网络基础架构.ppt

1、单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,*,公安部交通管理科学研究所,201,3,年6月,计算机网络,内,容概述,计算机网络基础,局域网技术及解决方案,广域网技术及解决方案,网络安全相关技术及解决方案,计算机网络基础,什么是计算机网络,ARPAnet,线缆,网卡,交换机,路由器,OSI,七层参考模型,Application,Presentation,Session,Transport,Network,Data Link,Physical,Data Link,Network,Transport,Session,Presentation,Application,Phys

2、ical,比特流,帧（,Frame,）,包（,Packet,）,分段（,Segment,）,会话流,代码流,数据,TCP/IP,协议簇,传输层,数据连路层,网络层,物理层,应用层,会话层,表示层,应用层,传输层,网络层,物理层,HTTP,、,FTP,、,SMTP,、,SNMP,、,POP,、,TELNET,、,RIP,、,NNTP,等,TCP,和,UDP,IP,、,ICMP,、,IGMP,、,ARP,、,RARP,等,Ethernet,、,ATM,、,FDDI,、,X.25,、,ISDN,等,内容分发,负载均衡,路由器,交换机,TCP,会话连接,SYN received,主机,A,：客户端,主

3、机,B,：服务端,发送,TCP SYN,分段,(seq=100 ctl=SYN),1,发送,TCP SYN&ACK,分段,(seq=300 ack=101 ctl=syn,ack),SYN received,2,Established,(seq=101 ack=301 ctl=ack),3,TCP,连接的终止,主机,B,：服务端,主机,A,：客户端,1,发送,TCP FIN,分段,2,发送,TCP ACK,分段,3,发送,TCP FIN,分段,4,发送,TCP ACK,分段,关闭,A,到,B,的连接,关闭,A,到,B,的连接,局域网技术及解决方案,局域网技术,1,、局域网（,LAN,）的定义：

4、,LAN,是一个覆盖地理位置相对较小的高速数据网络，通过电缆将服务器、工作站、打印机和其它设备连接到一起。这种网络通常位于一个比较集中的建筑群内。,2,、,LAN,拓扑结构：,电脑连接的方式叫,“,网络拓扑,”,，常见的,LAN,物理拓扑结构,有三种：总线型、环型和星型。而,逻辑拓扑结构,只有总线型和环型两种。逻辑总线型和环型拓扑结构通常可以在星型物理拓扑结构中实现。,图一,总线型,（以太网）,图二,环型,（令牌环、,FDDI,）,图三,星型,图四,星型,局域网技术,3,、以太网类型：,1,）标准以太网,：,速率为,10Mbps,，传输介质为同轴电缆或双绞线,；,2,）快速以太网：,速率为,1

5、00Mbps,，传输介质为双绞线或光纤；,3,）千兆以太网：,速率为,1000Mbps,，传输介质为双绞线或光纤；,4,）万兆以太网：速率为,10000Mbps,传输介质为双绞线或光纤,.,4,、局域网（以太网）设备：,1,）网络线缆,：,同轴电缆、双绞线、光纤。,2,）网卡：,一种电脑辅助板卡，一面插入电脑母板的扩展槽，另一面与网络线缆相连。网卡完成网络通信所需的各种功能。只有通过网卡，电脑才能通过网络进行通信。,目前常用的以太网卡：,10M,、,10/100M,自适应、,1000M,。,3,）集线器：,是一种连接多个用户节点的,物理层,设备，每个经集线器连接的节点都需要一条专用电缆，用集线

6、器可以建立一个物理的星型网络结构。,常用的集线器按速率分有,10M,、,100M,、,10/100M,自适应三种，支持的端口数从,8,口到,24,口不等。集线器令所有端口,共享,10M,（或,100M,）带宽。,4,、局域网（以太网）设备：,4,）交换机：,是,数据链路层,设备，它将较大的局域网分解成较小的子网，另每个端口下连接的单个设备或子网独享,10M,（或,100M,）分段，然后再实现分段间通信。,交换机对大网进行细分，减少了从一个分段到另一个分段时不必要的网络信息流，从而解决了网络拥塞问题，提高网络整体性能。,常见交换机类型：,10M,、,10/100M,、,1000M,，端口从,8,

