網(wǎng)絡協(xié)議及架構平安中國信息平安測評中心2012-10課程內(nèi)容2網(wǎng)絡平安網(wǎng)絡架構平安網(wǎng)絡平安設備網(wǎng)絡協(xié)議平安無線數(shù)據(jù)網(wǎng)絡協(xié)議平安無線蜂窩網(wǎng)絡協(xié)議平安防火墻入侵檢測系統(tǒng)其它網(wǎng)絡平安設備網(wǎng)絡架構平安的概念TCP/IP協(xié)議簇平安網(wǎng)絡架構平安的實踐知識體知識域知識子域知識域：網(wǎng)絡協(xié)議平安知識子域：TCP/IP協(xié)議平安理解開放互聯(lián)系統(tǒng)模型ISO/OSI七層協(xié)議模型理解TCP/IP協(xié)議面臨平安威脅及平安對策理解無線網(wǎng)絡平安協(xié)議的原理和應用了解IPV6的平安優(yōu)勢

OSI七層結構模型OSI參考模型的各層ISO/OSI開放互聯(lián)模型4ISO/OSI七層模型結構5物理層網(wǎng)絡層傳輸層會話層表示層應用層數(shù)據(jù)鏈路層應用層〔高〕數(shù)據(jù)流層7654321分層結構的優(yōu)點降低復雜性促進標準化工作各層間相互獨立，某一層的變化不會影響其他層協(xié)議開發(fā)模塊化簡化理解與學習6數(shù)據(jù)鏈路層作用定義物理鏈路的電氣、機械、通信規(guī)程、功能要求等；電壓，數(shù)據(jù)速率，最大傳輸距離，物理連接器；線纜，物理介質(zhì)；將比特流轉換成電壓；典型物理層設備光纖、雙絞線、中繼器、集線器等；常見物理層標準〔介質(zhì)與速率〕100BaseT,OC-3,OC-12,DS1,DS3,E1,E3；第一層：物理層7物理層網(wǎng)絡層傳輸層會話層表示層應用層作用物理尋址，網(wǎng)絡拓撲，線路規(guī)章等；錯誤檢測和通告〔但不糾錯〕；將比特聚成幀進行傳輸；流量控制〔可選〕尋址機制使用數(shù)據(jù)接收設備的硬件地址〔物理地址〕尋址〔如MAC地址〕典型數(shù)據(jù)鏈路層設備網(wǎng)卡、網(wǎng)橋和交換機數(shù)據(jù)鏈路層協(xié)議PPP,HDLC,FR,Ethernet,TokenRing,FDDI第二層：數(shù)據(jù)鏈路層8數(shù)據(jù)鏈路層物理層網(wǎng)絡層傳輸層會話層表示層應用層第二層：以太網(wǎng)協(xié)議標準〔兩個子層〕LLC〔LogicalLinkControl〕IEEE802.2為上層提供統(tǒng)一接口；使上層獨立于下層物理介質(zhì)；提供流控、排序等效勞；MAC〔MediaAccessControl〕IEEE802.3燒錄到網(wǎng)卡ROM；48比特；唯一性；LLCMAC物理層網(wǎng)絡層傳輸層會話層表示層應用層9第三層：網(wǎng)絡層作用邏輯尋址路徑選擇尋址機制使用網(wǎng)絡層地址進行尋址〔如IP地址〕網(wǎng)絡層典型設備路由器三層交換機10數(shù)據(jù)鏈路層物理層網(wǎng)絡層傳輸層會話層表示層應用層第四層：傳輸層作用提供端到端的數(shù)據(jù)傳輸效勞；建立邏輯連接；尋址機制應用程序的界面端口〔如端口號〕傳輸層協(xié)議TCP(TransmissionControlProtocol)狀態(tài)協(xié)議；按序傳輸；糾錯和重傳機制；Socket；UDP(UserDatagramProtocol)無狀態(tài)協(xié)議；SPX11數(shù)據(jù)鏈路層物理層網(wǎng)絡層傳輸層會話層表示層應用層第五層：會話層作用不同應用程序的數(shù)據(jù)隔離；會話