版權說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權,請進行舉報或認領
文檔簡介
1、網(wǎng)絡安全協(xié)議分析與案例實踐,授課:蔣浪QQ:846516087電話:15985298529,本書簡要概述以及學習目的,1.本書總共分為七大章節(jié),分別說明了網(wǎng)絡當中相關的網(wǎng)絡協(xié)議所對應的層次關系。2.學習內(nèi)容大多屬于理論和一些思科模擬器實驗拓撲的命令行操作。,為什么要學習網(wǎng)絡安全?,主要目的:保護計算機、網(wǎng)絡系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù),使之不因偶然的或者惡意的原因而遭到破壞、更改、泄露,確保系統(tǒng)能連續(xù)可靠正常地運行,使網(wǎng)絡服務
2、不中斷。之所以提出網(wǎng)絡安全,緣于網(wǎng)絡攻擊的普遍就比如上有政策下有對策,現(xiàn)在的互聯(lián)網(wǎng)存在很多安全威脅。網(wǎng)絡安全攻擊會在它們的復雜性和威脅水平上具有不同程度的改變,這也是網(wǎng)絡安全的復雜性之根本。一些常見的攻擊:,,應用層攻擊:這些攻擊通常瞄準運行在服務器上的軟件漏洞,而這些漏洞都是很熟知的。各種目標包括FTP,發(fā)送郵件,HTTP。Autorooters:惡意者使用某種叫做rootkit的東西探測,掃描并從目標主機上捕獲數(shù)據(jù),使得用戶數(shù)
3、據(jù)變得透明,它可以監(jiān)視著整個系統(tǒng)。后門程序:通往一個計算機或網(wǎng)絡的簡潔的路徑。經(jīng)過簡單入侵或是精心設計的木馬,惡意者可使用植入攻擊進入一臺指定的主機或是一個網(wǎng)絡。DoS和DDoS攻擊:最常見的網(wǎng)絡攻擊,卻形式多樣,而且非常讓人厭煩。IP欺騙:黑客以你的內(nèi)部網(wǎng)絡可信地址范圍中的IP地址呈現(xiàn)或者使用一個核準的,可信的外部IP地址,來偽裝成一臺可信的主機。中間人攻擊:簡單說就是使用工具攔截你要發(fā)送的數(shù)據(jù)。網(wǎng)絡偵查:針對待攻擊的網(wǎng)絡收
4、集相關的信息,做更深入的了解,便于實施攻擊。包嗅探:他通過網(wǎng)絡適配卡開始工作與混雜模式,它發(fā)送的所有包都可以被一個特殊的應用程序從網(wǎng)絡物理層獲取,并進行查看積分類??诹罟簦和ㄟ^多種方式發(fā)現(xiàn)用戶口令,偽裝成合法用戶,訪問用戶的特許操作及資源。強暴攻擊:是一種面向軟件的攻擊。端口重定向攻擊:這種方法要求黑客已經(jīng)侵入主機,并經(jīng)由防火墻得到被改變的流量。病毒攻擊:常見,難防。時效性。信任利用攻擊:這種攻擊發(fā)生在內(nèi)網(wǎng)之中,有某些人利
5、用內(nèi)網(wǎng)中的可信關系來實施。綜上所述,簡單來說,正是由于各種網(wǎng)絡威脅的盛行,才使得網(wǎng)絡安全與維護顯得尤為重要。,,,第1章:基礎知識與物理安全,內(nèi)容提要,2016年全球十大網(wǎng)絡安全事故信息安全三要素OSI模型以及TCP/IP概要講解常用基本概念物理安全建議簡要提及維護網(wǎng)絡安全的方法,,No.1:俄羅斯央行遭黑客攻擊 3100萬美元不翼而飛12月,俄羅斯中央銀行官員瑟喬夫證實,該行電腦系統(tǒng)遭到了黑客入侵,犯罪分子從銀行的代理賬
6、戶中竊走了20億盧布(約合3100萬美元)的資金。瑟喬夫透露,黑客是通過偽造一名用戶的證書進入的這些賬戶。緊接著,俄羅斯第二大銀行VTB再遭黑客攻擊,幸運的是,銀行方面的防御體系成功擊退了指向其業(yè)務系統(tǒng)的DDoS攻擊,未造成資金損失。No.2:德國90萬家庭斷網(wǎng) 遭黑客蓄意入侵11月,德國電信遭遇一次大范圍的網(wǎng)絡故障。2000萬固定網(wǎng)絡用戶中的大約90萬路由器發(fā)生故障(約4.5%),并由此導致大面積網(wǎng)絡訪問受限。德國電信進一步確認了
7、問題是由于路由設備的維護界面被暴露在互聯(lián)網(wǎng)上、并且互聯(lián)網(wǎng)上正在發(fā)生針對性的攻擊而導致。No.3:舊金山地鐵被勒索軟件攻擊 乘客免費乘坐地鐵11月,舊金山的Municipal地的電腦票價系統(tǒng)遭到黑客攻擊,黑客索要100比特幣作為贖金。盡管舊金山地鐵沒有公布案件調(diào)查進展信息,但我們能從中看出這是一次惡意的黑客勒索軟件攻擊事件,若要恢復地鐵票價系統(tǒng)就需要進行比特幣贖金交易。盡管黑客已經(jīng)開設好比特幣錢包等待舊金山地鐵的支付,但舊金山地鐵并未
8、向黑客支付任何費用,在所有地鐵購票機器工作失常后,舊金山地鐵干脆開放地鐵,允許乘客免費乘坐。,,No.4:美國遭史上最大規(guī)模DDoS攻擊、東海岸網(wǎng)站集體癱瘓 10月,惡意軟件Mirai控制的僵尸網(wǎng)絡對美國域名服務器管理服務供應商Dyn發(fā)起DDoS攻擊,從而導致許多網(wǎng)站在美國東海岸地區(qū)宕機,如GitHub、Twitter、PayPal等,用戶無法通過域名訪問這些站點。事件發(fā)生后,360與全球安全社區(qū)一起參與了這次事件的追蹤、分析、溯源
9、和響應處置,利用360公司的惡意掃描源數(shù)據(jù),率先發(fā)現(xiàn)并持續(xù)追蹤溯源了這個由攝像頭等智能設備組成的僵尸網(wǎng)站。360也是唯一參與全球協(xié)同處置該事件的中國機構No.5:希拉里郵件門事件 2015年年初,郵件門事件首次被曝光,希拉里在2009年至2013年擔任美國國務卿期間,違規(guī)使用私人電子郵箱和位于家中的私人服務器收發(fā)大量涉密的郵件. 涉嫌違反美國《聯(lián)邦檔案法》,面臨調(diào)查時又匆匆刪除。2016年夏季,美國民主黨全國委員會、籌款委員會、競
