大綱課件v3.0-cispv無線局域網協議安全

機課程網絡協議

無線局域網協議設 檢測系其 設網絡架構安

網絡架構安全 2知識域：網絡協議安了解開放系統(tǒng)互聯OS）構及通信過程，了解每一層的功能 3ISO/OSI七層模型結應用應用 應用層（高543數據鏈路數據鏈路214第一應用應用表示定義物理鏈路的電氣、機械、通信表示、功能要求等電壓，數據速率，最大傳輸距物理線纜，物理介質將比特流轉換成電網絡網絡光纖、雙絞線、中繼器、集線器數據鏈100BaseT,OC-3,OC-12,數據鏈物理物理5第二層：數據鏈路應用應用物理尋址，網絡拓撲，線路規(guī)錯誤檢測和通告（但不糾錯將比特聚成幀進行流量控制（可選使用數據接收設備的硬件地址（物理址）尋址（如MAC地址數據鏈網卡、網橋和數據鏈PPP,HDLC,Ethernet,TokenRing,6第二層：以太網協議標準（兩個子層應用LLC（LogicalLink應用IEEE為上層提供統(tǒng)一接使上層獨立于下層物理介質提供流控、排序等MAC（MediaIEEE燒錄到網卡48比特7第三應用應用路徑選使用網絡層地址進行尋址（IP地址數據鏈路數據鏈路三層交換8第四應用應用表示提供端到端的數據傳輸表示會話建立邏輯會話傳輸傳輸數據鏈數據鏈物理UDP物理9第五應用應用表示表示會話會話傳輸傳輸網網絡物物理數據數據鏈第六應用應用協議轉數據加密數據壓縮數據鏈ASCII,MPEG,數據鏈物物理第七應用應用網 傳輸傳輸 net,HTTP,數據鏈數據鏈物物理分層結構的優(yōu)數據封裝與分從向低層逐層向逐層傳

7往下7

6 66565432.

2.34572.34571數據流的物理傳OSI

7654321鑒別服 抗抵賴服

網絡

加數訪數鑒加數訪數鑒業(yè)路公密字問據別務由證簽控完交流控名制整換填制性充OSI安全體系結構鑒別 知識域：網絡協議安了解TCP/IP協議模型及各層典型協議的功理解基于TCP/IP的典型安全協了解IPv6的安全特OSI模型與TCP/IP應用網絡互數據鏈路應用網絡互數據鏈路網絡接網絡接TCP/IP協應用傳輸網絡互聯網絡接口網絡接口損壞：自 、動物破壞、老化、誤操干擾：大功率電器/電源線路/電磁輻電磁泄漏：傳輸線路電磁泄：常見二層協議是明文通信的（以太、arp等服務：macflooding，arpflooding網絡互聯應用傳輸網絡互聯網絡接口網絡互聯層協 協議-IP協 源IP地目的IP地網絡互聯層安全問 ：應用傳輸網絡互聯網絡接口傳輸層協議-TCP協1616位目的32位序32位確認序UARS1616位校驗16位緊急指傳輸層協議-UDP協無連接、不可1616位目的16UDP16位校數傳輸層安全問服務：synflood/udp：應用層協解析電子郵件文件傳網頁瀏覽應用層協議安全問 基于TCP/IP協議簇的安全架網絡用戶網絡用戶IPIP物理介質物理介質（物理安全防護EE-MAISNMPGS/MIMPESES-HTTIKSFTSSX.50DNSSSTLTCUDIPSEC（AHIPSEC（ESPPPTL2TPPL2下一代互聯網協議-地址數量大量增加（32-報文頭部格式簡化，路由表簡化、處理速度內置安全特性移動性支QoS和性良好擴展知識域：網絡協議安了解無線局域網的基本組成與了解WEP、802.11i、WAPI等無線局域網安全協無線局域網網絡結無線局域網構成（802.11x客戶端無線接入點（access分布系統(tǒng)（distribution無線局域網安全問傳輸信道開放開放式認證系通過易 共享密鑰認證（使用WEP進行保護?? 案例：中間無線局域網安全協（802.11i草案2(802.11i正式發(fā)現AP階802.11i密鑰管理階安全傳輸階