建立，維持，終止；同步效勞；會話控制〔單向或雙向〕12數(shù)據(jù)鏈路層物理層網(wǎng)絡層傳輸層會話層表示層應用層第六層：表示層作用數(shù)據(jù)格式表示；協(xié)議轉換；字符轉換；數(shù)據(jù)加密/解密；數(shù)據(jù)壓縮等；表示層數(shù)據(jù)格式ASCII,MPEG,TIFF,GIF,JPEG；13數(shù)據(jù)鏈路層物理層網(wǎng)絡層傳輸層會話層表示層應用層第七層：應用層作用應用接口；網(wǎng)絡訪問流處理；流控；錯誤恢復；應用層協(xié)議FTP,Telnet,HTTP,SNMP,SMTP,DNS；14數(shù)據(jù)鏈路層物理層網(wǎng)絡層傳輸層會話層表示層應用層數(shù)據(jù)發(fā)送過程---數(shù)據(jù)封裝SegmentPacketBitsFramePDU數(shù)據(jù)接收過程---數(shù)據(jù)解封OSI平安體系結構定義的平安攻擊OSI平安體系結構定義了被動攻擊和主動攻擊被動攻擊:監(jiān)聽流量分析主動攻擊:假冒重放篡改拒絕效勞OSI平安體系結構定義的平安效勞OSI平安體系結構定義了系統(tǒng)應當提供的五類平安效勞，以及提供這些效勞的八類平安機制；某種平安效勞可以通過一種或多種平安機制提供，某種平安機制可用于提供一種或多種平安效勞鑒別；訪問控制；數(shù)據(jù)機密性；數(shù)據(jù)完整性；抗抵賴；OSI平安體系結構定義的平安機制加密；數(shù)字簽名；訪問控制；數(shù)據(jù)完整性；鑒別；流量填充〔用于對抗通信流量分析，在加密時才是有效的〕；路由控制〔可以指定路由選擇說明，回避某些特定的鏈路或子網(wǎng)〕；公證〔notarization〕；TCP/IP與OSI模型的對應關系TCP/IP常用協(xié)議與平安威脅TCP/IP協(xié)議模型20TCP/IP協(xié)議與OSI模型的對應21物理層網(wǎng)絡層傳輸層會話層表示層應用層數(shù)據(jù)鏈路層互聯(lián)網(wǎng)絡層傳輸層應用層網(wǎng)絡接口層TCP/IP協(xié)議結構22應用層傳輸層互聯(lián)網(wǎng)絡層網(wǎng)絡接口層應用協(xié)議應用協(xié)議應用協(xié)議應用協(xié)議TCPUDPICMPIPIGMPARP硬件接口RARP網(wǎng)絡接口層平安損壞干擾電磁泄漏搭線竊聽欺騙23拒絕效勞嗅探網(wǎng)絡接口層平安損壞：自然災害、動物破壞、老化、誤操作干擾：大功率電器/電源線路/電磁輻射電磁泄漏：傳輸線路電磁泄漏搭線竊聽：物理搭線欺騙：ARP欺騙嗅探：常見二層協(xié)議是明文通信的〔以太、arp等〕拒絕效勞：macflooding，arpflooding等24ARP欺騙DAI〔DynamicARPInspection〕是思科交換機的一個平安特性。DAI能夠檢查arp數(shù)據(jù)包的真實性，自動過濾虛假的arp包。利用DAI防御arp欺騙互聯(lián)網(wǎng)絡層體系結構27應用層傳輸層互聯(lián)網(wǎng)絡層網(wǎng)絡接口層應用協(xié)議應用協(xié)議應用協(xié)議應用協(xié)議TCPUDPICMPIPIGMPARP硬件接口RARPIP是TCP/IP協(xié)議族中最為核心的協(xié)議不可靠〔unreliable〕通信無連接〔connectionless〕通信提供分層編址體系〔ip地址〕IP協(xié)議簡介28IP報頭結構IP地址類別 *127(01111111)是保存用于環(huán)回測試的A類地址，不能將其分配給網(wǎng)絡。

