网络协议及架构安全 培训机构名称 讲师名字

课程内容 2

知识域：网络协议安全 知识子域：TCP/IP协议安全 理解开放互联系统模型ISO/OSI七层协议模型 理解TCP/IP协体系结构和工作原理及其安全特性，了解IPV6的安全优势  

什么是协议 定义 理解重点：规则 协议是网络中计算机或设备之间进行通信的一系列规则的集合 交通中的红绿黄灯：红灯停、绿灯行就是规则 我国汽车靠右行驶是规则、香港、西方国家靠左行驶也是规则 4

ISO/OSI开放互联模型 OSI七层结构模型 OSI参考模型的各层 5

ISO/OSI七层模型结构 应用层 表示层 应用层（高） 会话层 传输层 网络层 数据流层 数据链路层 物理层 6

分层结构的优点 促进标准化工作 各层间相互独立，某一层的变化不会影响其他层 使网络易于实现和维护 ---例子:想象你给远在国外的朋友寄去一个手机的情形 手机盒->标准邮局箱子->邮包->集装箱 7

第一层：物理层 作用 典型物理层设备 物理层协议 定义物理链路的电气、机械、通信规程、功能要求等； 电压，数据速率，最大传输距离，物理连接器； 线缆，物理介质； 将比特流转换成电压； 典型物理层设备 光纤、双绞线、中继器、集线器等； 物理层协议 100BaseT, OC-3, OC-12, DS1, DS3, E1, E3； 应用层 表示层 会话层 传输层 网络层 数据链路层 物理层 8

第二层：数据链路层 作用 寻址机制 典型数据链路层设备 数据链路层协议 物理寻址，网络拓扑，线路规章等； 错误检测和通告（但不纠错）； 将比特聚成帧进行传输； 流量控制（可选） 寻址机制 使用数据接收设备的硬件地址（物理地址）寻址（如MAC地址） 典型数据链路层设备 网卡、网桥和交换机 数据链路层协议 PPP, HDLC, F.R, Ethernet, Token Ring, FDDI, ISDN, ARP, RARP, L2TP, PPTP 应用层 表示层 会话层 传输层 网络层 数据链路层 物理层 9

第二层：数据链路层（两个子层） MAC（Media Access Control） LLC（Logical Link Control） 物理地址； 烧录到网卡ROM； 48比特； 唯一性； LLC（Logical Link Control） 为上层提供统一接口； 使上层独立于下层物理介质； 提供流控、排序等服务； 应用层 表示层 会话层 传输层 网络层 数据链路层 物理层 10

第三层：网络层 作用 寻址机制 网络层典型设备 逻辑寻址； 路径选择； 网络问题管理（如拥塞）； MTU； 使用网络层地址进行寻址（如IP地址） 网络层典型设备 路由器 三层交换机 应用层 表示层 会话层 传输层 网络层 数据链路层 物理层 11

第四层：传输层 作用 寻址机制 传输层协议 提供端到端的数据传输服务； 建立逻辑连接； 应用程序的界面端口（如端口号） TCP (Transmission Control Protocol) 状态协议； 按序传输； 纠错和重传机制； Socket； UDP (User Datagram Protocol) 无状态协议； SPX 应用层 表示层 会话层 传输层 网络层 数据链路层 物理层 12

第五层：会话层 作用 会话层协议 不同应用的数据隔离； 会话建立，维持，终止； 同步服务； 名称标识和识别； 会话控制（单向或双向）； NFS, SQL, RPC； SSL/TLS，SSH； 应用层 表示层 会话层 传输层 网络层 数据链路层 物理层 13

第六层：表示层 作用 表示层数据格式 数据格式表示； 协议转换； 字符转换； 数据加密/解密； 数据压缩等； ASCII, MPEG, TIFF,GIF, JPEG； 应用层 表示层 会话层 传输层 网络层 数据链路层 物理层 14