10、選團隊被黑客組織入侵,近2萬封郵件被維基解密披露。郵件顯示,希拉里涉嫌抹黑競爭對手,以及可能涉嫌洗錢等財務問題。10月28日,大胖子黑客Kim Dotcom翻出了被希拉里刪除的郵件,導致FBI重新開始調(diào)查希拉里郵件門事件,這對于大選前夕的希拉里來說,頻發(fā)傳出的負面消息導致曾人氣領先的希拉里惜敗。No.6:雅虎曝史上最大規(guī)模信息泄露 5億用戶資料被竊 9月,雅虎突然宣稱其至少5億條用戶信息被黑客盜取,其中包括用戶姓名、電子郵箱、電話
11、號碼、出生日期和部分登錄密碼。并建議所有雅虎用戶及時更改密碼。此次雅虎信息泄漏事件被稱為史上最大規(guī)?;ヂ?lián)網(wǎng)信息泄露事件,也讓正在出售核心業(yè)務的雅虎再受重創(chuàng)。11月,在提交給SEC(美國證券交易委員會)的文件顯示,雅虎提醒投資者注意,Verizon可能會因為大規(guī)模電子郵件被黑事件而放棄48億美元收購雅虎的交易。,,No.7:美國國家安全局陷入斯諾登之后最大泄密風波繼斯諾登泄密風波之后,美國國家安全局(NSA)再次敲響內(nèi)部威脅警鐘。NSA
12、承包商哈羅德?馬丁于8月27日因竊取國安局數(shù)據(jù)被捕,馬丁與曾揭露美國政府大規(guī)模監(jiān)聽行動的斯諾登受雇于同一家公司,馬丁還被懷疑掌握了NSA的“源代碼”,這些源代碼通常被用來入侵俄羅斯、中國、伊朗等國的網(wǎng)絡系統(tǒng)。調(diào)查人員在馬丁家中和車內(nèi)搜出美國政府高度機密文件的復印文本和數(shù)字文檔,其中數(shù)字文檔至少有幾TB,還包括6份“敏感情報”。美國司法部檢察官說,如果在未經(jīng)授權的情況下泄露這些高度機密文件,美國國家安全將遭受“極為嚴重”的損害。No.8
13、:全球銀行業(yè)使用的恐怖嫌疑人數(shù)據(jù)庫被泄露6月,一個包含約220萬條恐怖分子與“高風險個人及實體”記錄的數(shù)據(jù)庫被泄露在互聯(lián)網(wǎng)上。研究人員 Chris Vickery 在 Reddit 上稱他成功獲取到了一份2014版的 World-Check 的機密數(shù)據(jù)庫,銀行、政府及情報機構使用該數(shù)據(jù)庫進行全球范圍的風險掃描,數(shù)據(jù)庫信息包括了恐怖分子嫌疑人。據(jù) World-Check 的經(jīng)營者 Thomson Reuters稱,他為約4500所機構提
14、供服務,其中包括世界50大銀行中的49家,以及超過300個政府、情報機構以及律師事務所。雖然歐洲隱私法所強烈限制了訪問 World-Check 的數(shù)據(jù)庫的行為,但是 Reuters 稱有未知第三方在網(wǎng)上曝光了該數(shù)據(jù)庫的老版本數(shù)據(jù)。No.9:德國核電站檢測出惡意程序被迫關閉4月,德國Gundremmingen核電站的計算機系統(tǒng),在常規(guī)安全檢測中發(fā)現(xiàn)了惡意程序。核電站的操作員RWE為防不測,關閉了發(fā)電廠,雖然仍然對外表示,并沒有發(fā)生什么
15、嚴重的問題。Gundremmingen核電站官方發(fā)布的新聞稿稱,此惡意程序是在核電站負責燃料裝卸系統(tǒng)的Block B IT網(wǎng)絡中發(fā)現(xiàn)的。據(jù)說該惡意程序僅感染了計算機的IT系統(tǒng),而沒有涉及到與核燃料交互的ICS/SCADA設備。核電站表示,此設施的角色是裝載和卸下核電站Block B的核燃料,隨后將舊燃料轉(zhuǎn)至存儲池,,No.10:SWIFT黑客事件爆發(fā) 多家銀行損失巨款2月,孟加拉國中央銀行在美國紐約聯(lián)邦儲備銀行開設的賬戶2月初遭黑客攻
16、擊,失竊8100萬美元。據(jù)相關執(zhí)法部門調(diào)查,贓款幾經(jīng)分批中轉(zhuǎn),最終流入菲律賓兩家賭場和一名賭團中介商的賬戶,隨后很可能變成一堆籌碼,就此消失無蹤。而孟加拉央行并非個案,2015年1月,黑客攻擊了厄瓜多爾南方銀行,利用SWIFT系統(tǒng)轉(zhuǎn)移了1200萬美元;2015年底越南先鋒商業(yè)股份銀行也被曝出黑客攻擊未遂案件。,,,要求信息網(wǎng)絡具有:可用性、完整性、私密性;私密性:保障通信私密性的常見方法為數(shù)據(jù)加密.完整性:信息傳輸過程中沒有遭到篡改
17、.可用性:讓合法的用戶可以訪問到相應的資源.,,,,,,Internet,實體安全,信息安全,運行安全,OSI模型簡述圖,OSI模型詳解:1.OSI七層模型背景:1983年 由ISO提出并標準化2.各層作用:~1.應用層 a功能:提供用戶接入的借口。 b軟件:QQ/微信/瀏覽器/迅雷/阿里巴巴等 C協(xié)議:http、https、OICQ、Telnet/SSH ~
18、2.表示層 a功能:提供數(shù)據(jù)顯示。主要包括三點數(shù)據(jù)的格式、壓縮、加密。其中數(shù)據(jù)的格式又包括*1圖片格式:jpg、png、gif。*2視頻格式:flv、rmvb、mkv、avi、wmv。*3文件格式:doc、ppt、kls等。~3.會話層功能:提供會話管理,主要包含三點。