7、口到,48,口不等。,交换机还有可堆叠、不可堆叠，可网管、不可网管以及是否带三层路由功能之分。,交换机,集线器,子网,A,集线器,子网,B,5、子网掩码分段：,子网掩码是一个应用于TCP/IP网络的32位二进制值，它可以屏蔽掉ip地址中的一部分，从而分离出ip地址中的网络部分与主机部分，基于子网掩码，管理员可以将网络进一步划分为若干子网。,缺省子网掩码：,即未划分子网，对应的网络号的位都置1，主机号都置0。,A类网络缺省子网掩码：255.0.0.0,B类网络缺省子网掩码：255.255.0.0,C类网络缺省子网掩码：255.255.255.0,6、虚拟局域网（VLAN）简介：,1）,所谓,VL

8、AN,，是指一个由多个段组成的物理网络中的结点的,逻辑分组,，利用VLAN，工作组应用可以象所有工作组成员都连接到同一个物理网段上一样进行工作，而不必关心用户实际连接到哪个网段上。VLAN是交换式LAN的最大特点。,交换机,信息中心,交换机,A,楼,交换机,B,楼,部门,A,部门,B,部门,A,部门,B,VLAN,的产生原因广播风暴,广 播 域,广播,广播域,广播域,通过路由器将网络分段,广播,广播域,广播域,通过,VLAN,划分广播域,广播,Port 1:VLAN-1,Port 2:VLAN-2,VLAN,的优点,相对与传统的,LAN,技术，,VLAN,具有如下优势：,隔离广播域，抑制广播报

9、文,.,减少移动和改变的代价,创建虚拟工作组，超越传统网络的工作方式,增强通讯的安全性,增强网络的健壮性,VLAN,的划分方法,基于,端口的,VLAN,主机,A,主机,B,主机,C,主机,D,VLAN,表,Port 1,Port 2,Port 7,Port 10,端口,所属,VLAN,Port1,VLAN5,Port2,VLAN10,Port7,VLAN5,Port10,VLAN10,VLAN,的划分方法,基于,MAC,地址,的,VLAN,VLAN,表,MAC,地址,所属,VLAN,MAC A,VLAN5,MAC B,VLAN10,MAC C,VLAN5,MAC D,VLAN10,主机,A,主

10、机,B,主机,C,主机,D,VLAN,的划分方法,基于协议的,VLAN,VLAN,表,协议类型,所属,VLAN,IPX,协议,VLAN5,IP,协议,VLAN10,主机,A,主机,B,主机,C,主机,D,VLAN,的划分方法,基于子网的,VLAN,VLAN,表,IP,网络,所属,VLAN,IP 1.1.1.0/24,VLAN5,IP 1.1.2.0/24,VLAN10,主机,A,主机,B,主机,C,主机,D,VLAN,的可跨越性,VLAN,3,VLAN,5,VLAN,3,VLAN,5,VLAN,数据可以跨越多台交换机被转递,SWA,SWB,VLAN,的链路类型,接入链路,Access-Link

11、,干道链路,Trunk-Link,SWA,SWB,以太网交换机的端口分类,Access,端口：,一般用于接用户计算机的端口，,access,端口只能属于,1,个,VLAN,。,Trunk,端口：,一般用于交换机之间连接的端口，,trunk,端口可以属于多个,VLAN,，可以接收和发送多个,VLAN,的报文。,Hybrid,端口：,可以用于交换机之间连接，也可以用于接用户的计算机，,hybrid,端口可以属于多个,VLAN,，可以接收和发送多个,VLAN,的报文。,端口的缺省,ID,（,PVID,）,Access,端口只属于一个,VLAN,，所以它的缺省,ID,就是它所在的,VLAN,，不用设置

12、。,Hybrid,端口和,Trunk,端口属于多个,VLAN,，所以需要设置缺省,VLAN ID,，缺省情况下为,VLAN 1,。,Trunk-Link,配置,负责传输多个,VLAN,的数据,Trunk-Link,端口,PVID,默认为,1,配置端口类型,Switch-Ethernet0/3port link-type trunk,配置,Trunk-Link,所允许传递的,VLAN,Switch-Ethernet0/3port trunk permit vlan all,配置,Trunk-Link,端口,PVID,Switch-Ethernet0/3port trunk pvid vlan 1