第七层：应用层 作用 应用层协议 应用接口； 网络访问流处理； 流控； 错误恢复； FTP, Telnet, HTTP, SNMP, SMTP, DNS； 应用层 表示层 会话层 传输层 网络层 数据链路层 物理层 15

数据封装 应用层 表示层 会话层 PDU 传输层 Segment 网络层 Packet 数据链路层 Frame 物理层 Bits Upper Layer Dat 会话层 PDU TCP Header Upper Layer Dat 传输层 Segment IP Header Data 网络层 Packet LLC Header Data FCS 数据链路层 Frame MAC Header Data FCS 物理层 Bits 0101110101001000010

IP + TCP + Upper Layer Data LLC Hdr + IP + TCP + Upper Layer Data 数据解封装 应用层 表示层 会话层 Upper Layer Data 传输层 Upper Layer Data TCP Header TCP+ Upper Layer Data 网络层 IP Header IP + TCP + Upper Layer Data 数据链路层 LLC Header LLC Hdr + IP + TCP + Upper Layer Data MAC Header 物理层 0101110101001000010

OSI定义的安全服务 认证； 访问控制； 数据机密性； 数据完整性； 抗抵赖；

OSI定义的安全机制 加密； 数字签名； 访问控制； 数据完整性； 认证； 流量填充； 路由控制； 公证（notarization）；

TCP/IP协议模型 TCP/IP与OSI的对应 TCP/IP参考模型的各层 20

TCP/IP协议与OSI模型的对应 应用层 应用层 表示层 会话层 传输层 传输层 网络层 互联网络层 数据链路层 网络接口层 物理层 21

TCP/IP协议结构 应用层 传输层 互联网络层 网络接口层 应用协议 TCP UDP ICMP IP IGMP ARP 硬件接口 RARP 22

网络接口层安全 损坏 干扰 电磁泄漏 搭线窃听 欺骗 23

网络接口层安全 损坏：自然灾害、动物破坏、老化、误操作 干扰：大功率电器/电源线路/电磁辐射 电磁泄漏：传输线路电磁泄漏 搭线窃听：物理搭线 欺骗：ARP欺骗 24

互联网络层体系结构 应用层 传输层 互联网络层 网络接口层 应用协议 TCP UDP ICMP IP IGMP ARP 硬件接口 RARP 25

IP协议简介 IP是TCP/IP协议族中最为核心的协议 不可靠（unreliable） 无连接（connectionless） 26

IP首部结构 版本 （4位） 首部长度 服务类型 （8位） 总长度（16位） 标识（16位） 标记 段偏移（13位） 生存时间（TTL） 协议（8位） 首部检验码（16位） 源IP地址（32 位） 目的IP地址（32 位） 选 项 数 据 20字节 27

ICMP协议 特点：构建在IP报文结构上，但被认为是与IP在同一层的协议 IP报头 ICMP报文 8位类型 8位代码 16位校验和 内容 28

ICMP协议的作用 传递差错报文及其他需要注意的信息 ICMP地址掩码请求与应答 ICMP时间戮请求与应答 internet ping 网关 ICMP差错报文 ping Fing 1.1.1.1 Couldn’t find 1.1.1.1 29

互联网层安全 拒绝服务 欺骗 窃听 伪造 30

互联网络层安全 拒绝服务：分片攻击（teardrop）/死亡之ping 欺骗：IP 欺骗 窃听：嗅探 伪造：IP数据包伪造 31

传输层体系结构 应用层 传输层 互联网络层 网络接口层 应用协议 TCP UDP ICMP IP IGMP ARP 硬件接口 RARP 32

TCP协议 TCP:传输控制协议 作用：TCP提供一种面向连接的、可靠的字节流服务 功能 数据包分块 发送接收确认 超时重发 数据校验 数据包排序 控制流量 …… 33

TCP首部 TCP包头数据结构 16位源端口号 16位目的端口号 32位序号 32位确认序号 偏移量 保留 U A P R S F 16位窗口大小 16位紧急指针 16位校验和 数 据 TCP包头数据结构 34