19、建立會話、保持會話、刪除會話~4.傳輸層a功能:提供了可靠的端到端連接。 b協(xié)議:TCP和UDP協(xié)議,如何區(qū)分TCP和UDP協(xié)議可以用簡單的兩個例子:UDP協(xié)議例子*飛鴿傳書:協(xié)議不可靠;不可控、不可重傳、無反饋信息。TCP協(xié)議例子*網(wǎng)購/電子商務:協(xié)議可靠;可追蹤、可數(shù)據(jù)重發(fā)、可調(diào)控。,,~5.網(wǎng)絡層a功能:提供了三層尋址、三層數(shù)據(jù)轉(zhuǎn)發(fā)功能b協(xié)議:IP協(xié)議c設備:路由器~6.鏈路層a功能:提供了二層尋址、二層數(shù)據(jù)轉(zhuǎn)
20、發(fā)功能b協(xié)議:Ethernet / Token Ring(令牌網(wǎng))~7.物理層a功能:提供物理規(guī)范。主要包括:1線纜設備;同軸電纜、光纖、無線2接口標準:RJ45用雙絞線,RJ11用于電話線——目前屬于淘汰的接口OSI功能總結(jié)1.分層分工2.標準化(流程化)3.物理框架(易于問題分析、排錯),,TCP/IP協(xié)議:Transmission Control Protocol/Internet Protocol的簡寫,
21、中譯名為傳輸控制協(xié)議/因特網(wǎng)互聯(lián)協(xié)議,又名網(wǎng)絡通訊協(xié)議,是Internet最基本的協(xié)議、Internet國際互聯(lián)網(wǎng)絡的基礎,由網(wǎng)絡層的IP協(xié)議和傳輸層的TCP協(xié)議組成。TCP/IP 定義了電子設備如何連入因特網(wǎng),以及數(shù)據(jù)如何在它們之間傳輸?shù)臉藴?。協(xié)議采用了4層的層級結(jié)構,每一層都呼叫它的下一層所提供的協(xié)議來完成自己的需求。通俗而言:TCP負責發(fā)現(xiàn)傳輸?shù)膯栴},一有問題就發(fā)出信號,要求重新傳輸,直到所有數(shù)據(jù)安全正確地傳輸?shù)侥康牡?。而IP是給
22、因特網(wǎng)的每一臺聯(lián)網(wǎng)設備規(guī)定一個地址。IP: IP層接收由更低層(網(wǎng)絡接口層例如以太網(wǎng)設備驅(qū)動程序)發(fā)來的數(shù)據(jù)包,并把該數(shù)據(jù)包發(fā)送到更高層---TCP或UDP層;相反,IP層也把從TCP或UDP層接收來的數(shù)據(jù)包傳送到更低層。IP數(shù)據(jù)包是不可靠的,因為IP并沒有做任何事情來確認數(shù)據(jù)包是否按順序發(fā)送的或者有沒有被破壞,IP數(shù)據(jù)包中含有發(fā)送它的主機的地址(源地址)和接收它的主機的地址(目的地址),,高層的TCP和UDP服務在接收數(shù)據(jù)包時,
23、通常假設包中的源地址是有效的。也可以這樣說,IP地址形成了許多服務的認證基礎,這些服務相信數(shù)據(jù)包是從一個有效的主機發(fā)送來的。IP確認包含一個選項,叫作IP source routing,可以用來指定一條源地址和目的地址之間的直接路徑。對于一些TCP和UDP的服務來說,使用了該選項的IP包好像是從路徑上的最后一個系統(tǒng)傳遞過來的,而不是來自于它的真實地點。這個選項是為了測試而存在的,說明了它可以被用來欺騙系統(tǒng)來進行平常是被禁止的連接。那么,
24、許多依靠IP源地址做確認的服務將產(chǎn)生問題并且會被非法入侵。TCP: TCP是面向連接的通信協(xié)議,通過三次握手建立連接,通訊完成時要拆除連接,由于TCP是面向連接的所以只能用于端到端的通訊。TCP提供的是一種可靠的數(shù)據(jù)流服務,采用“帶重傳的肯定確認”技術來實現(xiàn)傳輸?shù)目煽啃浴CP還采用一種稱為“滑動窗口”的方式進行流量控制,所謂窗口實際表示接收能力,用以限制發(fā)送方的發(fā)送速度。如果IP數(shù)據(jù)包中有已經(jīng)封好的TCP數(shù)據(jù)包,那么IP將把它們
25、向‘上’傳送到TCP層。TCP將包排序并進行錯誤檢查,同時實現(xiàn)虛電路間的連接。TCP數(shù)據(jù)包中包括序號和確認,所以未按照順序收到的包可以被排序,而損壞的包可以被重傳。,,TCP將它的信息送到更高層的應用程序,例如Telnet的服務程序和客戶程序。應用程序輪流將信息送回TCP層,TCP層便將它們向下傳送到IP層,設備驅(qū)動程序和物理介質(zhì),最后到接收方。面向連接的服務(例如Telnet、FTP、rlogin、X Windows和SMTP)需要高
26、度的可靠性,所以它們使用了TCP。DNS在某些情況下使用TCP(發(fā)送和接收域名數(shù)據(jù)庫),但使用UDP傳送有關單個主機的信息。UDP:UDP是面向無連接的通訊協(xié)議,UDP數(shù)據(jù)包括目的端口號和源端口號信息,由于通訊不需要連接,所以可以實現(xiàn)廣播發(fā)送。UDP通訊時不需要接收方確認,屬于不可靠的傳輸,可能會出現(xiàn)丟包現(xiàn)象,實際應用中要求程序員編程驗證。UDP與TCP位于同一層,但它不管數(shù)據(jù)包的順序、錯誤或重發(fā)。因此,UDP不被應用于那些使用
27、虛電路的面向連接的服務,UDP主要用于那些面向查詢---應答的服務,例如NFS。相對于FTP或Telnet,這些服務需要交換的信息量較小。使用UDP的服務包括NTP(網(wǎng)絡時間協(xié)議)和DNS(DNS也使用TCP)。欺騙UDP包比欺騙TCP包更容易,因為UDP沒有建立初始化連接(也可以稱為握手)(因為在兩個系統(tǒng)間沒有虛電路),也就是說,與UDP相關的服務面臨著更大的危險。,,通訊端口:TCP和UDP服務通常有一個客戶/服務器的關系,例如
