1、3、局域網安全(nqun)基礎技術1共三十四頁教學(jio xu)目標 介紹局域網的安全問題、安全技術(jsh)與措施，及動態VLAN和PVLAN技術(jsh)的使用分析WLAN的安全問題及技術監測及分析是發現安全問題的前提，介紹Wireshark數據包監測與分析軟件的應用通過學習，熟悉局域網的安全方面的相關知識，基本掌握數據包檢測與協議分析技術2共三十四頁要點(yodin)內容 局域網安全問題局域網安全技術數據包截取(jiq)與協議分析VLAN技術的安全應用WLAN安全問題與安全技術3共三十四頁能力(nngl)要求 掌握局域網安全基本(jbn)技術會使用Wireshark軟件分析協議基本掌握

2、VLAN的安全應用 能防范和應對WLAN安全問題了解局域網安全解決方案4共三十四頁3.1 局域網安全(nqun)問題作為Internet的重要組成單元，局域網的安全問題不僅損害局域網本身，也不可避免地對Internet產生影響局域網的安全性主要包括三個方面：局域網本身的安全性，以太網協議的問題，TCP/IP協議存在的缺陷(quxin)建設不規范帶來的安全隱患，來自內部的人為破壞，所用的媒體和設備所存在的問題；當局域網和Internet連接時，受到來自外界惡意的攻擊，局域網對不安全站點的訪問控制等 5共三十四頁局域網安全(nqun)風險 物理設施設備層次的安全(nqun)風險 網絡層次的安全風險

3、 應用層次的安全風險 管理層次的安全風險 6共三十四頁局域網安全(nqun)特性 局域網一般基于TCP/IP建設(jinsh)，其四層結構簡單，實現容易，實用性強。這是成功的關鍵，也帶來了安全隱患：數據容易被竊聽和截取 IP地址欺騙 缺乏足夠的安全策略 局域網配置的復雜性7共三十四頁3.2 局域網安全(nqun)技術物理安全技術：環境安全、設備安全、媒體安全系統安全技術：操作系統及數據庫系統的安全性網絡安全技術：網絡隔離、訪問控制、VPN、入侵檢測、掃描評估應用安全技術：E-mail安全、Web訪問安全、內容過濾、應用系統安全數據加密技術：硬件和軟件加密，實現身份認證和數據信息的CIA特性認證

4、授權技術：口令(kulng)認證、SSO認證（如Kerberos）、證書及其認證等訪問控制技術：防火墻、訪問控制列表等審計跟蹤技術：入侵檢測、日志審計、辨析取證防病毒技術：單機防病毒技術逐漸發展成整體防病毒體系災難恢復和備份技術：業務連續性技術，前提就是對數據的備份8共三十四頁3.2 局域網安全(nqun)技術訪問控制技術：包括入網(r wn)訪問控制網絡權限控制目錄級控制以及屬性控制 計算機病毒的預防和消除：正版、網絡版及時更新，內網服務 9共三十四頁3.2 局域網安全(nqun)技術-局域網安全措施 規劃網絡，針對重要基礎服務器、網管設備、特殊和普通用戶等劃分、設置(shzh)不同的網段，

5、并進行安全策略的配置，嚴格控制其訪問權限定期使用漏洞掃描工具對重要網段進行掃描，并生成掃描報告，用于安全提醒，作為整體信息安全評估的一項重要參考針對無線、有線上網設立有效的安全認證機制，建立切實有效的網絡接入認證服務10共三十四頁3.2 局域網安全(nqun)技術-局域網安全措施 采用網絡行為管理機制，采集流量信息分析，提取有用信息和數據，了解和控制不良信息和網絡行為建立安全門戶網站，用于安全信息的發布和宣傳建立完整的災難恢復(huf)和備份體系11共三十四頁3.2 局域網安全(nqun)技術-局域網安全措施 建立入侵檢測系統和預警機制設置專用的VPN設備(shbi)，專門用于網管、內部服務器

6、的管理等，關閉普通的遠程管理端口在邊界和重要區域部署防火墻系統，以一定的規模或重要性實現安全隔離，防止一個區域的安全問題傳播到其他區域 12共三十四頁3.2 局域網安全技術(jsh)-局域網安全管理 局域網的安全問題不能只局限于技術，更重要的還在于管理，“三分技術、七分管理”：主要任務是對網絡資源、網絡性能和網絡運行進行管理 安全管理要解決(jiju)組織、制度和人員三方面 13共三十四頁3.3 網絡監聽(jin tn)與協議分析協議分析儀（Protocol Analyser）是能夠捕獲并分析網絡報文的設備，基本功能是捕捉(bzhu)分析網絡的流量，以便找出所關心的網絡中潛在的問題工作原理：以

7、太網的通信是基于廣播方式的，這意味著在同一個網段的所有網絡接口都可以訪問到物理媒體上傳輸的數據，而每一個網絡接口都有一個唯一的硬件地址，即MAC地址 14共三十四頁3.3 網絡監聽與協議(xiy)分析通常一個網絡接口只接收兩種數據幀：與自己硬件地址相匹配的數據幀和廣播幀網卡通常有以下四種接收方式：廣播方式：接收網絡中的廣播信息組播方式：接收組播數據直接方式：只有目的(md)網卡才能接收該數據混雜模式：接收一切通過它的數據，而不管該數據是否是傳給它的15共三十四頁3.3 網絡(wnglu)監聽與協議分析基本用途兩個使用領域：商業類型的封包探嗅器通常被網管用于維護網絡，另一種就是地下類型的封包探嗅