TCP首部-标记位 U R G 紧急指针（u rgent pointer ）有效 A C K 确认序号有效 P S H 接收方应该尽快将这个报文段交给应用层 R S T 重建连接 S Y N 同步序号，用来发起一个连接。 F I N 发送端完成发送任务 35

TCP首部-端口号 TCP/UDP 通过16bit端口号来识别应用程序 现状 知名端口号由Internet号分配机构（Internet Assigned Numbers Authority,IANA）来管理 现状 1－255端口号分配给知名的网络服务 256－1023分配给Unix操作系统特定的服务 1024～5000 临时分配的端口号 5000以上端口号保留给应用服务 36

TCP建立连接过程-三次握手 客户机 服务器 <mss 1024> SYN 2232456241：2232456241（0） ack 1436455622<mss 1024> ack 2232456242 <mss 1024> 37

UDP协议 特点：UDP是一个简单的面向数据报的传输层协议 不具备接收应答机制 不能对数据分组、合并 不能重新排序 没有流控制功能 协议简单 占用资源少，效率高 …… 38

UDP协议包头 16位源端口号 16位目的端口号 16位UDP长度 16位UDP校验和 数据 39

UDP与TCP比较 相同点 不同点 同一层的协议，基于IP报文基础上 TCP是可靠的，高可用性的协议，但是复杂，需要大量资源的开销 40

传输层安全 拒绝服务 欺骗 窃听 伪造 41

传输层安全问题 拒绝服务：syn flood/udp flood、Smurf 欺骗：TCP会话劫持 窃听：嗅探 伪造：数据包伪造 42

应用层协议 域名解析：DNS 电子邮件：SMTP/POP3 文件传输：FTP 网页浏览：HTTP …… 43

应用层安全 拒绝服务 欺骗 窃听 伪造 暴力破解 …… 44

应用层协议的安全问题 拒绝服务：超长URL链接、 欺骗：跨站脚本、钓鱼式攻击、cookie欺骗 窃听：嗅探 伪造：应用数据篡改 暴力破解：应用认证口令暴力破解等 …… 45

应用层协议安全问题-明文 用户名：scn 密码：scn4321 46

IPv6安全特性 地址数量大 支持端到端业 务模式 支持移动性 IPv6安全特性 支持QoS和性 能问题 简化的路由表 配置简单 强制IPSEC 47

IP地址安全特性 IPv6与IPv4的地址数量差异 IPv6 提供的许多增强功能 IPv4地址数量：2^32，共4294967296个地址 简化的报头 移动性和安全性 多种过渡方式 48

简单报文结构 IPv4 报头具有 20 个八位二进制数和 12 个基本报头字段，然后是选项字段和数据部分（通常是传输层数据段） IPv6 报头具有 40 个八位二进制数、三个 IPv4 基本报头字段和五个附加报头字段 49

IPv6应用问题 大多数应用协议需要进行升级 需要对下列标准进行修改 FTP, SMTP, Telnet, Rlogin 全部51个Internet标准中27个 20个草案中的6个 130个标准建议中的25个 50

知识域：网络协议安全 知识子域：无线网络安全 知识子域：移动通信网络安全 理解802.11和WAPI无线网络协议原理及其安全特性 了解3G网络（TD-CDMA、CDMA2000、WCDMA）原理及安全特性

无线网络及移动通讯 无线网络体系及标准 无线局域网国际标准802.11x安全问题 WAPI标准介绍 3G技术概述 52

(Personal Area Network) (Metropolitan Area Network) 无线技术 PAN (Personal Area Network) LAN (Local Area Network) WAN (Wide Area Network) MAN (Metropolitan Area Network) PAN LAN MAN WAN Standards Bluetooth 802.15.3 UltraWideBand (WiMedia) 802.11 802.11 (Wi-Fi) 802.16 (Wi-Max) 802.20 GSM, CDMA, Satellite Speed < 1 Mbps 11 to 54 Mbps 10-100+ Mbps 10 Kbps–2 Mbps Range Short Medium Medium-Long Long Applications Peer-to-Peer Device-to-Device Enterprise Networks Last Mile Access Mobile Data Devices 53