28、,一個Telnet服務進程開始在系統(tǒng)上處于空閑狀態(tài),等待著連接。用戶使用Telnet客戶程序與服務進程建立一個連接??蛻舫绦蛳蚍者M程寫入信息,服務進程讀出信息并發(fā)出響應,客戶程序讀出響應并向用戶報告。因而,這個連接是雙工的,可以用來進行讀寫。兩個系統(tǒng)間的多重Telnet連接是如何相互確認并協(xié)調(diào)一致呢?TCP或UDP連接唯一地使用每個信息中的如下四項進行確認:源IP地址 發(fā)送包的IP地址。目的IP地址 接收包的IP地址。源端口
29、源系統(tǒng)上的連接的端口。目的端口 目的系統(tǒng)上的連接的端口。端口是一個軟件結(jié)構,被客戶程序或服務進程用來發(fā)送和接收信息。一個端口對應一個16比特的數(shù)。服務進程通常使用一個固定的端口,例如,SMTP使用25、Xwindows使用6000。這些端口號是‘廣為人知’的,因為在建立與特定的主機或服務的連接時,需要這些地址和目的地址進行通訊。,,數(shù)據(jù)格式:數(shù)據(jù)幀:幀頭+IP數(shù)據(jù)包+幀尾 (幀頭包括源和目標主機MAC初步地址及類型,幀尾是校驗字)
30、IP數(shù)據(jù)包:IP頭部+TCP數(shù)據(jù)信息(IP頭包括源和目標主機IP地址、類型、生存期等)TCP數(shù)據(jù)信息:TCP頭部+實際數(shù)據(jù) (TCP頭包括源和目標主機端口號、順序號、確認號、校驗字等)IP地址:在Internet上連接的所有計算機,從大型機到微型計算機都是以獨立的身份出現(xiàn),我們稱它為主機。為了實現(xiàn)各主機間的通信,每臺主機都必須有一個唯一的網(wǎng)絡地址。就好像每一個住宅都有唯一的門牌一樣,才不至于在傳輸資料時出現(xiàn)混亂。Interne
31、t的網(wǎng)絡地址是指連入Internet網(wǎng)絡的計算機的地址編號。所以,在Internet網(wǎng)絡中,網(wǎng)絡地址唯一地標識一臺計算機。IP地址是一個32位的二進制地址,為了便于記憶,將它們分為4組,每組8位,由小數(shù)點分開,用四個字節(jié)來表示,而且,用點分開的每個字節(jié)的數(shù)值范圍是0~255,,IPV4:IPv4,是互聯(lián)網(wǎng)協(xié)議(Internet Protocol,IP)的第四版,也是第一個被廣泛使用,構成現(xiàn)今互聯(lián)網(wǎng)技術的基石的協(xié)議。1981年Jon P
32、ostel 在RFC791中定義了IP,Ipv4可以運行在各種各樣的底層網(wǎng)絡上,比如端對端的串行數(shù)據(jù)鏈路(PPP協(xié)議和SLIP協(xié)議) ,衛(wèi)星鏈路等等。局域網(wǎng)中最常用的是以太網(wǎng)。傳統(tǒng)的TCP/IP協(xié)議基于IPV4屬于第二代互聯(lián)網(wǎng)技術,核心技術屬于美國。它的最大問題是網(wǎng)絡地址資源有限,從理論上講,編址1600萬個網(wǎng)絡、40億臺主機。但采用A、B、C三類編址方式后,可用的網(wǎng)絡地址和主機地址的數(shù)目大打折扣,以至IP地址已經(jīng)枯竭。其中北美占有3
33、/4,約30億個,而人口最多的亞洲只有不到4億個,中國截止2010年6月IPv4地址數(shù)量達到2.5億,落后于4.2億網(wǎng)民的需求。雖然用動態(tài)IP及Nat地址轉(zhuǎn)換等技術實現(xiàn)了一些緩沖,但IPV4地址枯竭已經(jīng)成為不爭的事實。在此,專家提出IPV6的互聯(lián)網(wǎng)技術,也正在推行,但IPV4的使用過過渡到IPV6需要很長的一段過渡期。中國主要用的就是ip4,在win7中已經(jīng)有了ipv6的協(xié)議不過對于中國的用戶們來說可能很久以后才會用到吧。傳統(tǒng)的TCP/
34、IP協(xié)議基于電話寬帶以及以太網(wǎng)的電器特性而制定的,其分包原則與檢驗占用了數(shù)據(jù)包很大的一部分比例造成了傳輸效率低,網(wǎng)絡正向著全光纖網(wǎng)絡高速以太網(wǎng)方向發(fā)展,TCP/IP協(xié)議不能滿足其發(fā)展需要。,,IPv6:IPv6是Internet Protocol Version 6的縮寫,其中Internet Protocol譯為“互聯(lián)網(wǎng)協(xié)議”。IPv6是IETF(互聯(lián)網(wǎng)工程任務組,Internet Engineering Task Force)設計
35、的用于替代現(xiàn)版本IP協(xié)議(IPv4)的下一代IP協(xié)議。與IPV4相比,IPV6具有以下幾個優(yōu)勢:一、IPv6具有更大的地址空間。IPv4中規(guī)定IP地址長度為32,即有2^32-1(符號^表示升冪,下同)個地址;而IPv6中IP地址的長度為128,即有2^128-1個地址二、IPv6使用更小的路由表。IPv6的地址分配一開始就遵循聚類(Aggregation)的原則,這使得路由器能在路由表中用一條記錄(Entry)表示一片子網(wǎng),大大
36、減小了路由器中路由表的長度,提高了路由器轉(zhuǎn)發(fā)數(shù)據(jù)包的速度。三、IPv6增加了增強的組播(Multicast)支持以及對流的控制(Flow Control),這使得網(wǎng)絡上的多媒體應用有了長足發(fā)展的機會,為服務質(zhì)量(QoS,Quality of Service)控制提供了良好的網(wǎng)絡平臺四、IPv6加入了對自動配置(Auto Configuration)的支持。這是對DHCP協(xié)議的改進和擴展,使得網(wǎng)絡(尤其是局域網(wǎng))的管理更加方便和快捷。