WAPI無線安全協WPI證輸安 鑒 鑰

鑒別接入鑒別響密鑰協商響商法

組播密鑰響數據通知識域 設理 的作用、功能及分 掌 的典型部署方理 的局限的作用與功 對進出數據進行檢查，記錄相關信的分 形硬軟按技術濾（透明模式按體系結雙宿/多宿主主子其他分類的實現網關狀態(tài)檢測自適 技的實現技術 網絡層地址：IP地址（源地址及目的地址傳輸層地址：端口（源端口及目的端口協議：協議類的實現技術 優(yōu)點只對數據IPTCP/UDP易于配 缺點安全性薄弱，不能防止 的實現技術 網 電路的實現技術-電路能提供NAT適用面的實現技術-應 的實現技術-應濾提供良好的安全支持的應用數量性能表現欠的實現技術-一種將私有（保留IPInternet增加私有組織的可用地址空解決現有私有網絡接入的IP地址編號問的實現技術-動態(tài)地址轉

NAT管理方便并且節(jié)約IP隱藏內部IP址信可用于實現網絡外部應用程序卻不能方便地與NAT應實現技術--狀態(tài) 網絡

網絡狀檢測狀動態(tài)狀實現技術--狀態(tài)狀態(tài)檢測技 適應性對用戶、應用程序透實現技術-自適 技根據用戶定義安全規(guī)則動態(tài)“適應”傳輸網絡數服務可以從應用層轉發(fā)，也可以從網絡層轉兼有高安全性和高效部署方的工作模式-路由

的工作模式-透明

路由 的工作

的典型

防護墻的策略 所有數據需要的給予開 對明 的設置策的策略

的策略

部署結可信網絡與不可信網絡之不同安全級別網絡兩個需 的區(qū)域之 （無DMZ）部署方 （DMZ）部署方 部署方 （無DMZ）部署方

（DMZ）部署方

的部署方

的不足和局限 控 知識域 設 理 檢測系統(tǒng)的作用、功能及分了 檢測系統(tǒng)的主要技術原掌 檢測系統(tǒng)的典型部署方理 檢測系統(tǒng)的局限檢測系統(tǒng)的作用與功構 防御體系重要環(huán)克服傳統(tǒng)防御機監(jiān)測并分析用戶和系統(tǒng)的活核查系統(tǒng)配置 檢測系統(tǒng)的分 硬 檢軟 檢網 檢主 檢集中分布檢測的技術架 …）檢測工當前系統(tǒng)/

系統(tǒng)系統(tǒng)日應用日網絡數審計記其他分誤用分誤用檢異常檢歷史行特定行為模其？告告警響數據檢測技建 行為模型 特征假設可以識別和表示所有可能的特基于系統(tǒng)和基于用戶的誤設定“正常假設所有 行為是異常基于系統(tǒng)和基于用戶的異誤用算法簡有所有 特征，建立完備的特征特征庫要不斷更無法檢測異?？蓹z測未自適應 習能“正常”行為特征的選統(tǒng)計算法、統(tǒng)計點的選

檢測系 用 交換

NIDSNIDS路由檢測系統(tǒng)

HIDS分析引擎HIDS檢 檢 檢檢 檢檢測系 知識域 設 了 防御系統(tǒng)（IPS）的原理與特了解安全管理平臺（SOC）的主要功了解統(tǒng) 管理系統(tǒng)（UTM）的功能與特了解網絡準入控制（C安 與信息交換系統(tǒng)（網閘外部處理單元、內部處理單元、仲裁斷開 之間的會話（物 、協 同時集合了其他安全防護技 處 單 交換單

防御系統(tǒng)

安全管理平臺狹義 集廣義：IT資源集風險管系統(tǒng)管專業(yè)安全系統(tǒng) 管理系統(tǒng)

網絡準入控

認證服Radius知識域：網絡架構安理解網絡架構安理解網絡架構安全設計的主要工理 域劃分應考慮的主要因理解IP地址規(guī)劃方理解VLAN劃分的作用與策理解路由交換設備安全配置常見的要理解網絡邊 控制策略的類理解網絡冗余配置應考慮的因網絡架構安

網絡架構安全 區(qū) 安全域劃安全域是遵守相同安全策略的用戶和系統(tǒng)的集 IP地址規(guī)自頂向下的方為所設計的網絡中的節(jié)點、網絡設備分配合適的綜合考慮網絡層次規(guī)劃、路由協議規(guī)劃、流量規(guī)靜態(tài)IP地址分