无线局域网基本概念 无线局域网的传输媒质分为无线电波和光波两类 无线电波主要使用无线电波和微波，光波主要使用红外线 无线电波和微波频率由各个国家的无线电管理部门规定，分为专用频段和自由频段。专用频段需要经过批准的独自有偿使用的频段；自由频段主要是指ISM频段（Industrical，Scientific，Medical） 54

无线局域网网络结构 无线站点（station，STA） 无线接入点（Access Point，AP） 无线网的端头设备，例如笔记本、掌上电脑等 无线接入点（Access Point，AP） 专用的无线接入设备 分布系统（distribution system，DS） 其他网络，无线或者有线网络 STA AP DS 55

无线局域网安全问题 无线局域网 1）传统有线网络（局域网）攻击者必须接触到物理设备才能实施攻击；而无线网络只要无线电信号能达到的地方，就能实施攻击； 2）WEP的安全漏洞：成熟的黑客软件5分钟破解、Walker自己也承认、…… 安全风险 56

传统无线安全防护措施 服务集标识符SSID 物理地址（MAC）过滤 有线等效加密（WEP） 极易暴露和伪造，没有安全性可言 IEEE802.11定义的WEP保密机制加密强度不足，在很短的时间内WEP密钥即可被破解 WEP机制本身存在安全漏洞，密钥长度增加无法解决问题，目前各种基于WEP的改进措施（WPA）等安全性仍然没有得到根本解决。 57

伪造AP对用户（终端）相当于合法AP；对合法AP相当于用户（终端） 问题示例：“中间人”攻击 后台AS 伪造AP 合法AP 用户（终端） 攻击者 攻击者利用伪造AP进行中间人攻击： 伪造AP对用户（终端）相当于合法AP；对合法AP相当于用户（终端） 58

启动第二次国际标准申请，可能成为独立标准 WAPI标准简介 WAPI是我国自主研发的，拥有自主知识产权的无线局域网安全技术标准 WAPI发展历史 标准化组织达成共识，推动成为独立标准 启动第二次国际标准申请，可能成为独立标准 标准体系完善，国际标准投票失败 政府发文促进 无限期退出强制执行并申请国际标准 标准推出并准备强制启用 启动标准编制 2001 信产部成立中国宽带无线IP标准工作组,启动我国无线局域网标准起草工作 2003 5月12日信产部向国家标准化管理委员会报送两项无线局域网国际标准，其中包括了WAPI(WLAN Authentication and Privacy Infrastructure) 11月26日，国家质监总局与国家标准化管理委员会联合公告，宣布关于WAPI的两项标准为国家强制性实施标准，于2003年12月1日起开始执行。公告要求，即日起禁止进口、生产和销售不符合强制性国家标准的无线局域网产品。已经生产的产品。至2004年6月1日起全面禁止。 2004 4月国家质监总局与国家标准化管理委员会联合公告，无限期延迟WAPI标准强制实施 7月，中国向国际标准化组织ISO提交了WAPI提案,试图推进其成为国际标准 2005年 2005年11月，发改委等八部委连续召开WAPI部际联席会议，12月财政部等三部委联合 “关于印发无线局域网产品政府采购实施意见的通知” 2006年 1月，国家质检总局颁布了无线局域网修改单，GB 15629.11-2003/XG1-2006及其扩展子项国家标准GB 15629.1101-2006、GB15629.1104-2006、GB/T 15629.1103-2006等三项补篇国家标准，形成了全面采用WAPI技术的WLAN 国家标准体系。 　　3月，国际标准化组织ISO的投票中，WAPI以悬殊的得票率负于美国标准802.11i. 　　6月，质检总局、国标委联合发布《关于发布无线局域网国家标准的公告》 2008年 4月，在ISO/IECJTC1/SC6日内瓦会议上，中国第二次启动WAPI提案。 7月，在包括ISO/IEC总部官员、中方代表、IEEE代表等参加的WAPI特别会议上,IEEE代表和美国代表改变原本坚决反对WAPI提案的立场,达成了WAPI可作为独立标准推进的共识 2009年 4月，中国工信部召集手机厂商开会，宣布今后国内所有2G和3G手机都可以使用WAPI技术 6月1日至5日召开的东京会议上,包括美国代表在内的参会成员一致同意,将WAPI作为无线局域网络接入安全机制独立标准形式推进为国际标准。(其中美国代表杰西·沃克既是英特尔的安全架构师,也是802.11i标准的编辑者)，从而获得打破IEEE垄断的希望。 2001 2003 2004 2005 2006 2008 2009