37、五、IPv6具有更高的安全性。在使用IPv6網(wǎng)絡中用戶可以對網(wǎng)絡層的數(shù)據(jù)進行加密并對IP報文進行校驗,極大的增強了網(wǎng)絡的安全性。,TCP/IP協(xié)議層次,從協(xié)議分層模型方面來講,TCP/IP由四個層次組成:網(wǎng)絡接口層、網(wǎng)絡層、傳輸層、應用層。TCP/IP協(xié)議并不完全符合OSI的七層參考模型,OSI(Open System Interconnect)是傳統(tǒng)的開放式系統(tǒng)互連參考模型,是一種通信協(xié)議的7層抽象的參考模型,其中每一層執(zhí)行某一特
38、定任務。該模型的目的是使各種硬件在相同的層次上相互通信。這7層是:物理層、數(shù)據(jù)鏈路層(網(wǎng)絡接口層)、網(wǎng)絡層(網(wǎng)絡層)、傳輸層(傳輸層)、會話層、表示層和應用層(應用層)。而TCP/IP通訊協(xié)議采用了4層的層級結(jié)構,每一層都呼叫它的下一層所提供的網(wǎng)絡來完成自己的需求。由于ARPANET的設計者注重的是網(wǎng)絡互聯(lián),允許通信子網(wǎng)(網(wǎng)絡接口層)采用已有的或是將來有的各種協(xié)議,所以這個層次中沒有提供專門的協(xié)議。實際上,TCP/IP協(xié)議可以通過網(wǎng)絡接
39、口層連接到任何網(wǎng)絡上,例如X.25交換網(wǎng)或IEEE802局域網(wǎng)。注意TCP本身不具有數(shù)據(jù)傳輸中噪音導致的錯誤檢測功能,但是有實現(xiàn)超時的錯誤重傳功能;,,網(wǎng)絡接口層物理層是定義物理介質(zhì)的各種特性:1、機械特性;2、電子特性;3、功能特性;4、規(guī)程特性。數(shù)據(jù)鏈路層是負責接收IP數(shù)據(jù)包并通過網(wǎng)絡發(fā)送,或者從網(wǎng)絡上接收物理幀,抽出IP數(shù)據(jù)包,交給IP層。ARP是正向地址解析協(xié)議,通過已知的IP,尋找對應主機的MAC地址。RAR
40、P是反向地址解析協(xié)議,通過MAC地址確定IP地址。比如無盤工作站還有DHCP服務。常見的接口層協(xié)議有:Ethernet 802.3、Token Ring 802.5、X.25、Frame relay、HDLC、PPP ATM等。,,網(wǎng)絡層負責相鄰計算機之間的通信。其功能包括三方面。1.處理來自傳輸層的分組發(fā)送請求,收到請求后,將分組裝入IP數(shù)據(jù)報,填充報頭,選擇去往信宿機的路徑,然后將數(shù)據(jù)報發(fā)往適當?shù)木W(wǎng)絡接口。2.處理輸入數(shù)據(jù)
41、報:首先檢查其合法性,然后進行尋徑--假如該數(shù)據(jù)報已到達信宿機,則去掉報頭,將剩下部分交給適當?shù)膫鬏攨f(xié)議;假如該數(shù)據(jù)報尚未到達信宿,則轉(zhuǎn)發(fā)該數(shù)據(jù)報。3.處理路徑、流控、擁塞等問題。網(wǎng)絡層包括:IP(Internet Protocol)協(xié)議、ICMP(Internet Control Message Protocol)控制報文協(xié)議、ARP(Address Resolution Protocol)地址轉(zhuǎn)換協(xié)議、RARP(Reverse
42、 ARP)反向地址轉(zhuǎn)換協(xié)議。IP是網(wǎng)絡層的核心,通過路由選擇將下一條IP封裝后交給接口層。IP數(shù)據(jù)報是無連接服務。ICMP是網(wǎng)絡層的補充,可以回送報文。用來檢測網(wǎng)絡是否通暢。Ping命令就是發(fā)送ICMP的echo包,通過回送的echo relay進行網(wǎng)絡測試,,傳輸層提供應用程序間的通信。其功能包括:一、格式化信息流;二、提供可靠傳輸。為實現(xiàn)后者,傳輸層協(xié)議規(guī)定接收端必須發(fā)回確認,并且假如分組丟失,必須重新發(fā)送,即耳熟能詳?shù)?/p>
43、“三次握手”過程,從而提供可靠的數(shù)據(jù)傳輸。傳輸層協(xié)議主要是:傳輸控制協(xié)議TCP(Transmission Control Protocol)和用戶數(shù)據(jù)報協(xié)議UDP(User Datagram protocol)。,,應用層向用戶提供一組常用的應用程序,比如電子郵件、文件傳輸訪問、遠程登錄等。遠程登錄TELNET使用TELNET協(xié)議提供在網(wǎng)絡其它主機上注冊的接口。TELNET會話提供了基于字符的虛擬終端。文件傳輸訪問FTP使用FTP協(xié)
44、議來提供網(wǎng)絡內(nèi)機器間的文件拷貝功能。應用層協(xié)議主要包括如下幾個:FTP、TELNET、DNS、SMTP、NFS、HTTP。FTP(File Transfer Protocol)是文件傳輸協(xié)議,一般上傳下載用FTP服務,數(shù)據(jù)端口是20H,控制端口是21H。Telnet服務是用戶遠程登錄服務,使用23H端口,使用明碼傳送,保密性差、簡單方便。DNS(Domain Name Service)是域名解析服務,提供域名到IP地址之間的轉(zhuǎn)換