13、,Port-0/3,Port-0/3,SWA,SWB,Access-Link,配置,默认情况下，交换机所有端口都是,Access-Link,端口，并属于,VLAN-1,，即,PVID(Port VLAN ID),为,1,Port-0/1:VLAN-3,Port-0/2:VLAN-5,配置端口类型,Switch-Ethernet0/1port link-type access,Switch-Ethernet0/2port link-type access,创建,VLAN,，并向,VLAN,中添加端口,Switchvlan 3,Switch-vlan1port ethernet 0/1,Switc

14、hvlan 5,Switch-vlan2port ethernet 0/2,另外的一种向,VLAN,中添加端口的方法,Switch-Ethernet0/1port access vlan 3,Switch-Ethernet0/2port access vlan 5,SWA,VLAN,的缺点,VLAN,隔离了二层广播域，也就严格地隔离了各个,VLAN,之间的任何流量，分属于不同,VLAN,的用户不能互相通信。,VLAN 100,VLAN 200,Port 1,Port 2,VLAN,互通的实现,每个,VLAN,一个物理连接,在二层交换机上配置,VLAN,，每一个,VLAN,使用一条独占的物理连接

15、连接到路由器的一个接口上。,VLAN 100,VLAN 300,Ethernet2,Ethernet0,VLAN 200,Ethernet1,VLAN,互通的实现,使用,VLAN Trunking,二层交换机上和路由器上配置他们之间相连的端口使用,VLAN Trunking,，使多个,VLAN,共享同一条物理连接到路由,VLAN 100,VLAN 300,VLAN 200,Trunk,Ethernet0.300,Ethernet0.200,Ethernet0.100,VLAN,互通的实现,交换和路由的集成,二层交换机和路由器在功能上的集成构成了三层交换机，三层交换机在功能上实现了,VLAN,的

16、划分、,VLAN,内部的二层交换和,VLAN,间路由的功能。,VLAN 300,VLAN 100,VLAN 200,VLAN 100,VLAN 200,VLAN 300,二层交换机,三层交换机,三层交换机功能模型,10.110.0.113/24,GW:10.110.0.254,10.110.1.69/24,GW:10.110.1.254,10.110.1.88/24,GW:10.110.1.254,10.110.2.200/24,GW:10.110.2.254,VLAN100,10.110.0.254/24,VLAN200,10.110.1.254/24,VLAN300,10.110.2.25

17、4/24,局域网络的设计需求,更高的可靠性,冗余的网络结构：STP，PVST,高速故障链路切换：Uplink fast,Backbone fast,Port fast,更高的安全性,完整的网络安全策略：VLAN,基于交换机端口的安全性，,更高的性能,基于光纤和UTP的千兆以太网及以太网通道,高效的第三层交换,更好的可管理性,强大的网络管理工具：CiscoWorks2000,支持未来业务的发展,大型局域网网络解决方案,CiscoWorks for Windows,或,CiscoWorks 2000,网管,邮件服务器,4GB GEC,中心两台,Catalyst4506/4507,，配置千兆模块，支

18、持,VLAN,和高速三层交换,1000M,10/100M,10/100M,业务服务器,10/100M,10/100M,Catalyst 2950T,1000M,1000M,OA,服务器,Catalyst 3550,工作站,10/100M,接入,1000M,1000M,Catalyst 3550,大型局域网网络,解决方案特点,1.系统稳定可靠；采用双中心，且链路冗余；,2.高性能全交换、千兆主干，满足大负荷网络运行需求；中心交换机备板64Gbps，二层和三层交换性能为48MPPS;,3.三层交换，虚拟网络划分，有效隔离办公与业务网络，避免广播风暴，提高网络性能；,4.边缘交换机采用10/100M

19、端口连接终端用户，千兆上联，可堆叠扩展用户数目，节省上联链路；,5.系统安全,保密性高;,ACL，VLAN,等网络安全策略,6.管理简单，浏览器方式无需专门培训,7.良好的扩充性,广域网技术及解决方案,广域网综述,广域网综述：,广域网,是地理位置较为分散的局域网之间链接通道的集合。,广域网的出现是为了解决局域网与一台远程工作站或另一个局域网链接的问题，在这种情况下，需要链接的距离已超过了线缆媒体的规格，或者不可能进行物理性的线缆连接，为了实现广域网，需要用到下面这些传输媒体：,普通电话网（,PSTN,）,X.25,专线,一线通,ISDN,DDN,专线,帧中继业务,国际互联网,(Internet