基于WAPI的无线局域网标准体系 WAPI GB 15629.11-2003 … … GB 15629.11-2003 /XG1-2006 计算机 GB 15629.1101 -2006 GB 15629.1102 -2003 GB/T 15629.1103 -2006 GB 15629.1104 -2006 … … 5.8 GHz 54 Mbps 2.4 GHz 11 Mbps 不同国家 之间漫游 2.4 GHz 54 Mbps 2006年6月颁布四项新的无线局域网国家标准。 形成全面采用WAPI我国无线局域网国家标准体系 60

合法 合法 WAPI的技术思想 基于三元结构和对等鉴别的访问控制方法 可普遍适用于无线、有线网络 WAPI目的：“合法用户接入合法网络” 2）传统的网络认证方式，用户与网络的身份不对等，只有网络对用户合法性的鉴别，所以鉴别是单向的； 3）WAPI，是基于身份对等安全架构，用户也要验证网络的合法性，对合法性的鉴别是双向的； 4）WAPI成功解决了“合法用户接入合法网络”的问题 5）WAPI是如何实现这种双向鉴别的？请看下一部分。 合法 用户 61 2009-3-09

全IP架构下的接入网三元结构 终端 接入点 后台网络 50米 终端 WLAN（AP） 2公里 WMAN（基站） 终端 后台AS 有线连接 无论是 无线局域网 无线城域网 有线网络 逻辑上都呈现出三个物理实体的特征，三个物理实体分别是 终端 接入点 后台网络 有线连接 LAN（交换机/路由器） 终端 62

WAPI构筑三元安全架构 WEP WAPI 二元安全架构对应 二物理实体 单向鉴别 无法保证安全 二元安全架构对应 三物理实体 AP无独立身份， 易被攻击 仍无法保证安全 802.1x+EAP(802.11i) 、WiMAX WAPI 三元安全架构对应三物理实体 接入点/基站有独立身份 完整双向认证 有效保证安全 目前无线局域网的国际标准中，采用的WEP安全机制是采用两元的安全架构。 照读。。。。。 后续的增强型安全协议中，虽然两元安全架构也对应了三个物理实体，接入点和后台网络这两个物理实体，被共同视作安全架构中的一元。接入点没有独立身份，照读。。。。。 WAPI采用三元照读。。。。 “元”在网络安全接入领域指具有认证功能的功能体 63

WAPI安全协议流程 WAPI-WLAN安全接入协议采用公钥证书机制，通过双向身份鉴别和密钥协商过程实现安全接入控制和保密通信。 身 份 鉴 STA 其他网络设备 AS 服务器 AP 鉴别激活 接入鉴别请求 证书鉴别请求 证书鉴别响应 接入鉴别响应 访问网络资源 （链路加密） 通 信 过 程 身 份 鉴 别 密钥协商请求 组播密钥响应 密钥协商响应 组播密钥通告 WAPI-WLAN安全接入协议采用公钥证书机制，通过双向身份鉴别和密钥协商过程实现安全接入控制和保密通信。 64

安全 MAC …… 编码/调制 频率 智能天线 通信协议：模块化构成特征 ISO 7层模型 标准 应用层 表示层 … … TCP/IP 物理层 65

安全 频率 MAC …… 智能天线 通信协议：模块化构成特征 编码/调制 互相啮合，而非叠加或拼凑 必然存在于芯片中 ISO 7层模型 标准 应用层 …… 编码/调制 智能天线 表示层 … … TCP/IP 链路层（MAC） 互相啮合，而非叠加或拼凑 必然存在于芯片中 物理层 66