D類224-23911100000到11101111組播通信地址

E類240-25511110000到11111111保留地址，用于測試國際互聯(lián)網(wǎng)私有IP地址范圍類私有地址范圍A

到55B

到55C

到55特點：構建在IP報文結構上，但被認為是與IP在同一層的協(xié)議IP報頭ICMP報文8位類型8位代碼16位校驗和內(nèi)容ICMP協(xié)議32internetICMP查詢報文網(wǎng)關ICMP差錯報文pingpingICMP查詢報文ICMP差錯報文Couldn’tfind傳遞過失報文及其他需要注意的信息ICMP地址掩碼請求與應答ICMP時間戮請求與應答ICMP協(xié)議的作用33IP層平安拒絕效勞欺騙竊聽偽造34互聯(lián)網(wǎng)絡層平安拒絕效勞：分片攻擊〔teardrop〕/死亡之ping欺騙：IP源地址欺騙竊聽：嗅探偽造：IP數(shù)據(jù)包偽造35分片攻擊〔teardrop〕Teardrop的工作原理是利用分片重組漏洞進行攻擊而造成目標系統(tǒng)的崩潰或掛起。例如，第一個分片從偏移0開始，而第二個分片在tcp首部之內(nèi)。理想的解決方案是對ip分片進行重組時，保證TCP/IP實現(xiàn)不出現(xiàn)平安方面的問題。啟用路由器、防火墻、IDS/IPS的平安特性能夠防御teardrop攻擊。36smurf攻擊攻擊者使用播送地址發(fā)送大量的欺騙icmpecho請求，如果路由器執(zhí)行了三層播送到二層播送轉換〔定向播送〕，那么，同一ip網(wǎng)段的大量主時機向該欺騙地址發(fā)送icmpecho應答，導致某一主機〔具有欺騙地址〕收到大量的流量，從而導致了DoS攻擊。防御方法為關閉路由器或三層交換機的定向播送功能。37防御IP源地址欺騙〔rfc3704過濾〕大多數(shù)攻擊都伴隨著ip源地址欺騙。38傳輸層體系結構39應用層傳輸層互聯(lián)網(wǎng)絡層網(wǎng)絡接口層應用協(xié)議應用協(xié)議應用協(xié)議應用協(xié)議TCPUDPICMPIPIGMPARP硬件接口RARPTCP:傳輸控制協(xié)議作用：TCP提供一種面向連接的、可靠的字節(jié)流效勞功能數(shù)據(jù)包分塊發(fā)送接收確認超時重發(fā)數(shù)據(jù)校驗數(shù)據(jù)包排序控制流量……TCP協(xié)議4016位源端口號16位目的端口號32位序號32位確認序號偏移量保留UAPRSF16位窗口大小16位緊急指針16位校驗和數(shù)據(jù)TCP包頭數(shù)據(jù)結構TCP首部41URG緊急指針〔urgentpointer〕有效ACK確認序號有效PSH接收方應該盡快將這個報文段交給應用層RST重建連接SYN同步序號，用來發(fā)起一個連接。FIN發(fā)送端完成發(fā)送任務TCP首部-標記位42TCP/UDP通過16bit端口號來識別應用程序知名端口號由Internet號分配機構〔InternetAssignedNumbersAuthority,IANA〕來管理現(xiàn)狀1－255端口號分配給知名的網(wǎng)絡效勞256－1023分配給Unix操作系統(tǒng)特定的效勞1024～5000臨時分配的端口號5000以上端口號保存給應用效勞TCP首部-端口號43TCP建立連接過程——三次握手CTL=TCP報頭中設置為1的控制位特點：UDP是一個簡單的面向數(shù)據(jù)報的傳輸層協(xié)議不具備接收應答機制不能對數(shù)據(jù)分組、合并不能重新排序 沒有流控制功能協(xié)議簡單占用資源少，效率高……UDP協(xié)議4516位源端口號16位目的端口號16位UDP長度16位UDP校驗和數(shù)據(jù)UDP協(xié)議包頭46相同點同一層的協(xié)議，基于IP報文根底上不同點TCP是可靠的，高可用性的協(xié)議，但是復雜，需要大量資源的開銷UDP是不可靠，但是高效的傳輸協(xié)議UDP與TCP比較47傳輸層平安拒絕效勞欺騙竊聽偽造48傳輸層平安問題拒絕效勞：synflood/udpflood、Smurf欺騙：TCP會話劫持竊聽：嗅探偽造：數(shù)據(jù)包偽造49TCPsynflood攻擊攻擊者使用虛假地址在短時間內(nèi)向目標主機發(fā)送大量的tcpsyn連接請求，導致目標主機無法完成tcp三次握手，導致目標主機的連接隊列被充滿，從而導致目標主機拒絕為合法用戶提供tcp效勞?？梢栽诼酚善鳌⒎阑饓騃PS啟用ip源地址過濾〔rfc3704〕，并啟用tcp最大連接數(shù)和連接速率限制等特性進行防御。50TCP會話劫持攻擊者對兩臺通信主機的信息流進行監(jiān)視，通過猜測會話序列號可能注入其中一臺主機的信息流，當合法主機與網(wǎng)絡的連接被斷開后，攻擊者使用合法主機的訪問權繼續(xù)進行會話。最好的防御方法是使用防火墻或IPS進行會話合法性檢查以及部署加密通信技術〔如ipsec等〕。51TCP序列號和確認號應用層協(xié)議域名解析：DNS電子郵件：SMTP/POP3文件傳輸：FTP網(wǎng)頁瀏覽：HTTP網(wǎng)絡終端協(xié)議:TELENET簡單網(wǎng)絡管理協(xié)議:SNMP網(wǎng)絡文件系統(tǒng):NFS