20、),高速光缆,卫星链路,微波传输链路,无线广播媒体,一线通,ISDN,一线通,ISDN,：,ISDN,是一种建立在全数字化网络基础上的综合业务,数字,网络，中国电信称之为,“,一线通,”,。它有以下特点：,1,）通过一根普通电话线您可以进行多种业务通信，如用于电话、上网、传真、会议电视、局域网互连等；,2,）因为,ISDN,提供,2B+D,服务（,B,信道传输速率为,64K,，,D,信道为,“,服务信道,”,传输速率,16K,），通过一根普通电话线您可以同时进行两路通信，比如边上国际互联网边打电话，或两部电话同时通话等；,3,）可以同时使用两个,B,信道来进行数据传输，从而获得,128K,的总

21、体传输速率，当一个,B,信道用于语音传送时，另一个,B,信道上的传输速率就会降回原始的,64K,，当语音停止传送时，数据传送速率就会立即恢复成,128K,。,数据专线,DDN,专线：,DDN,是数字数据网的简称，主要是为用户提供永久的出租数字电路。,DDN,为用户开放多种形式的业务：点对点的专线、一点对多点的连接、同点对多点的图像通信等。速率从,9.6K,、,19.2K,、,64K,一直,2M,。,帧中继业务,：,帧中继提供了高速度、高效率、大吞吐量、低时延的数据服务。帧中继利用永久性虚电路（,PVC,）建立可靠的端到端回路。,对于低速帧中继业务可通过,DDN,网内以帧中继,OVER DDN,

22、的方式或经由,DDN,网接入宽带,ATM,网；对于高速用户可使用光纤或,HDSL,直接接入,ATM,网。,相对于,DDN,电路，帧中继更适合于点到多点的业务。,DDN,的点到多点业务只能提供轮询方式（在一段时间内，主点只能与一个从点进行通信）。帧中继业务采用,PVC,方式，可提供与所有从站并发双工通信。另外，由于帧中继支持突发数据，也比较适合于局域网互连或业务突发量较大的应用。,VPN,技术使用户可以通过国际互联网为企业构筑安全可靠、方便快捷的企业私有网络。,根据业务类型，,VPN,业务大致可分为两类，拨号,VPN,与专线,VPN,。所谓拨号,VPN,，指企业员工或企业的小分支机构通过当地,I

23、SP,拨号入公网的方式而构筑的虚拟网。专线,VPN,是指企业的分支机构通过租用当地专线入公网来构筑的虚拟网。,VPN,系统使分布在不同地方的专用网络在不可信任的公共网络上安全地通信。它采用复杂的算法来加密传输的信息，使得敏感的数据不会被窃听。,工作过程：,局域网中被保护的主机发明文信息到,VPN,设备，,VPN,对数据加密后通过路由器送到互联网上，加密的数据从互联网到达另一个局域网的路由器，然后由路由器后面的,VPN,设备将数据解密后送到,VPN,后面被保护的主机上。,通过国际互联网建立虚拟专用网（,VPN,）,：,VPN,技术,当地专线,隧道从一个,VPN,设备开始到另一个,VPN,设备结束

24、。,当地专线,拨当地,ISP,拨长途号,租长途专线,专用网,虚拟专用网,国际互联网,分支机构,总部,局域网,路由器,VPN,设备,VPN,设备,路由器,带VPN软件的远程站点,VPN,技术,防火墙,Checkpoint&,FortiGate 400,出口路由器,CISCO 3620,INTERNET,SDH,128KDDN,专线,XXX,单位网络系统拓扑图,2M,数字电路,中心交换机,Catalyst4006,股份公司,防火墙,PIX515-R,出口路由器,CISCO 3640,内部路由器,CISCO 3745,4M,数字电路,PSTN,财务信息系统,DMZ,防火墙,拨号路由器,财务客户端,财

25、务客户端,财务客户端,DB*2,Switch*2,RAID,APP*2,TAPE,DB=,数据库服务器,APP=,应用服务器,RAID=,磁盘阵列,TAPE=,磁盘阵列,2Gb/s,光纤通道,WEB,WEB=WWW,服务器,应用实例一：,总部网络,拥有静态,IP,地址的分公司网络,拥有动态,IP,地址的分公司网络,备用,VPN,通道,DDN,专用线路,公司外地出差人员,公司外地出差人员,拥有静态,IP,地址的分公司所属各经营部,拥有动态,IP,地址的分公司所属各经营,FortiGate-100,FortiGate-50,两网关设备间,IPSecVPN,通道,FortiNet SSH,软件,IP