WAPI取代802.11中的WEP/TKIP＋802.11i(802.1x+EAP) 安全 WAPI 频率 MAC …… 编码/调制 智能天线 1）当前的通信协议已经发展成模块化的技术结构，模块之间可以进行组合 2）WAPI替代了原有的安全模块 67

3G概述 第三代移动通信系统（3G）:IMT2000 3G对数据通信速率的要求 IMT2000推荐的3种制式： 采用宽带码分多址(CDMA)，实现移动宽带多媒体通信 IMT2000:2000年，在2000M频段实现2000K的数据通信 3G对数据通信速率的要求 室内环境至少2Mbps 室内外步行环境至少384kbps 室外车辆运动中至少144kbps 卫星移动环境至少9.6Kbps IMT2000推荐的3种制式： WCDMA、CDMA2000、TD-SCDMA 68

WCDMA技术特性 WCDMA（宽带分码多工存取） WCDMA的版本 各版本的特点 Release 99(R99)release 4(R4)、release 5、release6（R6） 各版本的特点 R99：兼容性好、技术成熟、风险小，但语音质量差、核心网采用过时TDM技术，效率低且网管复杂 R4：全新协议和技术，风险较大 R5：R4的一个补充，用于满足IP多媒体业务 69

CDMA2000技术特性 CDMA2000的阶段 CMDA2000网络安全 CDMA2000 1XEV-DO 语音分离的信道传输数据 无线链路采用伪随机码对信号进行扩频，很难监听 安全协议依赖64bit认证密钥和终端序列号 网络对接入终端认证，终端不认证网络 70

TD-CDMA的技术优势和特点 特点 优点 TDD技术 基于智能天线； 采用软件无线电技术； 采用1.6MHz载频间隔； 频段使用灵活；采用1.6MHz带宽，在5MHz内可有三个载频，系统应用灵活 适应于非对称数据传输，适合无线Internet业务 频谱效率高，容量大； 成本低； 71

3G安全的威胁来自哪里 智能终端及多种接入方式带来的风险 无线、移动接入的风险 漫游带来的风险 消息和业务带来的风险 互联网访问及下载带来的风险

3G安全目标 确保用户相关的信息安全 确保网络资源和业务安全 确保安全特征的充分标准化 确保给用户和业务提供者提供的安全水平高于当前正在使用的固定网络和移动网络 安全确保3G安全特征的可扩展性

3G安全架构 网络接入安全 确保3G服务接入的安全，重点考虑无线链路上的安全问题，例如用户信息保密（身份、位置、行政），认证信息保密、用户数据与信令数据的保密及消息认证。 网络域安全 3G提供者域节点直接的数据交换安全，重点是有线网络上的攻击，包括相互之间实体身份认证、数据加密、 主要保证提供者域的节点之间能够安全交换数据，并对抗有线网络上的攻击。包括网络实体间身份认证、数据加密、消息认证、以及对欺骗信息的收集

3G架构安全 用户域安全 应用域安全 确保移动台的安全接入，只有获得授权才可以访问移动终端 确保用户应用与提供者应用之间安全的交换信息，重点包括针对应用数据攻击的检测和应用数据完整性保护等

3G网络接入安全 增强的用户身份保密 认证和密钥协商 机密性保护 完整性保护 2G和3G网络共存时的用户鉴权

知识域：网络架构安全 知识子域：网络架构安全基础 理解网络安全域的含义 理解网络边界防护的含义 理解网络线路冗余的作用 77

网络安全域 定义 安全域划分的目的 安全域的分类 安全域是遵守相同安全策略的用户和系统的集合 把大规模负责系统安全问题化解为更小区域的安全保护问题 安全域的分类 按信息资产划分 按业务类型划分 按区域划分 按组织架构划分 78