路由協(xié)議:BGP53應用層平安拒絕效勞欺騙竊聽偽造暴力破解……54應用層協(xié)議的平安問題拒絕效勞：超長URL鏈接、欺騙：跨站腳本、釣魚式攻擊、cookie欺騙竊聽：嗅探偽造：應用數(shù)據(jù)篡改暴力破解：應用認證口令暴力破解等……55實現(xiàn)加密通信56使用ssh替代telnet使用s替代使用S/MIME平安多用途英特網(wǎng)郵件擴展部署ipsecvpn嗅探攻擊利用各種工具收集目標網(wǎng)絡或系統(tǒng)的信息.常用攻擊工具:Sniffers〔數(shù)據(jù)包嗅探〕端口掃描Ping掃描嗅探攻擊的防御方法用戶和設備身份鑒別AAA效勞、dot1x、NAC等。數(shù)據(jù)加密IPSec、SSL、SSH、WAPI、802.11i等。部署IDS/IPS部署交換機根底架構使用交換機根底架構能夠減少數(shù)據(jù)包嗅探攻擊。訪問攻擊特點訪問攻擊的目的:獲取數(shù)據(jù)獲取訪問特權常見的訪問攻擊和工具口令攻擊〔各種口令破解工具、嗅探、病毒、木馬〕信任關系利用端口重定向中間人攻擊緩沖區(qū)溢出訪問攻擊的防御方法使用強口令、一次性口令,AAA效勞等部署嚴格的邊界信任和訪問控制防火墻或路由器Window域或活動目錄Linux、Unix部署加密技術部署IDS/IPS部署路由協(xié)議鑒別AAA效勞Authentication〔身份鑒別〕Authorization〔授權〕Accounting〔記賬〕DoS攻擊特點DoS攻擊的目的是導致目標網(wǎng)絡、系統(tǒng)或效勞不可用.DistributedDoS攻擊能夠協(xié)同大量的攻擊主機向同一個目標進行集群攻擊。DoS和DDoS攻擊通常伴隨著ip地址欺騙攻擊，以隱藏攻擊者.DoS攻擊容易實施，但是非常難以徹底防范，需要所有的互聯(lián)網(wǎng)ISP和所有的企業(yè)和用戶共同防御才能減少其危害〔互聯(lián)網(wǎng)公共道德和平安意識〕。DistributedDoS例如DoS攻擊的防御方法在路由器和防火墻部署防ip源地址欺騙在路由器和防火墻啟用防御DoS平安特性路由器Tcp攔截、常用acl策略防火墻tcp連接監(jiān)控部署網(wǎng)絡和主機IDS/IPS檢測和防御DoS攻擊在互聯(lián)網(wǎng)效勞提供商〔ISP〕部署流量限速TCP/IP協(xié)議簇的平安架構

IPv6平安特性IPv6平安特性支持移動性地址數(shù)量大支持端到端業(yè)務模式支持QoS和性能問題強制IPSEC簡化的路由表配置簡單66IPv6與IPv4的地址數(shù)量差異IPv4地址數(shù)量：2^32，共4294967296個地址IPv6地址數(shù)量：2^128，共3.402823*10^38每個人可以分配到整個比原來整個IPv4還多的地址，地球上每平方米可以分配到一千多個地址IPv6提供的許多增強功能增強的IP編址簡化的報頭移動性和平安性多種過渡方式IP地址平安特性67IPv4報頭具有20個八位二進制數(shù)和12個根本報頭字段，然后是選項字段和數(shù)據(jù)局部〔通常是傳輸層數(shù)據(jù)段〕IPv6報頭具有40個八位二進制數(shù)、三個IPv4根本報頭字段和五個附加報頭字段簡單報文結構68大多數(shù)應用協(xié)議需要進行升級FTP,SMTP,Telnet,Rlogin需要對以下標準進行修改全部51個Internet標準中27個20個草案中的6個130個標準建議中的25個IPv6應用問題69知識域：網(wǎng)絡協(xié)議平安知識子域：無線數(shù)據(jù)網(wǎng)絡協(xié)議平安無線局域網(wǎng)協(xié)議平安理解802.11無線網(wǎng)絡協(xié)議原理及其平安特性理解802.11i無線網(wǎng)絡協(xié)議原理及其平安特性了解WAPI的原理和平安特性無線應用協(xié)議平安理解WAP的產(chǎn)生背景、原理和架構理解WTLS協(xié)議架構理解WAPEND-TO-END平安的實現(xiàn)原理70無線局域網(wǎng)協(xié)議平安無線網(wǎng)絡體系及標準無線局域網(wǎng)國際標準802.11簡介無線局域網(wǎng)國際標準802.11平安問題IEEE802.11i無線局域網(wǎng)平安協(xié)議介紹WAPI標準介紹71無線技術72PAN(PersonalAreaNetwork)LAN(LocalAreaNetwork)WAN(WideAreaNetwork)MAN(MetropolitanAreaNetwork)PANLANMANWANStandardsBluetooth

