址。监听DHCP-REQUEST报文和从信任端口上收到的DHCP-ACK报文,记录客户端的MAC地址以及动态获得的IP地址,并将其保存到DH
18、CPSnooping绑定表中。通过读取DHCPSnooping绑定表中表项的内容可以生成动态端口绑定表项,从而实现动态IP地址与端口的绑定。42网络与信息安全从业人员培训网络与信息安全从业人员培训终端准入控制(EnduserAdmissionDomination,EAD)39、把生活中的每一天,都当作生命中的最后一天。40、机不可失,时不再来。41、就算全世界都否定我,还有我自己相信我。42、不为模糊不清的未来担忧,只为清清楚楚的现在努力。43、付出才会杰出。44、成功不是凭梦想和希望,而是凭努力和实践。45、成功这件事,自己才是老板!46、暗自伤心,不如立即行动。47、勤奋是你生命的密码,能
19、译出你一部壮丽的史诗。48、随随便便浪费的时间,再也不能赢回来。49、不要轻易用过去来衡量生活的幸与不幸!每个人的生命都是可以绽放美丽的,只要你珍惜。50、给自己定目标,一年,两年,五年,也许你出生不如别人好,通过努力,往往可以改变%的命运。破罐子破摔只能和懦弱做朋友。51、当眼泪流尽的时候,留下的应该是坚强。52、上天完全是为了坚强你的意志,才在道路上设下重重的障碍。53、没有播种,何来收获;没有辛苦,何来成功;没有磨难,何来荣耀;没有挫折,何来辉煌。54、只要路是对的,就不怕路远。55、生命对某些人来说是美丽的,这些人的一生都为某个目标而奋斗。56、浪花总是着扬帆者的路开放的。74、失败是
20、什么?没有什么,只是更走近成功一步;成功是什么?就是走过了所有通向失败的路,只剩下一条路,那就是成功的路。75、要改变命运,首先改变自己。76、我们若已接受最坏的,就再没有什么损失。77、在生活中,我跌倒过。我在嘲笑声中站起来,虽然衣服脏了,但那是暂时的,它可以洗净。78、没有压力的生活就会空虚;没有压力的青春就会枯萎;没有压力的生命就会黯淡。79、人生就像一杯没有加糖的咖啡,喝起来是苦涩的,回味起来却有久久不会退去的余香。80、最困难的时候,就是距离成功不远了。81、知道自己要干什么,夜深人静,问问自己,将来的打算,并朝着那个方向去实现。而不是无所事事和做一些无谓的事。82、出路出路,走出去
21、了,总是会有路的。困难苦难,困在家里就是难。83、人生最大的喜悦是每个人都说你做不到,你却完成它了!84、勇士搏出惊涛骇流而不沉沦,懦夫在风平浪静也会溺水。85、生活不是林黛玉,不会因为忧伤而风情万种。86、唯有行动才能改造命运。87、即使行动导致错误,却也带来了学习与成长;不行动则是停滞与萎缩。88、光说不干,事事落空;又说又干,马到成功。89、对于每一个不利条件,都会存在与之相对应的有利条件。90、人的潜能是一座无法估量的丰富的矿藏,只等着我们去挖掘。91、要成功,不要与马赛跑,要骑在马上,马上成功。2、虚心使人进步,骄傲使人落后。3、谦虚是学习的朋友,自满是学习的敌人。4、若要精,人前听。5、喜欢吹嘘的人犹如一面大鼓,响声大腹中空。6、强中更有强中手,莫向人前自夸口。7、请教别人不折本,舌头打个滚。8、人唯虚,始能知人。满招损,谦受益。满必溢,骄必败。