26、SecVPN,通道,L2TP/PPTP VPN,通道,XXX,集团销售公司,VPN,专网,应用实例二：,VPN,网络安全技术及相关解决方案,防火墙技术,防火墙,：,是加载于可信网络与不可信网络之间的安全设备，是网络安全政策的有机组成部分，它通过控制和监测网络之间的信息交换和访问行为来实现对网络安全的有效管理。,防火墙可以是软件、硬件和软硬件结合的,发展历经简单包过滤、应用代理、状态检测（状态包过滤）防火墙,最新技术是具有数据流过滤功能的防火墙,对于一个网络来说，所有通过“内部”和“外部”的网络流量都要经过防火墙,防火墙本身必须建立在安全操作系统的基础上,防火墙的控制能力,服务控制，确定哪些服务

27、可以被访问,方向控制，对于特定的服务，可以确定允许哪个方向能够通过防火墙,用户控制，根据用户来控制对服务的访问,行为控制，控制一个特定的服务的行为,防火墙主要功能,过滤进、出网络的数据,管理进、出网络的访问行为,封堵某些禁止的业务,记录通过防火墙的信息内容和活动,对网络攻击进行检测和报警,内部工作子网与外网的访问控制,进行访问规则检查,发起访问请求,合法请求则允许对外访问,将访问记录写进日志文件,合法请求则允许对外访问,发起访问请求,防火墙在此处的功能：,1,、工作子网与外部子网的物理 隔离,2,、访问控制,3,、对工作子网做,NAT,地址转换,4,、日志记录,Internet,区域,Inte

28、rnet,边界路由器,DMZ,区域,WWW Mail DNS,内部工作子网,管理子网,一般子网,内部,WWW,重点子网,DMZ,区域与外网的访问控制,Internet,区域,Internet,边界路由器,进行访问规则检查,发起访问请求,合法请求则允许对外访问,将访问记录写进日志文件,禁止对外发起连结请求,发起访问请求,防火墙在此处的功能：,1,、,DMZ,网段与外部子网的物理隔离,2,、访问控制,3,、对,DMZ,子网做,MAP,映射,4,、日志记录,DMZ,区域,WWW Mail DNS,内部工作子网,管理子网,一般子网,内部,WWW,重点子网,内部子网与,DMZ,区的访问控制,进行访问规则

29、检查,发起访问请求,合法请求则允许对外访问,将访问记录写进日志文件,禁止对工作子网发起连结请求,发起访问请求,Internet,区域,Internet,边界路由器,DMZ,区域,WWW Mail DNS,内部工作子网,管理子网,一般子网,内部,WWW,重点子网,拨号用户对内部网的访问控制,拨号服务器,Cisco 2620,移动用户,PSTN,Modem,Modem,进行一次性口令认证,认证通过后允许访问 内网,将访问记录写进日志文件,内部工作子网,管理子网,一般子网,内部,WWW,重点子网,下属机构对总部的访问控制,拨号服务器,PSTN,Internet,区域,Internet,边界路由器,内

30、部工作子网,管理子网,一般子网,内部,WWW,重点子网,下属机构,DDN/FR,X.25,专线,DMZ,区域,WWW Mail DNS,FW+VPN,FW+VPN,进行规则检查,将访问记录写进日志文件,防火墙在此处的功能：,1,、将内部子网与连接下属机构的公网隔离开,2,、控制下属机构子网用户对总部内网的访问,3,、对下属机构网络与总部子网之间的通讯做日志和审计,基于时间的访问控制,Host C,Host D,在防火墙上制定基于时间的访问控制策略,上班时间不允许访问,Internet,上班时间可以访问公司的网络,Internet,用户级权限控制,Host C,Host D,Host B,Hos

31、t A,受保护网络,Internet,Permit,Password,Username,预先可在防火墙上设定用户,root,123,root,123,Yes,admin,883,No,不管那台电脑都可以用相同的用户名来登陆防火墙,只需在防火墙设置该用户的规则即可,高层协议控制,应用控制可以对常用的高层应用做更细的控制,如,HTTP,的,GET,、,POST,、,HEAD,如,FTP,的,GET,、,PUT,等,物理层,链路层,网络层,传输层,会话层,表示层,应用层,物理层,链路层,网络层,传输层,会话层,表示层,应用层,内部网络,外部网络,防火墙,内部接口,外部接口,根据策略检查应用层的数据,

