.,賈鐵軍沈學東蘇慶剛等編著機械工業出版社,.,本章要點網絡協議安全網絡安全層次體系安全服務與安全機制虛擬專用網VPN技術無線局域網安全常用的網絡命令,.,教學目標了解網絡協議安全理解網絡安全層次體系理解安全服務與安全機制掌握虛擬專用網VPN技術掌握無線局域網安全掌握常用的網絡命令,.,2.1網絡協議安全概述2.1.1網絡協議安全分析1.物理層安全物理層安全威脅主要指網絡周邊環境和物理特性引起的網絡設備和線路的不可用而造成的網絡系統的不可用。2.網絡層安全網絡層的安全威脅主要有兩類：IP欺騙和ICMP(因特網控制信息協議)攻擊。3.傳輸層安全傳輸層主要包括傳輸控制協議TCP和用戶數據報協議UDP。TCP是一個面向連接的協議，用于多數的互聯網服務，保證數據的可靠性。,.,4.應用層及網絡應用安全應用層安全問題可以分解成網絡層、操作系統、數據庫的安全問題.需要重點解決的特殊應用系統的安全問題主要包括：Telnet、FTP、SMTP、DNS、NFS（實現主機間文件系統的共享）、BOOTP（用于無盤主機的啟動）、RPC（實現遠程主機的程序運行）、SNMP（簡單網絡管理的協議）等，都存在一定的安全隱患和威脅。,.,2.1.2典型的網絡安全協議1.IPSec安全協議因特網安全協議IPSec(InternetProtocolSecurity)是一組安全IP協議集，是在IP包級為IP業務提供保護的安全協議標準，其基本目的就是把密碼學的安全機制引入IP協議，通過使用現代密碼學方法支持保密和認證服務，使用戶能有選擇地使用，并得到所期望的安全服務。2.SSL協議SSL協議由SSL記錄協議和SSL握手協議兩層組成，其主要優點是：SSL協議獨立于應用層，是在傳輸層和應用層之間實現加密傳輸的應用最廣泛的協議。,.,2.2網絡安全體系結構2.2.1開放式系統互連參考模型OSI/RM開放系統互連參考模型7層協議的主要功能如表所示,.,2.2.1開放式系統互連參考模型,.,2.2.2Internet網絡體系層次結構Internet現在使用的協議是TCP/IP協議。TCP/IP協議是一個四層結構的協議族，這四層協議分別是：物理網絡接口層協議、網際層協議、傳輸層協議和應用層協議。TCP/IP組的4層協議與OSI參考模型7層協議和常用協議的對應關系如下圖所示。,.,2.2.3網絡安全層次特征體系為了更好地理解網絡安全層次特征體系，也可以將計算機網絡安全看成一個由多個安全單元組成的集合。,.,2.3安全服務與安全機制2.3.1安全服務的基本類型1.對象認證安全服務2.訪問控制安全服務3.數據保密性安全服務4.數據完整性安全服務5.防抵賴安全服務,.,2.3.2支持安全服務的基本機制網絡信息安全機制（Securitymechanisms）定義了實現網絡信息安全服務的技術措施，包括所使用的可能方法，主要就是利用密碼算法對重要而敏感的數據進行處理。安全機制是安全服務乃至整個網絡信息安全系統的核心和關鍵。安全機制可以分為兩類：一類是與安全服務有關，它們被用來實現安全服務；另一類與管理功能有關，它們被用于加強對安全系統的管理。,.,為了實施安全服務功能，ISO對信息系統安全體系結構制定的開放系統互聯(OSI)基本參考模型ISO7498提出了8類安全機制，作為網絡信息安全的基本機制。1.加密機制2.數字簽名機制3.訪問控制機制4.數據完整性機制5.鑒別交換機制6.通信業務填充機制7.路由控制機制8.公證機制,.,2.3.3安全服務和安全機制的關系(1)安全服務和安全機制的對應關系可以體現在很多方面，具體關系如表所示。,.,2.3.3安全服務和安全機制的關系(2)安全服務和安全機制的對應關系可以體現在很多方面，具體關系如表所示（續前）。,.,2.4虛擬專用網VPN技術虛擬專用網(VirtualPrivateNetwork，簡稱VPN)是利用公共數據網或專用局域網構建的，以特殊設計的硬件和軟件，直接通過共享的IP網絡所建立的隧道完成的虛擬專用網絡。通過VPN可以實現遠程網絡之間安全、點對點的連接。,.,2.4.1VPN的組成及特點1.VPN的組成及類型VPN可以理解成虛擬的企業內部專用網絡。VPN的核心就是在利用公共網絡建立虛擬專用網。一個VPN連接由客戶機、隧道和服務器3部分組成。一般按照VPN的服務類型分為3種類型：（1）遠程訪問虛擬網AccessVPN（2）企業內部虛擬網IntranetVPN（3）企業擴展虛擬網ExtranetVPN。,.,2.VPN的結構及特點(1)VPN可以通過特殊的加密通信協議為連接在Internet上位于不同地方的兩個或多個企業內部網之間建立一條專有的通信線路，如同架設了一條專線一樣，但是它并不需要真正的去鋪設光纜之類的物理線路。在實際應用中，用戶需要一個高效、成功的VPN具有4個特點：（1）安全保障（2）服務質量（QoS）保證（3）可擴充性和靈活性。