网络安全域防护 同级别安全域 不同级别安全域 远程连接用户 同级别安全域之间的边界-同级别安全域之间的安全防护主要是安全隔离和可信互访 不同级别安全域之间的边界－实际设计实施时又分为高等级安全域和低等级安全域的边界和防护 远程连接用户 远程连接的用户－对于远程接入用户通常采用VPN结合用户认证授权的方式进行边界防护 同级别安全域之间的边界 远程接入边界的安全 79

网络边界防护 网络边界的概念 网络常见边界： 具有不同安全级别的网络之间的分界线都可以定义为网络边界 内部网络与外部网络之间 组织机构各部门之间 重要部门与其他部门之间 组织机构总部与分支机构之间 80

网络边界划分 目的 作用 依据 把一个大规模复杂系统的安全问题，化解为更小区域的安全保护问题 实现大规模复杂信息系统安全等级保护 信息资产 安全策略级别 安全区域 确定区域 81

边界安全防护机制 基本安全防护 较严格安全防护 严格安全防护 特别安全防护 采用常规的边界防护机制，如基本的登录/连接控制等，实现基本的信息系统边界安全防护 较严格安全防护 采用较严格的安全防护机制，如较严格的登录/连接控制，普通功能的防火墙、防病毒网关、入侵防范、信息过滤、边界完整性检查等 严格安全防护 根据当前信息安全对抗技术的发展，采用严格的安全防护机制，如严格的登录/连接机制， 高安全功能的防火墙、防病毒网关、入侵防范、信息过滤、边界完整性检查等 特别安全防护 采用当前最先进的边界防护技术，必要时可以采用物理隔离安全机制，实现特别安全要求的边界安全防护 82

边界安全防护技术 防火墙 负载均衡 IPS UTM 隔离网站 抗拒绝服务攻击 …… 83

边界安全防护实施 内部网络与互联网边界防护 内部网络与外部网络边界防护 内部网络与分支机构边界防护 内部网络重要部门边界防护 84

内部网络与互联网边界防护 需要考虑的问题 采取的防护措施 是否需要对外提供服务，提供什么服务 IP数量，如何使用IP（NAT或直接服务） 带宽问题 互联网病毒传播问题 采取的防护措施 防火墙 流量管理 防病毒网关 UTM …… 85

内部网络与外部网络边界防护 需要考虑的问题 采取的防护措施 相互的服务提供及数据交换情况（在保证应用的情况下隔离） 病毒传播问题 防火墙 防病毒网关 隔离网闸 …… 86

内部网络与分支机构边界防护 需要考虑的问题 采取的防护措施 连接的方式（VPN或直接网络访问） 病毒传播问题 VPN 防火墙 防病毒网关 …… 87

内部网络重要部门边界防护 需要考虑的问题 采取的防护措施 防护的程度和标准 病毒传播问题 非法访问问题 VLAN划分 防火墙 防病毒网关 …… 88

网络线路冗余 线路冗余的价值 线路冗余的风险 线路冗余的解决方法 防止单点故障 可以提高网络的健全性、稳定性 广播风暴 多帧复制 地址表的不稳定 线路冗余的解决方法 生成树协议避免环路 89

知识域：网络架构安全 知识子域：网络安全规划实践 掌握IP地址规划、VLAN划分的基本安全原则 掌握网络设备安全配置（交换机、路由器、无线局域网）的基本原则 掌握网络安全设备部署和配置的基本原则 90

从IP地址规划中可以看出一个网络的规划质量、甚至可以反映出网络设计师的技术水准。 提高路由协议的运行效率 确保网络的性能 确保网络可扩展 确保网络可管理 从IP地址规划中可以看出一个网络的规划质量、甚至可以反映出网络设计师的技术水准。 91