802.15.3

UltraWideBand(WiMedia)802.11802.11(Wi-Fi)

802.16(Wi-Max)

802.20GSM,CDMA,SatelliteSpeed<1Mbps11to54Mbps10-100+Mbps10Kbps–2MbpsRangeShortMediumMedium-LongLongApplicationsPeer-to-Peer

Device-to-DeviceEnterpriseNetworksLastMileAccessMobileDataDevices無線局域網(wǎng)的傳輸媒質(zhì)分為無線電波和光波兩類無線電波主要使用無線電波和微波，光波主要使用紅外線無線電波和微波頻率由各個國家的無線電管理部門規(guī)定，分為專用頻段和自由頻段。專用頻段需要經(jīng)過批準的單獨有償使用的頻段；自由頻段主要是指ISM頻段〔Industrical，Scientific，Medical〕無線局域網(wǎng)根本概念73IEEE802.11簡介WLAN是通過無線信道來實現(xiàn)網(wǎng)絡設備之間的通信，并實現(xiàn)通信的移動化、個性化和寬帶化。在WLAN中，當前使用最為廣泛的為IEEE指定的802.11.802.11標準〔組〕包括802.11a，802.11b，802.11g及802.11n〔草案〕，加上平安方面的802.11i，以及QoS方面的802.11e。使用802.11系列協(xié)議的局域網(wǎng)又稱Wi-Fi(Wireless-Fidelity)802.11局域網(wǎng)網(wǎng)絡結構75無線局域網(wǎng)安全風險

無線局域網(wǎng)平安問題76傳統(tǒng)無線平安防護措施效勞集標識符SSID極易暴露和偽造，沒有平安性可言物理地址〔MAC〕過濾MAC地址容易偽造，擴展性差有線等效加密〔WEP〕IEEE802.11定義的WEP保密機制加密強度缺乏，在很短的時間內(nèi)WEP密鑰即可被破解AirSnort的工具程序，利用WEP弱密鑰的缺陷，可以在分析100萬幀之后破解RC4的40位或者104位密鑰。經(jīng)過改進，它可以在分析20000幀之后破解。77問題例如：“中間人”攻擊后臺AS合法AP偽造AP

用戶（終端）攻擊者攻擊者利用偽造AP進行中間人攻擊：偽造AP對用戶〔終端〕相當于合法AP；對合法AP相當于用戶〔終端〕78802.11i簡介在WEP之后，802.11i任務組完成了提高WLAN平安能力的開發(fā)工作為了盡快提高WLAN的平安能力，Wi-Fi聯(lián)盟公布了Wi-FiProtectedAccess(WPA)作為Wi-Fi標準802.11i標準的最終版本稱作RSN〔RobustSecurityNetwork〕。Wi-Fi的WPA2完整的實現(xiàn)了802.11i標準。802.11i的網(wǎng)絡架構規(guī)定了二種網(wǎng)絡架構：過渡平安網(wǎng)絡(TSN)：可以兼容現(xiàn)有的使用WEP方式工作的設備，使現(xiàn)有的無線局域網(wǎng)系統(tǒng)可以向802.11i網(wǎng)絡平穩(wěn)過渡。強健的平安網(wǎng)絡(RSN)：針對WEP加密機制的各種缺陷做了多方面的改進，大大增強WLAN的數(shù)據(jù)加密和認證性能。IEEE802.11iRSN的運行三種加密方式的比較WEPTKIPCCMP核心算法RC4RC4AES密鑰長度40/104bit128bit128/192/256bit完整性確認CRC校驗MIC檢驗碼CCM算法認證無EAP協(xié)議EAP協(xié)議WAPI標準簡介WAPI(WLANAuthenticationandPrivacyInfrastructure)是我國自主研發(fā)的，擁有自主知識產(chǎn)權的無線局域網(wǎng)平安技術標準83啟動標準編制標準推出并準備強制啟用無限期退出強制執(zhí)行并申請國際標準政府發(fā)文促進標準體系完善，國際標準投票失敗啟動第二次國際標準申請，可能成為獨立標準標準化組織達成共識，推動成為獨立標準計算機