45、,使用端口53。SMTP(Simple Mail Transfer Protocol)是簡單郵件傳輸協(xié)議,用來控制信件的發(fā)送、中轉(zhuǎn),使用端口25。NFS(Network File System)是網(wǎng)絡文件系統(tǒng),用于網(wǎng)絡中不同主機間的文件共享。HTTP(Hypertext Transfer Protocol)是超文本傳輸協(xié)議,用于實現(xiàn)互聯(lián)網(wǎng)中的WWW服務,使用端口80。,,TCP/IP協(xié)議的優(yōu)缺點:主要優(yōu)點(1)TCP/IP協(xié)議
46、不依賴于任何特定的計算機硬件或操作系統(tǒng),提供開放的協(xié)議標準,即使不考慮Internet,TCP/IP協(xié)議也獲得了廣泛的支持。所以TCP/IP協(xié)議成為一種聯(lián)合各種硬件和軟件的實用系統(tǒng)。(2)TCP/IP協(xié)議并不依賴于特定的網(wǎng)絡傳輸硬件,所以TCP/IP協(xié)議能夠集成各種各樣的網(wǎng)絡。用戶能夠使用以太網(wǎng)(Ethernet)、令牌環(huán)網(wǎng)(Token Ring Network)、撥號線路(Dial-up line)、X.25網(wǎng)以及所有的網(wǎng)絡傳輸硬件
47、。(3)統(tǒng)一的網(wǎng)絡地址分配方案,使得整個TCP/IP設備在網(wǎng)中都具有惟一的地址(4)標準化的高層協(xié)議,可以提供多種可靠的用戶服務。主要缺點第一,它在服務、接口與協(xié)議的區(qū)別上就不是很清楚。一個好的軟件工程應該將功能與實現(xiàn)方法區(qū)分開來,TCP/IP恰恰沒有很好地做到這點,就使得TCP/IP參考模型對于使用新的技術的指導意義是不夠的。TCP/IP參考模型不適合于其他非TCP/IP協(xié)議簇。第二,主機-網(wǎng)絡層本身并不是實際的一層,它定義
48、了網(wǎng)絡層與數(shù)據(jù)鏈路層的接口。物理層與數(shù)據(jù)鏈路層的劃分是必要和合理的,一個好的參考模型應該將它們區(qū)分開,而TCP/IP參考模型卻沒有做到這點。,,Telnet、SMTP、HTTP、FTP、DNS等TCP、UDP、IP 、ARP、ICMPEthernet,應用層 傳輸層 網(wǎng)絡層網(wǎng)絡接口層,,,,,1.2.2 網(wǎng)絡拓撲與物理連接,在實施和維護網(wǎng)絡時,必須使用相應網(wǎng)絡的拓撲來展開工作如本書圖1-6.使用的就是星
49、型網(wǎng)絡拓撲。此外還有多種相應的拓撲結(jié)構如下圖所示。,話雖如此,我們最常見的基本網(wǎng)絡就好比家用寬帶,一臺臺式機或者筆記本,通過貓調(diào)試,配置路由,來達到訪問Internet中的游戲、QQ、HTTP的一大堆數(shù)據(jù)。,1.網(wǎng)絡拓撲結(jié)構 :網(wǎng)絡拓撲是指網(wǎng)絡形狀,或者是它在物理上的連通性。網(wǎng)絡的拓撲結(jié)構主要有:星型拓撲、總線拓撲、環(huán)型拓撲、樹型拓撲、混合拓撲及網(wǎng)型拓撲。,2.傳輸媒體 : 傳輸媒體是通信網(wǎng)絡中發(fā)送方和接收
50、方之間的物理通路,計算機網(wǎng)絡中采用的傳輸媒體分有線和無線兩大類。(1)有線傳輸媒體:同軸電纜→有線電視、視頻線,,,電信→辦理光纖寬帶賬號→工作人員施工→光纖盒(分光器)→安裝人員布線,拉線到終端設備(路由器,光貓)→聯(lián)網(wǎng),常用分光器示意圖,串口:可以接打印機、掃描儀、游戲手柄、通過專業(yè)串口線還可以訪問專用設備如交換機路由器。,CONSOLE線,CONSOLE接口是用來配置交換機的,所以只有網(wǎng)管型
51、交換機才有。而且還要注意,并不是所有網(wǎng)管型交換機都有,那是因為交換機的配置方法有多種,如通過Telnet命令行方式、Web方式、TFTP方式等。,注:無論交換機采用DB-9或DB-25串行接口,還是采用RJ-45接口,都需要通過專門的Console線連接至配置方計算機的串行口。,串行線串行線,即兩端均為串行接口(兩端均為母頭),兩端可以分別插入至計算機的串口和交換機的Console端口;RJ-45兩端均為RJ-45接頭(RJ-45
52、 to RJ-45)的扁平線。由于扁平線兩端均為RJ-45接口,無法直接與計算機串口進行連接。因此,還必須同時使用一個RJ-45 to DB-9(或RJ-45 to DB-25)的適配器。通常情況下,在交換機的包裝箱中都會隨機贈送這么一條Console線和相應的DB-9或DB-25適配器。,超級終端就必須要用到CONSlOE線,它的配置圖如下,一般采用CSMD/CD(帶沖突檢測的載波監(jiān)聽多路訪問技術)來防止沖突域,,,(2)無線傳輸媒
53、體:(a)微波通信:載波頻率為2GHZ~40GHZ,頻率高,可同時傳送大量信息;由于微波是沿直線傳播的,故在地面的傳播距離有限。(b)衛(wèi)星通信:是利用地球同步衛(wèi)星作為中繼來轉(zhuǎn)發(fā)微波信號的一種特殊微波通信形式。衛(wèi)星通信可以克服地面微波通信距離的限制,三個同步衛(wèi)星可以覆蓋地球上全部通信區(qū)域。,(c)紅外通信和激光通信: 和微波通信一樣,有很強的方向性,都是沿直線傳播的。但紅外通信和激光通信要把傳輸?shù)男盘柗謩e轉(zhuǎn)換為紅外光信號和激光信
54、號后才能直接在空間沿直線傳播。3 網(wǎng)絡管理協(xié)議: 目前較為流行的兩種網(wǎng)絡管理協(xié)議為:SNMP(簡單網(wǎng)絡管理協(xié)議)和CMIP(通用管理協(xié)議)。SNMP由一整套簡單的網(wǎng)絡通訊規(guī)范組成,可以完成所有基本的網(wǎng)絡管理任務,對網(wǎng)絡資源的需求量少;CMIP是一種設計非常全面的網(wǎng)絡管理系統(tǒng),改進了SNMP存在的諸多不足。但是,正是因為CMIP修正了SNMP的錯誤,使得自身變得大而全,對網(wǎng)絡基礎性能提出了相當嚴格的要求。,4 交換機和集線器
