网络安全基础培训=资料.ppt

* * * * Slide 1 of 1 Purpose: Emphasize: * Slide 1 of 1 Purpose: Emphasize: * Purpose: This figure compares the switch to a highway. * * * * * 主机IDS运行于被检测的主机之上，通过查询、监听当前系统的各种资源的使用运行状态，发现系统资源被非法使用和修改的事件，进行上报和处理。其监测的资源主要包括：网络、文件、进程、系统日志等 * * * * 表现出的问题 1、大量的网络设备、主机系统和应用系统分属不同的部门或业务系统，认证、授权和审计方式没有统一，当需要同时对多个系统进行操作时，工作复杂度成倍增加 2、一些设备和业务系统由厂商代维，因缺乏统一监管，安全状况不得而知 3、各系统分别管理所属的系统资源，为本系统的用户分配访问权限，缺乏统一的访问控制平台，随着用户数增加，权限管理愈发复杂，系统安全难以得到充分保障 表现出的问题 4、个别账号多人共用，扩散范围难以控制，发生安全事故时更难以确定实际使用者 5、随着系统增多，用户经常需要在各系统间切换，而每次切换都需要输入该系统的用户名和口令，为不影响工作效率，用户往往会采用简单口令或将多个系统的口令设置成相同的，造成对系统安全性的威胁 6、对各个系统缺乏集中统一的访问审计，无法进行综合分析，因此不能及时发现入侵行为 4A认证技术的现状 早期以及现在绝大部分的支撑系统，都使用简单的用户名/密码方式来进行访问控制保护，这种方式主要存在以下几方面的不足： 1、安全强度较低，难以真正保证系统的安全； 2、随着用户名/密码对的增多，用户势必采取一些不安全的辅助手段来记忆，从而造成这种保护形同虚设，极大降低了安全强度； 3、难以实现企业安全策略，造成安全保护链中具有众多的薄弱环节； 4、极差的可伸缩性(scalability)； 5、对信息资源的共享也造成了极大障碍，等等。 4A认证技术现状 第一个类似于现在所提的4A框架的应该算Radius系统 。 该系统由Livingston Enterprises(Lucent 的前身)于1992年所提出并实现，其核心包括了后来所提出的AAA(Authentication, Authorization, Accounting)协议，主要用于电信行业ISP及其分销商为用户提供网络服务，主要对网络设备的有效使用进行管理 4A认证技术 中国移动是我国特大型电信运营商之一，有三十多家分公司，其网络规模庞大，应用系统种类众多、复杂。建设4A框架，保证安全、高效的利用好这些网络和应用资源，提高企业的核心竞争力，是一个非常重要的课题。 目 录 网络基础概念 TCP/IP协议介绍 TCP/IP协议族脆弱性分析 常见网络设备及安全技术 路由器 交换机 防火墙 入侵检测 日志审计 AAAA认证 VLAN技术 VLAN概要 什么是Vlan Vlan的优点 Vlan的分类 什么是Vlan VLAN，是英文Virtual Local Area Network的缩写，中文名为“虚拟局域网”， VLAN是一种将局域网（LAN）设备从逻辑上划分（注意，不是从物理上划分）成一个个网段（或者说是更小的局域网LAN），从而实现虚拟工作组（单元） 的数据交换技术。 一方面，VLAN建立在局域网交换机的基础之上， 另一方面，VLAN是局域交换网的灵魂。 这是因为通过VLAN用户能方便的在网路中移动和快捷的组建宽带网络，而无需改变任何硬件和通信线路。 VLAN示意图 Vlan概要 VLAN充分体现了现代网络技术的重要特征 高速、灵活、管理简便和扩展容易四大特点。 VLAN也可以不局限于某一网络或物理范围，VLAN中的用户可以位于一个园区的任意位置，甚至是不同的国家。 Vlan的优点 控制网络的广播风暴 确保网络安全 简化网络管理 Vlan分类 基于端口的VLAN 基于MAC地址的VLAN 基于第三层的VLAN 基于IP组播的VLAN 基于用户定义、非用户授权的VLAN 基于策略的VLAN 基于端口的VLAN 基于端口的VLAN是划分虚拟局域网最简单也是最有效的方法，这实际上是某些交换端口的集合，网络管理员只需要管理和配置交换端口，而不管交换端口连接什么设备。  基于MAC地址的VLAN 由于只有网卡才分配有MAC地址，因此按MAC地址来划分VLAN实际上是将某些工作站和服务器划属于某个VLAN。事实上，该VLAN是一些MAC地址的 集合。当设备移动时，VLAN能够自动识别。网络管理需要管理和配置设备的MAC地址，显然当网络规模很大，设备很多时，会给管理带来难度。 基于第三层的VL