WAPIGB15629.11-2003GB15629.11-2003/XG1-2006GB15629.1102-2003GB15629.1101-2006GB15629.1104-2006GB/T15629.1103-2006……5.8GHz54Mbps2.4GHz11Mbps不同國家之間漫游2.4GHz54Mbps2006年6月公布四項新的無線局域網(wǎng)國家標準。形成全面采用WAPI我國無線局域網(wǎng)國家標準體系基于WAPI的無線局域網(wǎng)標準體系842009-3-09基于三元結構和對等鑒別的訪問控制方法可普遍適用于無線、有線網(wǎng)絡

WAPI目的：“合法用戶接入合法網(wǎng)絡”用戶網(wǎng)絡合法合法WAPI的技術思想85WLAN〔AP〕終端終端終端WMAN〔基站〕有線連接2公里50米LAN〔交換機/路由器〕后臺網(wǎng)絡終端接入點后臺AS全IP架構下的接入網(wǎng)三元結構86WEP802.1x+EAP(802.11i)、WiMAXWAPI二元平安架構對應二物理實體單向鑒別無法保證平安三元平安架構對應三物理實體接入點/基站有獨立身份完整雙向認證有效保證平安“元”在網(wǎng)絡平安接入領域指具有認證功能的功能體二元平安架構對應三物理實體AP無獨立身份，易被攻擊仍無法保證平安WAPI構筑三元平安架構87STA其他網(wǎng)絡設備AS服務器AP鑒別激活接入鑒別請求證書鑒別請求證書鑒別響應接入鑒別響應訪問網(wǎng)絡資源（鏈路加密）通信過程身份鑒別過程密鑰協(xié)商請求組播密鑰響應密鑰協(xié)商響應組播密鑰通告WAPI-WLAN平安接入?yún)f(xié)議采用公鑰證書機制，通過雙向身份鑒別和密鑰協(xié)商過程實現(xiàn)平安接入控制和保密通信。WAPI平安協(xié)議流程88無線應用協(xié)議平安WAP概況WAP根底設施WAP程序設計模型無線標識語言〔WML〕WAP協(xié)議體系結構無線網(wǎng)傳輸層平安(WTLS)WAPEND-TO-END平安WAP產(chǎn)生背景1997年中期，世界幾個主要的移動設備制造商Motorola、NokiaEricsson和美國一家軟件公司Phone.

com作為最初的發(fā)起者成立了WAP論壇，開始進行WAP協(xié)議的開發(fā)。WAP協(xié)議設計目標是，基于Internet中廣泛應用的標準〔如HTTP,TCP/IP,SSL,XML等〕，提供一個對空中接口和無線設備獨立的無線設備獨立的無線Internet全面解決方案，同時支持未來的開放標準。移動終端的局限設備的限制較弱的處理器能力缺乏的內(nèi)存大小較短的電池壽命較小的顯示屏較弱的數(shù)據(jù)輸入能力無線網(wǎng)絡的限制窄帶寬大延遲低穩(wěn)定性WAP標準的主要內(nèi)容與WWW程序設計兼容的程序設計模型，B/S結構符合XML標準的語言：WML〔WirelessMarkupLanguage〕適合移動無線終端的微瀏覽器輕量級的通信協(xié)議棧無線應用〔wirelesstelephonyapplications，WTAs〕框架，提供和Internet訪問功能的集成WAP根底設施WAP程序設計模型