55、集線器(HUB)可以看成是一種多端口的中繼器,是共享帶寬式的,其帶寬由它的端口平均分配,如總帶寬為10Mb/s的集線器,連接4臺工作站同時上網(wǎng)時,每臺工作站平均帶寬僅為10/4=2.5Mb/s。交換機又叫交換式集線器,每一端口都有其專用的帶寬,如10Mb/s的交換式集線器,每個端口都有10Mb/s的帶寬。交換機和集線器都遵循IEEE802.3或IEEE802.3u,其介質(zhì)訪問方式均為CSMA/CD。它們之間的區(qū)別為: 集線器為共
56、享方式,即同一網(wǎng)段的機器共享固有的帶寬,傳輸通過碰撞檢測進行,同一網(wǎng)段計算機越多,傳輸碰撞也越多,傳輸速率會變慢;交換機每個端口為固定帶寬,有獨特的傳輸方式,傳輸速率不受計算機增加影響,其獨特的NWAY、全雙工功能增加了交換機的使用范圍和傳輸速度。簡單的來說,四臺電腦連接集線器,如果有100M的帶寬,每臺電腦就只能分到100/4M的帶寬也就是25M的帶寬。而交換機就可以達到每人100M的帶寬,一個是均分一個是同用。 5 路由器
57、 路由器是網(wǎng)絡中進行網(wǎng)間連接的關鍵設備。作為不同網(wǎng)絡之間互相連接的樞紐,路由器系統(tǒng)構成了基于TCP/IP的國際互連網(wǎng)絡Internet 的主體脈絡。它的處理速度是網(wǎng)絡通信的主要瓶頸之一,它的可靠性則直接影響著網(wǎng)絡互連的質(zhì)量。因此,在園區(qū)網(wǎng)、地區(qū)網(wǎng)、乃至,,整個Internet 研究領域中,路由器技術始終處于核心地位。路由器之所以在互連網(wǎng)絡中處于關鍵地位,是因為它處于網(wǎng)絡層,一方面能夠跨越不同的物理網(wǎng)絡類型(DDN、F
58、DDI、以太網(wǎng)等等),另一方面在邏輯上將整個互連網(wǎng)絡分割成邏輯上獨立的網(wǎng)絡單位,使網(wǎng)絡具有一定的邏輯結(jié)構。路由器的基本功能是把數(shù)據(jù)(IP包)傳送到正確的網(wǎng)絡,具體包括:IP數(shù)據(jù)包的轉(zhuǎn)發(fā),包括數(shù)據(jù)包的尋徑和傳送;子網(wǎng)隔離,抑制廣播風暴;維護路由表,并與其它路由器交換路由信息,這是IP包轉(zhuǎn)發(fā)的基礎;IP數(shù)據(jù)包的差錯處理及簡單的擁塞控制實現(xiàn)對IP數(shù)據(jù)包的過濾和記憶等功能。,1.2.3 設備的管理方式,遠程管理:遠程管理是指通過遠程管理協(xié)議對設
59、備發(fā)起管理訪問,最常用的協(xié)議是Telnet協(xié)議。由于Telnet的安全性沒有SSH高,我們通常都用SSH來實現(xiàn),后期會說。本地管理:管理員能直接的在物理上接觸到網(wǎng)絡設備如手動使用Consloe線連接筆記本電腦或者臺式電腦到交換機上來進行管理。注:如今大多數(shù)用戶都已是光纖接入用戶,越來越多的用戶都開始使用智能路由器,本地管理寬帶要比以前管理簡單便捷的多,在網(wǎng)上多學習路由的管理還能避免自己家里寬帶連接的問題,從而節(jié)省了等待其他電信通信
60、維護員的上門維修等待時間。,,一、基礎知識與物理安全,1.3 物理安全建議,家用網(wǎng)絡的安全建議:無論是非屏蔽雙絞線或者是屏蔽雙絞線和光纖線都應該保護好,不能讓其他人誰隨便的盜竊或者破壞,路由或者分光器等設備也不能讓人強行的破壞拆散。機房網(wǎng)絡的安全建議:應對設備所在的機房安裝指紋認證系統(tǒng),如果不具備安裝指紋系統(tǒng)的條件至少選擇安裝門禁卡,還需加強對管理員的安全意識的培養(yǎng)。,*簡要提及如何維護網(wǎng)絡安全,1 基礎設施管理(1)確保網(wǎng)絡通
61、信傳輸暢通;(2)掌控主干設備的配置情況及配置參數(shù)變更情況,備份各個設備的配置文檔;(3)對運行關鍵業(yè)務網(wǎng)絡的主干設備配備相應的備份設備,并配置為熱后備設備;(4)負責網(wǎng)絡布線配線架的管理,確保配線的合理有序;(5)掌控用戶端設備接入網(wǎng)絡的情況,以便發(fā)現(xiàn)問題時可迅速定位;(6)采取技術措施,對網(wǎng)絡內(nèi)經(jīng)常出現(xiàn)的用戶需要變更位置和部門的情況進行管;(7)掌控和外部網(wǎng)絡的連接配置,監(jiān)督網(wǎng)絡通信狀況,發(fā)現(xiàn)問題后和有關機構及時聯(lián)系;
62、(8)實時監(jiān)控整個局域網(wǎng)的運轉(zhuǎn)和網(wǎng)絡通信流量情況;(9)定制、發(fā)布網(wǎng)絡基礎設施使用管理辦法并監(jiān)督執(zhí)行情況。2 操作系統(tǒng)管理(1)在網(wǎng)絡操作系統(tǒng)配置完成并投入正常運行后,為了確保網(wǎng)絡操作系統(tǒng)工作正常,網(wǎng)絡管理員首先應該能夠熟練的利用系統(tǒng)提供的各種管理工具軟件,實時監(jiān)督系統(tǒng)的運轉(zhuǎn)情況,及時發(fā)現(xiàn)故障征兆并進行處理。(2)在網(wǎng)絡運行過程中,網(wǎng)絡管理員應隨時掌控網(wǎng)絡系統(tǒng)配置情況及配置參數(shù)變更情況,對配置參數(shù)進行備份。網(wǎng)絡管理員還應該做到隨
