《网络工程规划与设计》第六章ppt培训课件

《网络工程规划与设计》第六章ppt培训课件

ID:33459537

大小:589.00 KB

页数:33页

时间:2018-05-22

《网络工程规划与设计》第六章ppt培训课件_第1页
《网络工程规划与设计》第六章ppt培训课件_第2页
《网络工程规划与设计》第六章ppt培训课件_第3页
《网络工程规划与设计》第六章ppt培训课件_第4页
《网络工程规划与设计》第六章ppt培训课件_第5页
资源描述:

《《网络工程规划与设计》第六章ppt培训课件》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、第6章网络安全设计【本章要点】通过本章学习,读者应了解网络威胁与对策,服务器威胁与对策,802.1x+RADIUS的应用,以及几种认证方式比较和DMZ的概念。基本掌握802.1x协议及工作机制,基于RADIUS的认证计费,防止IP地址盗用的技术,网络防病毒技术。基本掌握路由器+防火墙保护网络边界的方法,标准访问列表和扩展访问列表的应用。6.1网络安全设计的原则1.网络信息安全的木桶原则2.网络信息安全的整体性原则3.安全性评价与平衡原则4.标准化与一致性原则5.技术与管理相结合原则6.统筹规划,分步实施原则7.等级性原则8.动态发展原则9.易操作性原则6.2网络安全威胁

2、与防范网络安全历来都是人们讨论的主要话题之一。网络安全不但要求防治网络病毒,而且要提高网络系统抵抗外来非法入侵的能力,还要提高对远程数据传输的保密性,避免在传输途中遭受非法窃取。下面从威胁、对策、缺陷、攻击的角度来分析网络系统安全。6.2.1网络威协与防范1.信息收集2.探查3.欺骗4.会话劫持5.拒绝服务服务器的主要威胁与对策有以下种。1.病毒、蠕虫和特洛伊木马2.破解密码3.拒绝服务与分布式拒绝服务4.任意执行代码5.未授权访问6.足迹7.应用程序威胁与对策6.2.2服务器威胁与防范表6-1应用程序的主要威胁根据应用程序缺陷划分的威胁类别列表类别威胁输入验证缓冲区溢

3、出,跨站点脚本编写,SQL注入,标准化身份验证网络窃听,强力攻击,词典攻击,重放cookie,盗窃凭据授权提高特权,泄漏机密数据,篡改数据,引诱攻击配置管理未经授权访问管理接口,未经授权访问配置存储器,检索明文配置数据,缺乏个人可记账性,越权进程和服务账户敏感数据访问存储器中的敏感数据;窃听网络;篡改数据会话管理会话劫持;会话重放;中间人加密技术密钥生成或密钥管理差;脆弱的或者自定义的加密术参数操作查询字符串操作;窗体字段操作;cookie操作;HTTP标头操作异常管理信息泄漏;拒绝服务1.身份验证2.边界安全3.数据私密性4.安全监控5.策略管理6.2.3常用网络安全

4、技术6.2.4安全事件响应小组1.制定事件响应计划的前期准备(1)建立事件响应小组和明确小组成员(2)明确事件响应目标(3)准备事件响应过程中所需要的工具软件①系统及数据的备份和恢复软件。②系统镜像软件。③文件监控及比较软件。④各类日志文件分析软件。⑤网络分析及嗅探软件。⑥网络扫描工具软件。⑦网络追捕软件。⑧文件捆绑分析及分离软件,二进制文件分析软件,进程监控软件。⑨如有可能,还可以准备一些反弹木马软件。6.3.1802.1x协议及工作机制6.3网络安全接入与认证图6.1802.1x协议的核心内容图6.2802.1x协议的体系结构6.3.2RADIUS的认证RADIUS

5、协议合并了认证和授权过程,即响应报文中携带了授权信息。基本交互步骤如下:(1)用户输入用户名和口令;(2)RADIUS客户端根据获取的用户名和口令,向RADIUS服务器发送认证请求包(access-request)。(3)RADIUS服务器将该用户信息与users数据库信息进行对比分析,如果认证成功,则将用户的权限信息以认证响应包(access-accept)发送给radius客户端;如果认证失败,则返回access-reject响应包。(4)RADIUS客户端根据接收到的认证结果接入/拒绝用户。如果可以接入用户,则RADIUS客户端向radius服务器发送计费开始请求

6、包(accounting-request),status-type取值为start;(5)RADIUS服务器返回计费开始响应包(accounting-response);6.3.2RADIUS的认证(6)RADIUS客户端向RADIUS服务器发送计费停止请求包(accounting-request),status-type取值为stop;(7)RADIUS服务器返回计费结束响应包(accounting-response)。参见图6.3。图6.3RADIUS服务器返回计费结束响应包802.1x协议认证过程是用户与服务器交互的过程,其认证步骤如下。(1)用户开机后,通过80

7、2.1x客户端软件发起请求,查询网络上能处理EAPoL数据包的设备。如果某台验证设备能处理EAPoL数据包,就会向客户端发送响应包,并要求用户提供合法的身份标识,如用户名及其密码。(2)客户端收到验证设备的响应后,提供身份标识给验证设备。由于此时客户端还未经过验证,因此认证流只能从验证设备的未受控的逻辑端口经过。验证设备通过EAP协议将认证流转发到AAA服务器,进行认证。(3)如果认证通过,则认证系统的受控逻辑端口打开。(4)客户端软件发起DHCP请求,经认证设备转发到DHCPServer。6.3.3802.1x的认证(5)DHCPSer

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。