第3章局域网安全技术及应用 网络安金 NETWORK SECURITY 主要内容: 局域网的特点及安全性分析 VLAN安全技术及应用 VPN安全技术及应用
2 2 第3章 局域网安全技术及应用 •主要内容: n 局域网的特点及安全性分析 n VLAN安全技术及应用 n VPN安全技术及应用
31局域网安全问题 网络安金 NETWORK SECURITY ●据FB和CSI对484家公司调查,发现企业的信 息安全最大的隐患在企业内部,而不是黑客攻 击等外部手段泄漏企业的机要信息,详细数据 见下图 建立内网信息安全的重要性 3%6% l1% 口内网工作员工81% 未授权的存取16% 14% 81%口不高兴的雇员45% 口专利信息泄密14% 口资料与网络破坏11% ■黑客破坏与窃取3% 45% 建立信息安全制度 16% e Netlconlcn
3 3 3.1 局域网安全问题 •据FBI和CSI对484家公司调查,发现企业的信 息安全最大的隐患在企业内部,而不是黑客攻 击等外部手段泄漏企业的机要信息,详细数据 见下图
31局域网及其安全特性 网络安金 NETWORK SECURITY 1.局域网简介 2.局域网安全特性
4 4 3.1 局域网及其安全特性 1.局域网简介 2.局域网安全特性
1.局域网简介 网络安金 NETWORK SECURITY 局域网( Local area network,LAN),是处于 同一建筑、同一机构或万圆儿公里地域内的专角网 络。 ●局部地区范围内的网络,它所覆盖的地区范围较小, 所涉及的地理距离上可以是几米至几千米。局域网 般位于一个建筑物或一个单位内,不存在寻径问 题,不包括网络层的应用。 ●局域网在计算机数量配置上没有太多的限制,少的 可以只有两台,多的可达几百台。一般来说,在企 业局域网中,工作站的数量在几十到几百台之间。 ●局域网常被用于连接公司办公室或工厂里的个人计 算机和工作站,以便共享资源(如打印机)和交换 信息
5 5 1.局域网简介 • 局域网(Local Area Network, LAN),是处于 同一建筑、同一机构或方圆几公里地域内的专用网 络。 • 局部地区范围内的网络,它所覆盖的地区范围较小, 所涉及的地理距离上可以是几米至几千米。局域网 一般位于一个建筑物或一个单位内,不存在寻径问 题,不包括网络层的应用。 • 局域网在计算机数量配置上没有太多的限制,少的 可以只有两台,多的可达几百台。一般来说,在企 业局域网中,工作站的数量在几十到几百台之间。 • 局域网常被用于连接公司办公室或工厂里的个人计 算机和工作站,以便共享资源(如打印机)和交换 信息
1.局域网简介 网络安金 NETWORK SECURITY ●局域网的基本类型 ■令牌环:环型网络,传输速率为4Mb/s或16Mb/s。最早由 IBM推出,网络中拥有“令牌”的设备允许在网络中传输数 据。 ■以太网:总线型网络,连接在总线上的设备通过监查总线上 传送的信息来检查发给自己的数据。当两个设备想在同一时 间内发送数据时会发生碰撞,采用载波侦听多重访问/碰撞 监测(cSMA/CD)协议可以避免碰撞 ■10Base-T以太网:采用星型物理拓扑结构(逻辑上还是总线 型拓扑, CSMA/CD竞争技术),采用非屏蔽双绞线,传输 速率为10Mb/s
6 6 1.局域网简介 • 局域网的基本类型 n 令牌环:环型网络,传输速率为4Mb/s或16Mb/s。最早由 IBM推出,网络中拥有“令牌”的设备允许在网络中传输数 据。 n 以太网:总线型网络,连接在总线上的设备通过监查总线上 传送的信息来检查发给自己的数据。当两个设备想在同一时 间内发送数据时会发生碰撞,采用载波侦听多重访问/碰撞 监测(CSMA/CD)协议可以避免碰撞 n 10Base-T以太网:采用星型物理拓扑结构(逻辑上还是总线 型拓扑,CSMA/CD竞争技术),采用非屏蔽双绞线,传输 速率为10Mb/s
1.局域网简介 网络安金 NETWORK SECURITY 100 Base-T:快速以太网是传统10M以太网技术的 扩展,速率为传统以太网的10倍,使用光纤时传输 距离可达2Km。 1000 Base-T:千兆以太网是IEEE8023以太网标 准的扩展,传输速率为1Gb/s,能把10Mb/s以太 网和100Mb/s快速以太网连接起来,往往作为超 高速主干网。 ATM( Asynchronous Transfer Mode):异步传 输模式是将信息划分为48个字节的固定长度(称为 信元),再加上控制信息进行发送的信息复用和交换 技术 7