8、器，用來入侵(rqn)他人計算機典型的主要用途包括以下幾種：網絡環境通信失效分析探測網絡環境的通信瓶頸將數據包信息轉換成人類易于辯讀的格式探測有無入侵者存在于網絡上，以防止其入侵從網絡中過濾及轉換有用的信息，如使用者名字及密碼網絡通信記錄，記錄下每一個通信的資料，用于了解入侵者入侵的路徑16共三十四頁協議(xiy)數據報結構 IPARPICMPIGMPTCPUDP17共三十四頁網絡(wnglu)監聽與數據分析 Wireshark常用功能 網絡管理員使用它捕獲并分析網絡流量，幫助解決網絡問題網絡安全工程師用它監控網絡活動，測試安全問題開發人員用它調試協議的實現(shxin)過程幫助學習網絡協議1

9、8共三十四頁網絡(wnglu)監聽與數據分析 -Wireshark界面(jimin)19共三十四頁網絡(wnglu)監聽與數據分析 -Wireshark設置捕獲條件：過濾器可以根據物理地址或IP地址和協議選擇進行組合篩選鏈路層捕獲，按源MAC和目的MAC地址進行捕獲，在過濾框中輸入eth.addr=00:19:21:f5:8c:bd，這樣截取(jiq)的報文就只與這個MAC地址有關IP層捕獲，按源IP地址和目的IP地址進行捕獲。在過濾框中輸入ip.addr= 0，則捕獲的只是有關此IP地址的報文，其他報文將被過濾掉20共三十四頁3.4 VLAN安全技術(jsh)與應用VLAN技術是一種通過將局

10、域網內的設備邏輯地而不是物理地劃分成一個個網段從而實現(shxin)虛擬工作組的安全技術VLAN在交換機上的實現方法可劃分為三類：基于端口劃分的VLAN基于MAC地址劃分VLAN基于網絡層劃分VLAN 21共三十四頁動態(dngti)VLAN及其配置 當由端口自己(zj)決定屬于哪個VLAN時，就形成了動態的VLAN。它是一個簡單的映射，這個映射取決于網絡管理員創建的數據庫，分配給動態VLAN的端口被激活后，交換機就緩存初始幀的源MAC地址 22共三十四頁動態(dngti)VLAN及其配置 VMPS數據庫配置文件，放置在TFTP服務器上，文件是一個(y )ASCII碼的文本文件 將一臺交換機配

11、置成VMPS服務器 將參與動態VLAN的交換機配置成VMPS客戶端23共三十四頁PVLAN及其配置(pizh) 私有(syu)VLAN24共三十四頁PVLAN及其配置(pizh) 所有服務器在同一個子網中，但服務器只能與自己的默認網關通信(tng xn)PVLAN的端口類型 25共三十四頁PVLAN及其配置(pizh) PVLAN的端口類型 隔離端口：端口彼此之間不能交換數據(shj)，只能與混雜端口通信，一般用作用戶的接入端口團體端口：可以互相通信，也可以與混雜端口通信，主要應用在同一PVLAN中，給那些需要互相通信的一組用戶使用混雜端口：可以與同一PVLAN中的所有端口互相通信，通常與路由

12、器或第三層交換機相連接的端口都要配置成混雜端口，它收到的流量可以發往隔離端口和團體端口26共三十四頁PVLAN及其配置(pizh) PVLAN的端口類型 隔離端口：端口彼此之間不能交換數據，只能與混雜端口通信，一般用作用戶的接入端口團體端口：可以互相通信，也可以與混雜端口通信，主要應用在同一PVLAN中，給那些需要互相通信的一組用戶使用(shyng)混雜端口：可以與同一PVLAN中的所有端口互相通信，通常與路由器或第三層交換機相連接的端口都要配置成混雜端口，它收到的流量可以發往隔離端口和團體端口27共三十四頁PVLAN及其配置(pizh) PVLAN配置原則把需要第二層隔離的主機放到同一個隔離

13、VLAN或者不同的團體VLAN中把需要第二層通信的主機放到同一個團體VLAN中把公共的服務器或者上聯端口放到主VLAN中（即將端口設置為混雜端口）網關可以(ky)在主VLAN上配一個三層地址或者在主VLAN上連接一個路由器交換機的上聯端口也可以是Trunk，主VLAN和輔助VLAN都可以通過Trunk鏈路28共三十四頁3.5 無線局域網安全(nqun)技術由于無線局域網采用公共的電磁波作為載體，任何人都有條件竊聽或干擾信息，因此(ync)對越權存取和竊聽的行為也更不容易預防 29共三十四頁無線局域網安全(nqun)技術 服務集標識符 SSID物理地址過濾 連線(lin xin)對等保密：WEP

14、 Wi-Fi保護接入 ：Wi-Fi Protected Access WAPI（WLAN Authentication Privacy Infrastructure） 端口訪問控制技術（802.1x） 用戶認證 30共三十四頁3.6 企業(qy)局域網安全解決方案 企業局域網系統(xtng)概況 企業局域網安全風險分析 安全需求與安全目標 網絡安全方案總體設計 31共三十四頁本章(bn zhn)小結32共三十四頁作業(zuy)與實踐33共三十四頁內容摘要3、局域網安全(nqun)基礎技術。監測及分析是發現安全(nqun)問題的前提，介紹Wireshark數據包監測與分析軟件的應用。訪問控制技術：防火墻、訪問控制列表等。防病毒技術：單機