（4）可管理性,.,2.VPN的結構及特點(2)VPN的結構如下圖所示。,.,2.4.2VPN主要安全技術（1）由于VPN傳輸的是安全程度要求較高的專用信息，所以VPN用戶對數據的安全性都很重視。目前，VPN主要采用隧道技術、加解密技術、密鑰管理技術、用戶身份認證技術、安全工具與客戶端管理5項技術來保證安全。,.,2.4.2VPN主要安全技術（2）當一個客戶端使用一個VPN隧道時，數據通信保持加密狀態直到它到達VPN網關，此網關位于無線訪問點之后，如圖所示。,.,2.4.3IPSec概述1.IPSec協議簇IPSec定義了一種標準的、健壯的和包容廣泛的機制，利用IPSec可以為IP以及上層協議（如TCP或者UDP）提供安全保證。IPSec的目標是為IPv4和IPv6提供具有較強的互操作能力、高質量和基于密碼的安全功能，在IP層實現多種安全服務，包括訪問控制、數據完整性、機密性等。,.,2.IPSec的實現方式和實施(1)IPSec的實現方式有兩種：傳輸模式和隧道模式，都可用于保護通信。(1)傳輸模式用于兩臺主機之間，保護傳輸層協議頭，實現端到端的安全性。如圖所示。,.,2.IPSec的實現方式和實施(2)(2)隧道模式用于主機與路由器或兩部路由器之間，保護整個IP數據包。如圖所示。IPSec可在終端主機、網關/路由器或者兩者中同時進行實施和配置。,.,2.5無線局域網安全2.5.1無線網絡安全概述1.無線網絡的安全問題無線網絡的數據傳輸是利用微波進行輻射傳播，因此，只要在AccessPoint(AP)覆蓋的范圍內，所有的無線終端都可以接收到無線信號，AP無法將無線信號定向到一個特定的接收設備，因此，無線的安全保密問題就顯得尤為突出。,.,2.無線安全基本技術(1)訪問控制(2)數據加密(3)新一代無線安全技術IEEE802.11i(4)TKIP(5)AES(6)端口訪問控制技術（IEEE802.1x）和可擴展認證協議（EAP）(7)WPA（WiFiProtectedAccess）規范,.,3.無線網絡安全隱患無線網絡選擇了通過特定的無線電波來傳送，在這個發射頻率的有效范圍內，任何具有合適接收設備的人都可以捕獲該頻率的信號，進而進入目標網絡，因此，更具有安全隱患和威脅。,.,2.5.2無線安全機制與策略1.無線安全機制(1)隱藏SSID(2)MAC地址過濾(3)WEP加密(4)AP隔離(5)802.1x協議(6)WPA(7)WPA2(8)802.11i,.,2.無線網絡的安全策略(1)制訂全面的安全策略(2)加密網絡數據(3)利用VPN技術(4)限制文件訪問(5)使用端點掃描技術(6)在WLAN中使用WPA或802.1x技術(7)加強測試(8)使用雙因素驗證(9)審查及監控結果(10)加強安全持之以恒,.,2.5.3無線網絡安全技術應用不同安全級別和典型場合的應用技術如表所示。,.,2.6常用的網絡命令2.6.1ping命令ping命令功能是通過發送ICMP包來檢驗與另一臺TCP/IP主機的IP級連接情況。網管員常用這個命令檢測網絡的連通性和可到達性。同時，應答消息的接收情況將和往返過程的次數一起顯示出來。如果只使用不帶參數的ping命令，窗口將會顯示命令及其各種參數使用的幫助信息。使用ping命令的語法格式是：ping對方計算機名或者IP地址,.,2.6.2ipconfig命令ipconfig命令功能是顯示所有TCP/IP網絡配置信息、刷新動態主機配置協議DHCP（DynamicHostConfigurationProtocol）和域名系統DNS設置。使用不帶參數的ipconfig可以顯示所有適配器的IP地址、子網掩碼和默認網關。利用“ipconfig/all命令”可以查看所有完整的TCP/IP配置信息。對于具有自動獲取IP地址的網卡，則可以利用“ipconfig/renew命令”更新DHCP的配置。,.,2.6.3netstat命令netstat命令的功能是顯示活動的連接、計算機監聽的端口、以太網統計信息、IP路由表、IPv4統計信息（IP、ICMP、TCP和UDP協議）。使用“netstat-an”命令可以查看目前活動的連接和開放的端口，是網絡管理員查看網絡是否被入侵的最簡單方法。,.,2.6.4net命令net命令的功能是查看計算機上的用戶列表、添加和刪除用戶、與對方計算機建立連接、啟動或者停止某網絡服務等。利用netuser查看計算機上的用戶列表，以“netuser用戶名密碼”給某用戶修改密碼。,.,2.6.5at命令At命令功能是在與對方建立信任連接以后，創建一個計劃任務，并設置執行時間。,.,本章小結本章作為“網絡安全基礎”，概述了網絡協議安全分析和網絡安全層次結構；分析了開放式系統互連參考模型、I