無線標識語言〔WML〕

WML的重要特征支持文本和圖像支持用戶輸入支持導航窄帶優(yōu)化WAP協(xié)議體系結構

WTLS協(xié)議體系結構

WAPEND-TO-END平安基于TLS的平安架構基于IPSec的平安架構為什么提出WAPEND-TO-END平安基于TLS的平安架構基于IPSec的平安架構知識域:網(wǎng)絡協(xié)議平安知識子域:無線蜂窩網(wǎng)絡協(xié)議平安GSM的平安性了解GSM的平安機制和平安缺陷CDMA的平安性了解CDMA的平安機制和平安缺陷3G系統(tǒng)的平安性了解3G系統(tǒng)的平安機制和平安缺陷102GSM的平安措施訪問AUC〔AuthenticationCenter，鑒權中心〕，進行用戶認證無線通道加密移動設備確認IMSI臨時身份－TMSI的使用〔用戶號碼保密和防止被別人對用戶定位〕103GSM的平安缺陷平安系統(tǒng)內(nèi)在的弱點固定網(wǎng)絡中的數(shù)據(jù)和信令傳輸并未得到充分的保護入侵者輕易能得到的全部有關平安的信息.SIM卡易受一種稱為“SIM克隆”的攻擊.數(shù)據(jù)業(yè)務的弱點短信信息在傳輸時未加密加密算法的弱點DavidWagner和IanGoldberg曾用不到一天的時間破解了COMP128算法。104CDMA的平安措施用防篡改的UIM〔UserIdentifyModule〕卡代替了GSM的SIM卡CDMA認證CDMA的保密性105CDMA的平安缺陷當前的許多系統(tǒng)不支持認證功能既沒有認證算法也無法輸入A-KEY參數(shù)的管理存在問題1063G的平安措施用戶身份保密在無線鏈路上竊聽用戶身份IMSI是不可能的；確保不能夠通過竊聽方式獲取當前用戶的位置；不能在無線鏈路上獲知用戶正在使用的不同的業(yè)務

3G認證完成了網(wǎng)絡和用戶間的雙向認證；防止重放攻擊;數(shù)據(jù)保密性數(shù)據(jù)完整性1073G系統(tǒng)的平安漏洞3G允許將比較弱的加密算法標準化以便于出口;不支持公鑰密碼體制，難以實現(xiàn)用戶數(shù)字簽名終端存儲能力和處理能力的增強更有利于病毒的傳播108知識域：網(wǎng)絡架構平安知識子域：網(wǎng)絡架構平安的概念理解網(wǎng)絡架構平安的含義理解網(wǎng)絡架構的平安需求〔平安域、平安邊界、用戶接入控制、數(shù)據(jù)平安訪問和控制等〕109網(wǎng)絡架構平安的含義網(wǎng)絡架構的定義：定義一：指對網(wǎng)絡系統(tǒng)中物理部件的規(guī)劃、規(guī)格描述以及布署定義二：為設計、構建和管理一個通信網(wǎng)絡提供一個構架和技術根底的藍圖。定義三：指對由軟件、互聯(lián)設備、通信協(xié)議和傳輸模式等構成的網(wǎng)絡的結構和布署，用以確?？煽康男畔鬏敚瑵M足的業(yè)務需要。網(wǎng)絡架構平安是網(wǎng)絡架構在平安方面的考慮，是網(wǎng)絡規(guī)劃和設計的重要內(nèi)容之一網(wǎng)絡架構的平安需求平安域劃分邊界平安策略路由交換設備平安配置要求防火墻平安配置要求網(wǎng)閘平安配置要求入侵檢測平安配置要求抗DDoS攻擊平安配置要求虛擬專用網(wǎng)〔VPN〕攻能要求流量管理部署與功能要求網(wǎng)絡監(jiān)控與審計部署與功能要求訪問控制的功能要求網(wǎng)絡平安域

定義平安域是遵守相同平安策略的用戶和系統(tǒng)的集合平安域劃分的目的把大規(guī)模系統(tǒng)平安問題化解為更小區(qū)域的平安保護問題平安域的分類按信息資產(chǎn)劃分按業(yè)務類型劃分按區(qū)域劃分按組織架構劃分112同級別平安域同級別平安域之間的邊界-同級別平安域之間的平安防護主要是平安隔離和可信互訪不同級別平安域不同級別平安域之間的邊界－實際設計實施時又分為高等級平安域和低等級平安域的邊界和防護遠程連接用戶遠程連接的用戶－對于遠程接入用戶通常采用VPN結合用戶認證授權的方式進行邊界防護同級別平安域之間的邊界遠程接入邊界的平安網(wǎng)絡平安域防護113網(wǎng)絡邊界的概念具有不同平安級別的網(wǎng)絡之間的分界線都可以定義為網(wǎng)絡邊界網(wǎng)絡常見邊界：核心網(wǎng)絡與互聯(lián)網(wǎng)的邊界核心網(wǎng)絡與部門、分支機構網(wǎng)絡的邊界核心網(wǎng)絡與異地容災中心邊界平安不同部門、分支機構網(wǎng)絡的邊界114網(wǎng)絡邊界防護路由器防火墻；IDS。VPN設備。軟件DMz和被屏蔽的于網(wǎng)