32、符合策略,应用层,应用层,应用层,IP,与,MAC,绑定,Internet,Host A,199.168.1.2,Host B,199.168.1.3,Host C,199.168.1.4,Host D,199.168.1.5,00-50-04-BB-71-A6,00-50-04-BB-71-BC,Bind 199.168.1.2 To 00-50-04-BB-71-A6,Bind 199.168.1.4 To 00-50-04-BB-71-BC,IP,与,MAC,地址绑定后，不允许,Host B,假冒,Host A,的,IP,地址上网,防火墙允许,Host A,上网,流量控制,Host C,

33、Host D,Host B,Host A,受保护网络,Host A,的流量已达到,10M,Host A,的流量已达到 极限值,30M,阻断,Host A,的连接,Internet,端口映射,Internet,公开服务器可以使用私有地址,隐藏内部网络的结构,WWW,199.168.1.2,FTP,199.168.1.3,MAIL,199.168.1.4,DNS,199.168.1.5,199.168.1.6,12.4.1.5,202.102.1.3,199.168.1.2,：,80202.102.1.3,：,80,199.168.1.3,：,21202.102.1.3,：,21,199.168.

34、1.4,：,25202.102.1.3,：,25,199.168.1.5,：,53202.102.1.3,：,53,199.168.1.2,202.102.1.3,NAT,网关和,IP,复用,Internet,202.102.93.54,Host A,受保护网络,Host C,Host D,192.168.1.21,192.168.1.25,防火墙,Eth2,：,192.168.1.23,Eth0,：,101.211.23.1,数据,IP,报头,数据,IP,报头,源地址：,192.168.1.21,目地址：,202.102.93.54,源地址：,101.211.23.1,目地址：,202.10

35、2.93.54,101.211.23.2,隐藏了内部网络的结构,内部网络可以使用私有,IP,地址,公开地址不足的网络可以使用这种方式提供,IP,复用功能,透明接入,受保护网络,Internet,如果防火墙支持透明模式，则内部网络主机的配置不用调整,Host A,199.168.1.2,Host C,199.168.1.4,Host D,199.168.1.5,Host B,199.168.1.3,199.168.1.8,同一网段,透明模式下，这里不用配置,IP,地址,透明模式下，这里不用配置,IP,地址,Default Gateway=199.168.1.8,防火墙相当于网桥，原网络结构没有改

36、变,信息系统审计与日志,Host A,199.168.1.2,Host B,199.168.1.3,Host C,199.168.1.4,Host D,199.168.1.5,Internet,安全网域,Host G,Host H,TCP,202.102.1.2,199.168.1.2,8,：,30,2001-02-07,202.102.1.2,202.102.1.3,TCP,202.102.1.3,199.168.1.5,9,：,10,2001-02-07,写入日志,写入日志,一旦出现安全事故,可以查询此日志,身份鉴别功能,Host C,Host D,Host B,Host A,受保护网络,

37、Internet,Permit,Password,Username,预先可在防火墙上设定用户,root,asdasdf,验证通过则允许访问,root,123,Yes,admin,883,No,用户身份认证,根据用户控制访问,防火墙的类型,包过滤路由器,应用层网关,电路层网关,这仅是一种防火墙分类方法，所着眼的视角不同，得到的类型划分也不一样,包过滤防火墙,基本的思想很简单,对于每个进来的包，适用一组规则，然后决定转发或者丢弃该包,往往配置成双向的,如何过滤,过滤的规则以,IP,和传输层的头中的域,(,字段,),为基础，包括源和目标,IP,地址、,IP,协议域、源和目标端口号,过滤器往往建立一组

38、规则，根据,IP,包是否匹配规则中指定的条件来作出决定,包过滤路由器示意图,网络层,链路层,物理层,外部网络,内部网络,包过滤,Host C,Host D,数据包,数据包,数据包,数据包,数据包,查找对应的控制策略,拆开数据包,进行分析,根据策略决定如何处理该数据包,数据包,控制策略,基于源,IP,地址,基于目的,IP,地址,基于源端口,基于目的端口,基于时间,基于用户,基于流量,基于数据流,可以灵活的制定,的控制策略,包过滤防火墙的优缺点,在网络层上进行监测,并没有考虑连接状态信息,通常在路由器上实现,实际上是一种网络的访问控制机制,优点,实现简单,对用户透明,效率高,缺点,正确制定规则并不