63、著系統(tǒng)環(huán)境的變化、業(yè)務發(fā)展需要和用戶需求,動態(tài)調(diào)整系統(tǒng)配置參數(shù),優(yōu)化系統(tǒng)性能。(3)網(wǎng)絡管理員應為關鍵的網(wǎng)絡操作系統(tǒng)服務器建立熱備份系統(tǒng),做好防災準備。,,3 應用系統(tǒng)管理(1) 確保各種網(wǎng)絡應用服務運行的不間斷性和工作性能的良好性,出現(xiàn)故障時應將故障造成的損失和影響控制在最小范圍內(nèi)。(2) 對于需要不可中斷的關鍵型網(wǎng)絡應用系統(tǒng),除了在軟件手段上要掌控、備份系統(tǒng)參數(shù)和定期備份系統(tǒng)業(yè)務數(shù)據(jù)外,必要時在硬件手段上還要建立和配置系統(tǒng)的熱
64、備份。(3) 對于用戶訪問頻率高、系統(tǒng)負荷的網(wǎng)絡應用服務,必要時網(wǎng)絡管理員還應該采取分擔的技術措施。,,4 用戶服務和管理(1) 用戶的開戶和撤銷;(2) 用戶組的配置和管理;(3) 用戶可用服務和資源的的權限管理和配額管理;(4) 用戶計費管理;(5) 包括用戶桌面連網(wǎng)電腦的技術支持服務和用戶技術培訓服務的用戶端支持服務。5 安全保密管理(1) 安全和保密是個問題的兩個方面,安全主要指防止外部對網(wǎng)絡的攻擊和入侵,保密主
65、要指防止網(wǎng)絡內(nèi)部信息的泄漏。(2) 對于普通級別的網(wǎng)絡,網(wǎng)絡管理員的任務主要是配置管理好系統(tǒng)防火墻。為了能夠及時發(fā)現(xiàn)和阻止網(wǎng)絡黑客的攻擊,能夠加配入侵檢測系統(tǒng)對關鍵服務提供安全保護。(3) 對于安全保密級別需要高的網(wǎng)絡,網(wǎng)絡管理員除了應該采取上述措施外,還應該配備網(wǎng)絡安全漏洞掃描系統(tǒng),并對關鍵的網(wǎng)絡服務器采取容災的技術手段。(4) 更嚴格的涉密電腦網(wǎng)絡,還需要在物理上和外部公共電腦網(wǎng)絡絕對隔離,對安置涉密網(wǎng)絡電腦和網(wǎng)絡主干設備的房
66、間要采取安全措施,管理和控制人員的進出,對涉密網(wǎng)絡用戶的工作情況要進行全面的管理和監(jiān)控。,,6 信息存儲備份管理(1) 采取一切可能的技術手段和管理措施,保護網(wǎng)絡中的信息安全。(2) 對于實時工作級別需要不高的系統(tǒng)和數(shù)據(jù),最低限度網(wǎng)絡管理員也應該進行定期手工操作備份。(3) 對于關鍵業(yè)務服務系統(tǒng)和實時性需要高的數(shù)據(jù)和信息,網(wǎng)絡管理員應該建立存儲備份系統(tǒng),進行集中式的備份管理。(4) 最后將備份數(shù)據(jù)隨時保存在安全地點更是很重要。
67、7 機房管理(1) 掌控機房數(shù)據(jù)通信電纜布線情況,在增減設備時確保布線合理,管理維護方便;(2) 掌管機房設備供電線路安排,在增減設備時注意負載的合理配置;(3) 管理網(wǎng)絡機房的溫度、濕度和通風狀況,提供適合的工作環(huán)境;(4) 確保網(wǎng)絡機房內(nèi)各種設備的正常運轉(zhuǎn);(5) 確保網(wǎng)絡機房符合防火安全需要,火警監(jiān)測系統(tǒng)工作正常,滅火措施有效;(6) 采取措施,在外部供電意外中斷和恢復時,實現(xiàn)在無人值守情況下確保網(wǎng)絡設備安全運行;(
68、7) 保持機房整潔有序,按時記錄網(wǎng)絡機房運行日志,定制網(wǎng)絡機房管理制度并監(jiān)督執(zhí)行。,,企業(yè):1、外網(wǎng)要有必要的防護設備(防火墻、網(wǎng)絡版殺毒軟件、入侵防御系統(tǒng)、vpn等)2、內(nèi)網(wǎng)要及時安裝 安全更新補丁3、對重要服務器或終端進行必要的優(yōu)化(關閉無用的端口和服務)4、補丁是對內(nèi)、外網(wǎng)進行安全掃描。個人:1、最關鍵的是及時安裝更新補丁,2、應用可及時升級的殺毒軟件(含防火墻和web監(jiān)控),3、對系統(tǒng)進行必要的優(yōu)化。,附:IP編
最新文檔
- 《網(wǎng)絡協(xié)議與網(wǎng)絡安全》第04講 internet協(xié)議
- 網(wǎng)絡安全協(xié)議的高效分析系統(tǒng).pdf
- 網(wǎng)絡安全認證協(xié)議自動分析系統(tǒng).pdf
- 網(wǎng)絡安全教育案例
- 網(wǎng)絡安全協(xié)議課程設計-對ipsec協(xié)議的分析與優(yōu)化
- 醫(yī)療機構網(wǎng)絡安全——醫(yī)院網(wǎng)絡安全建設實踐
- 醫(yī)療機構網(wǎng)絡安全——醫(yī)院網(wǎng)絡安全建設實踐
- 網(wǎng)絡安全論文網(wǎng)絡安全與網(wǎng)絡安全文化
- 網(wǎng)絡安全與網(wǎng)絡安全文化.pdf
- 網(wǎng)絡安全協(xié)議SSH的研究與實現(xiàn).pdf
- 網(wǎng)絡安全論文網(wǎng)絡安全審計系統(tǒng)中數(shù)據(jù)捕獲和協(xié)議分析技術研究new
- 網(wǎng)絡安全風險分析
- 網(wǎng)絡安全方案分析
- 無線傳感器網(wǎng)絡安全路由協(xié)議分析與研究.pdf
- 網(wǎng)絡安全工程的實踐與研究.pdf
- 《網(wǎng)絡安全與管理第二》網(wǎng)絡安全試題
- 移動網(wǎng)絡安全協(xié)議研究.pdf
- 傳輸網(wǎng)絡安全組網(wǎng)原則及典型案例分析
- 網(wǎng)絡安全協(xié)議形式化分析技術研究.pdf
- 移動adhoc網(wǎng)絡安全路由協(xié)議分析方法研究.pdf
評論
0/150
提交評論