7 7 1.局域网简介 n 100Base-T:快速以太网是传统10M以太网技术的 扩展,速率为传统以太网的10倍,使用光纤时传输 距离可达2Km。 n 1000Base-T:千兆以太网是IEEE802.3以太网标 准的扩展,传输速率为1Gb/s,能把10Mb/s以太 网和100Mb/s快速以太网连接起来,往往作为超 高速主干网。 n ATM(Asynchronous Transfer Mode):异步传 输模式是将信息划分为48个字节的固定长度(称为 信元),再加上控制信息进行发送的信息复用和交换 技术
2.局域网安全特性 网络安金 NETWORK SECURITY TCP/IP协议自身缺陷出现了问题 (1)数据容易被窃听和截取 (2)IP地址欺骗( IP Spoofing) (3)缺乏足够的安全策略 (4)局域网配置的复杂性 使用交换机、路由器划分成子网
8 8 2.局域网安全特性 •TCP/IP协议自身缺陷出现了问题 (1)数据容易被窃听和截取 (2)IP地址欺骗(IP Spoofing) (3)缺乏足够的安全策略 (4)局域网配置的复杂性 使用交换机、路由器划分成子网
2.局域网安全特性 网络安金 NETWORK SECURITY ●来自内部的危害 ■操作失误:用户不经意获得了不应该拥有的权限, 虽然没有恶意,但这些新授权的用户无意中会给数 据和系统带来严重破坏。 存心捣乱:在职员工或已辞职员工蓄意破坏,如利 用企业内部安全漏洞设立木马以获得访问权,造成 破坏;管理者对用户和用户组权限管理不善,导致 员工离开后仍能访问公司系统,造成破坏。 用户无知:对高度重视存储空间和工作效率的公司 来说,由于员工无知下载大量视频文件使服务器不 堪重负,引起安全漏洞
9 9 2.局域网安全特性 •来自内部的危害 n 操作失误:用户不经意获得了不应该拥有的权限, 虽然没有恶意,但这些新授权的用户无意中会给数 据和系统带来严重破坏。 n 存心捣乱:在职员工或已辞职员工蓄意破坏,如利 用企业内部安全漏洞设立木马以获得访问权,造成 破坏;管理者对用户和用户组权限管理不善,导致 员工离开后仍能访问公司系统,造成破坏。 n 用户无知:对高度重视存储空间和工作效率的公司 来说,由于员工无知下载大量视频文件使服务器不 堪重负,引起安全漏洞
2.局域网安全特性 网络安金 NETWORK SECURITY 要求: 普通用户:不要随便浏览网站、收发邮件、下载软件等;保 护好自己的口令;认真进行安全信息处理 系统管理员:对外界访问高度警惕;检查安全漏洞;随时进 行病毒检查;建立身份鉴别 网络信息主管:对每个在信息岗位上的员工都要充分信任, 但决不能让只有靠某个员工才能完成的工作存在;要有一定 的时间去了解你的系统管理员;考虑对信息加密的原则;定 期评估对网络信息构成威胁的大小和可能性,以此提出改进 建议 ●组织管理因素 ■组织建设、制度建设、人员意识
10 10 2.局域网安全特性 要求: n 普通用户:不要随便浏览网站、收发邮件、下载软件等;保 护好自己的口令;认真进行安全信息处理 n 系统管理员:对外界访问高度警惕;检查安全漏洞;随时进 行病毒检查;建立身份鉴别 n 网络信息主管:对每个在信息岗位上的员工都要充分信任, 但决不能让只有靠某个员工才能完成的工作存在;要有一定 的时间去了解你的系统管理员;考虑对信息加密的原则;定 期评估对网络信息构成威胁的大小和可能性,以此提出改进 建议 • 组织管理因素 n 组织建设、制度建设、人员意识
局域网常用安全技术 网络安金 NETWORK SECURITY ●3.2访问控制技术 33VLAN安全技术及应用 ●34vPN安全技术及应用 35备份技术 ●36归档技术 37容错技术
11 11 局域网常用安全技术 •3.2 访问控制技术 •3.3 VLAN安全技术及应用 •3.4 VPN安全技术及应用 •3.5 备份技术 •3.6 归档技术 •3.7 容错技术