隔離網(wǎng)閘。。。。。。。115網(wǎng)絡邊界防護部件路由交換設備平安配置要求每臺設備上要求安裝經(jīng)認可的操作系統(tǒng)，并及時修補漏洞路由器設置加長口令，網(wǎng)絡管理人員調(diào)離或退出本崗位時口令應立即更換。路由器密碼不得以明文形式出現(xiàn)在紙制材料上，密碼應隱式記錄，記錄材料應存放于保險柜中。限制邏輯訪問，合理處置訪問控制列表，限制遠程終端會話。監(jiān)控配置更改。定期備份配置和日志。明確責任，維護人員對更改路由器配置時間、操作方式、原因和權限需要明確。入侵檢測平安配置要求中大型網(wǎng)絡平臺應部署基于網(wǎng)絡的入侵檢測系統(tǒng)〔NIDS〕網(wǎng)絡入侵檢測系統(tǒng)應對核心局域網(wǎng)、DMZ區(qū)域進行檢測。對大型網(wǎng)絡、分支機構網(wǎng)絡的入侵檢測，應采用分布式方式部署入侵檢測系統(tǒng)。入侵檢測產(chǎn)品應有國家相關平安部門的證書。監(jiān)控配置更改時要進行監(jiān)控。、定期備份配置和日志。入侵檢測系統(tǒng)設置加長口令。如采用分布式部署方式，各級入侵檢測系統(tǒng)宜采用分級管理方式進行管理。訪問控制的功能要求網(wǎng)絡邊界部署訪問控制設備，啟用訪問控制功能。能根據(jù)會話狀態(tài)信息為數(shù)據(jù)流提供明確的允許/拒絕訪問的能力，控制粒度為端口級。對進出網(wǎng)絡的信息內(nèi)容進行過濾，實現(xiàn)對應用層HTTP、FTP、TELNET、SMTP、POP3等協(xié)議命令級的控制。在會話處于非活潑一定時間或會話結束后終止網(wǎng)絡連接。限制網(wǎng)絡最大流量數(shù)及網(wǎng)絡連接數(shù)。重要網(wǎng)段應采取技術手段防止地址欺騙。按用戶和系統(tǒng)之間的允許訪問規(guī)那么，決定允許或拒絕用戶對受控系統(tǒng)進行資源訪問，控制粒度為單個用戶。知識域：網(wǎng)絡架構平安知識子域：網(wǎng)絡架構平安實踐掌握IP地址規(guī)劃、VLAN劃分的根本平安原那么掌握網(wǎng)絡設備平安功能和平安配置的根本原那么掌握網(wǎng)絡平安設備部署和配置的根本原那么119網(wǎng)絡架構平安IP地址規(guī)劃VLAN規(guī)劃和實施網(wǎng)絡設備的平安功能和配置網(wǎng)絡平安設備的功能和配置IP地址規(guī)劃從IP地址規(guī)劃中可以看出一個網(wǎng)絡的規(guī)劃質(zhì)量、甚至可以反映出網(wǎng)絡設計師的技術水準。121為什么需要進行IP規(guī)劃提高路由協(xié)議的運行效率確保網(wǎng)絡的性能確保網(wǎng)絡可擴展確保網(wǎng)絡可管理核心設備使用相對較小的地址所有網(wǎng)關地址使用相同的末位數(shù)字，如.254都是網(wǎng)關或.1都是網(wǎng)關IP地址通常要聚合后發(fā)布，在規(guī)劃時要充分考慮使用連續(xù)的可聚合地址。IP地址規(guī)劃的技巧122非體系化的ip編址主干網(wǎng)和每個分支網(wǎng)絡需要維護全網(wǎng)的詳細IP網(wǎng)段，路由表條目數(shù)明顯增多，明顯增加了路由協(xié)議運行開銷。體系化的ip編址主干網(wǎng)只需維護每個分支網(wǎng)絡的一條匯總路由每個分支網(wǎng)絡只需要維護本網(wǎng)絡區(qū)域的詳細IP網(wǎng)段，對于其他每個分支網(wǎng)絡只需維護一條匯總路由。路由表題目數(shù)量很少，明顯減少了路由協(xié)議運行開銷。VLAN定義VLAN〔VirtualLocalAreaNetwork〕的中文名為"虛擬局域網(wǎng)"。VLAN是一種將局域網(wǎng)設備從邏輯上劃分成一個個網(wǎng)段，從而實現(xiàn)虛擬工作組的新興數(shù)據(jù)交換技術。125VLAN規(guī)劃劃分VLAN的作用有效的寬帶利用平安性多路徑負載均衡隔離故障域VLAN的分類