39、容易,不可能引入认证机制,针对包过滤防火墙的攻击,IP,地址欺骗，例如，假冒内部的,IP,地址,对策：在外部接口上禁止内部地址,源路由攻击，即由源指定路由,对策：禁止这样的选项,小碎片攻击，利用,IP,分片功能把,TCP,头部切分到不同的分片中,对策：丢弃分片太小的分片,利用复杂协议和管理员的配置失误进入防火墙,例如，利用,ftp,协议对内部进行探查,应用层网关,也称为代理服务器,特点,所有的连接都通过防火墙，防火墙作为网关,在应用层上实现,可以监视包的内容,可以实现基于用户的认证,所有的应用需要单独实现,可以提供理想的日志功能,非常安全，但是开销比较大,应用层网关的优缺点,优点,允许用户“直

40、接”访问,Internet,易于记录日志,缺点,新的服务不能及时地被代理,每个被代理的服务都要求专门的代理软件,客户软件需要修改，重新编译或者配置,有些服务要求建立直接连接，无法使用代理,代理服务不能避免协议本身的缺陷或者限制,电路层网关,工作于,OSI/RM,的会话层,充当屏蔽路由器，将内外网彻底隔离,防火墙设计规则,保持设计的简单性,计划好防火墙被攻破时的应急响应,考虑以下问题,双机热备,安全的远程管理,入侵监测的集成,数据保护功能,双机热备,内部网,外网或者不信任域,Eth 0,Eth 0,Eth1,Eth1,Eth2,Eth2,心跳线,Active Firewall,Standby F

41、irewall,检测,Active Firewall,的状态,发现出故障，立即接管其工作,正常情况下由主防火墙工作,主防火墙出故障以后，接管它的工作,安全远程管理,安全网域,Host C,Host D,Internet,管理员,黑客,如何实现,安全管理呢,采用一次性口令认证来实现安全管理,用户名，口令,用户名，口令,数据机密性保护,拨号服务器,PSTN,Internet,区域,Internet,边界路由器,内部工作子网,管理子网,一般子网,内部,WWW,重点子网,下属机构,DDN/FR,X.25,专线,DMZ,区域,WWW Mail DNS,密文,传输,明文传输,明文传输,数据完整性保护,内部

42、工作子网,管理子网,一般子网,内部,WWW,重点子网,下属机构,DDN/FR,X.25,专线,原始数据包,对原始数据包进行,Hash,加密后的数据包,摘要,Hash,摘要,对原始数据包进行加密,加密后的数据包,加密,加密后的数据包,摘要,加密后的数据包,摘要,摘要,解密,原始数据包,Hash,原始数据包,与原摘要进行比较，验证数据的完整性,数据源身份验证,内部工作子网,管理子网,一般子网,内部,WWW,重点子网,下属机构,DDN/FR,X.25,专线,原始数据包,对原始数据包进行,Hash,Hash,摘要,加密,摘要,摘要,取出,DSS,原始数据包,Hash,原始数据包,两摘要相比较,私钥,原

43、始数据包,DSS,DSS,将数字签名附在原始包后面供对方验证签名,得到数字签名,原始数据包,DSS,原始数据包,DSS,DSS,解密,相等吗？,验证通过,IDS,IDS,（,Intrusion Detection System,）就是入侵检测系统，它通过抓取网络上的所有报文，分析处理后，报告异常和重要的数据模式和行为模式，使网络安全管理员清楚地了解网络上发生的事件，并能够采取行动阻止可能的破坏。,监控室,=,控制中心,后门,保安,=,防火墙,摄像机,=,探测引擎,Card Key,形象地说，它就是网络摄象机，能够捕获并记录网络上的所有数据，同时它也是智能摄象机，能够分析网络数据并提炼出可疑的、