IP地址规划的原则 唯一性 连续性 扩展性 实意性 节约性 92

IP地址规划的技巧 核心设备使用相对较小的地址 所有网管地址使用相同的末位数字，如.254都是网关或.1都是网关 93

IP地址块的划分 分层规划IP地址 确定地址块划分的总体原则 核心层需要规划的地址 汇聚层需要规划的地址 接入层需要规划的地址 先纵向划分，再横向划分。即：按照业务先将地址划分为公网、VPN1——VPNn。然后再按照地域在每一个地址块中为每一个地域划分一个地址块。 先横向划分，再纵向划分。即：按照地域将地址划分为多块。然后再按照业务将每个地市的地址块划分为：公网、VPN1——VPNn。 94

请讲师自己补充介绍一个IP地址规划的实例，如不介绍实例，删除本页 95

VLAN规划 VLAN定义 VLAN（Virtual Local Area Network）的中文名为"虚拟局域网"。VLAN是一种将局域网设备从逻辑上划分成一个个网段，从而实现虚拟工作组的新兴数据交换技术。 96

VLAN实施 划分VLAN的作用 VLAN的分类 有效的宽带利用 安全性 多路径负载均衡 隔离故障域 基于端口划分的VLAN 基于MAC地址划分VLAN 基于网络层协议划分VLAN 根据IP组播划分VLAN 按策略划分VLAN 按用户定义、非用户授权划分VLAN PVLAN 97

VLAN实施-PVLAN PVLAN即私有VLAN（Private VLAN），PVLAN采用两层VLAN隔离技术，只有上层VLAN全局可见，下层VLAN相互隔离。如果将交换机或IP DSLAM设备的每个端口化为一个（下层）VLAN，则实现了所有端口的隔离。 　　pVLAN通常用于企业内部网，用来防止连接到某些接口或接口组的网络设备之间的相互通信，但却允许与默认网关进行通信。尽管各设备处于不同的pVLAN中，它们可以使用相同的IP子网。 98

路由器安全配置目标 防止对路由器的未经授权的访问 防止对网络的未经授权的访问 防止网络数据窃听 防止欺骗性路由更新 99

路由器安全配置 路由器访问安全 路由器网络服务安全配置 访问控制列表和过滤 路由的安全配置 日志和管理 100

无线局域网安全配置 服务集标识符 物理地址过滤 有线对等加密 Wi-Fi保护接入 国家标准WAPI 端口访问控制技术 虚拟专用网络 101

网络安全设备部署-防火墙的部署 基本的过滤路由器 经典的双路由器划分DMZ 状态防火墙DMZ设计 现代三接口防火墙设计 多防火墙设计 102

防火墙部署-基本过滤路由 结构简单的防火墙部署方式，适用于无对外提供服务的简单网络，通常由路由器实现 依靠基本ACL进行安全防护，需要设置大量端口策略，过严格策略影响应用，简单策略容易被欺骗及穿透 内部网络 基本的ACL 外部网络 103

防火墙部署-双路由过滤 早期的防火墙部署方式，公共服务器与内部网络的其余部分分开实现双层过滤，根据需要设置不同的安全访问策略 较基本过滤路由方式安全性得到较大提高，使用ACL进行控制仍然无法彻底保证安全 内部网络 详细的ACL 公共服务器 基本的ACL 外部网络 104

防火墙部署-多接口防火墙 所有流量都经过防火墙进行，由防火墙根据策略进行控制 防火墙除ACL外，实现状态检测等功能，增强安全防护能力 多接口防火墙可将内部网络、公共服务器互相隔离，可设置更细致策略。 内部网络 公共服务器 状态过滤 基本的ACL 外部网络 105

防火墙部署-多防火墙设计 多接口防火墙的扩展，使用多防火墙实现精细化控制，适用安全域较多，控制策略复杂的情况 解决多接口防火墙策略过于复杂的问题，便于维护 访问量较大的情况下，提高效率 公共服务器 （信任） 内部网络 状态过滤 （半信任） 公共服务器（非信任） 基本ACL 外部网络 106

总结 OSI七层模型 TCP/IP 协议及协议安全性 无线局域网安全 网络架构安全

谢谢，请提问题！