44、异常的网络数据，它还是,X,光摄象机，能够穿透一些巧妙的伪装，抓住实际的内容。它还不仅仅只是摄象机，还包括保安员的摄象机，能够对入侵行为自动地进行反击：阻断连接、关闭道路（与防火墙联动）。,入侵检测系统,Firewall,Internet,Servers,DMZ,IDS Agent,Intranet,监控中心,router,攻击者,发现攻击,发现攻击,发现攻击,报警,报警,IDS Agent,入侵检测系统的作用,实时检测,实时地监视、分析网络中所有的数据报文,发现并实时处理所捕获的数据报文,安全审计,对系统记录的网络事件进行统计分析,发现异常现象,得出系统的安全状态，找出所需要的证据,主动响应

45、,主动切断连接或与防火墙联动，调用其他程序处理,典型部署企业内部安装,Intranet,IDS Agent,IDS Agent,Firewall,Internet,Servers,DMZ,IDS Agent,监控中心,router,典型部署广域网应用,Internet,监控中心（辅）,IDS Agent,IDS Agent,IDS Agent,IDS Agent,IDS Agent,IDS Agent,监控中心（主）,病毒新概念,病毒感染不仅是一个文件，而是一个系统,病毒文件会替换操作系统文件,不是所有病毒都可以修复的！,杀蠕虫和特洛伊木马的方法就是删除整个文件,完整的防毒规划七大,要素,多层

46、次、全方位、跨平台的技术及強大功能,简易快速的网络安装,集中管理,警报和报表系统,自动化服务机制,合理的预算规划,对,企业用户的服务与支持,防毒产品的剖析,选购防毒产品的考虑,防毒解毒能力最重要的基本,能力,管理能力,针对中国用户的病毒库升级服务,选择的标准,厂商提供的比较表最不可靠,单一产品評比仅在當发有效(产品版本不断更新),专业防毒认证具公信力，需要持续送测,主要认证单位,ICSA(,基本认证),Check-Mark(Level 2,确保修复能力),Virus Bulletin(,最,严格,),计算机安全产品认证,Data source:ICSA,International Comput

47、er Security Association,CheckMark 认证：,www.check-,Level 1,、,Level 2,Level Trojan,ICSA,认证：,www.ICSA.net,On-Demand/On-Access,Cleaning,Internet,Internet Email,网关,防火墙,网关级,群件服务器,-Notes and Exchange,NetWare,Server,NT Server,服务器级,Macintosh,Windows,95/98,WinXP,Windows,NT/2000,客户端级,3.第三是通过优盘和盗版光盘传播病毒,1.,第一是电子

48、邮件带来的病毒,2.第二是通过,Internet,浏览、下载（HTTP、FTP）,病毒,-,多层感染途径,只要有可能感染和传播病毒的途径和方式都应有相应的解决方案,服务器,客户端,网关,防病毒,入侵检测,风险管理,内容过滤,内容过滤,入侵检测,防病毒,防火墙,内容过滤,入侵检测,防病毒,防火墙,安全市场的现状：,多层次；多供应商,Internet,病毒网关应用,DMZ,Email,HTTP,财务部,市场部,研发部,Router,Exe/doc/zip,病毒库,网络安全的重点,网络安全一直无法落实的主因就在于，不知道漏洞的存在，甚至不去实时修补漏洞，那黑客铁定比你清楚如何利用它。正确的网络安全观

49、念并不是一昧的购置网络安全产品，更重要的是主动正视安全漏洞的问题，做好入侵预防，并且实时做好漏洞修补的工作，让黑客根本就不得其门而入。,常用安全工具,防火墙,入侵检测工具,snort,端口扫描工具,nmap,系统工具,netstat,、,lsof,网络嗅探器,tcpdump,、,sniffer,综合工具,X-Scanner,、流光、,Nessus,十大最佳网络安全工具,Nessus www.nessus.org,Netcat www.tcpdump.org,Snort www.snort.org,Saint ethereal.zing.org/,Whisker Security Scanner,Abacus Portsentry naughty.monkey.org/dugsong/dsniff,安全站点,绿盟科技,绿色兵团,www.vertarmy.org,网络安全评估中心,安全焦点,网络安全响应中心,国外：,www.cert.org,www.sans.org,www.securityfocus.org,www.securiteam.org,问题,&,应答,服务器系统安全管理和数据安全,北京华胜天成科技股份有限公司,售前技术部：王超,2005,年,1,月,内容概述,服务器产品基础,服务器系统安全管理,数据安全管理,问题,&,应答,服务器产品基础,服务器产品分类,按,CPU,类型