第8章 网络层安全.pptxVIP

网络安全简介 访问控制列表 基于时间的访问控制列表 使用ACL降低安全威胁 ACL的位置;物理层安全 通过网络设备进行攻击：例Hub和无线AP进行攻击。 物理层安全措施：使用交换机替代Hub，给无线AP配置密码实现无线设备的接入保护和实现数据加密通信。;数据链路层安全 数据链路层攻击举例：恶意获取数据或MAC地址，例如ARP欺骗、ARP广播等等。 数据链路层安全措施举例：在交换机的端口上控制连接计算机的数量或绑定MAC地址或在交换机上划分VLAN也属于数据链路层安全。ADSL拨号上网的账号和密码实现的是数据链路层安全。 网络层安全 网络层攻击举例：IP Spoofing（IP欺骗）、Fragmentation Attacks（碎片攻击）、Reassembly attacks（重组攻击）、PING of death（Ping死攻击）。 网络层安全措施举例：在路由器上设置访问控制列表和IPSec、在Windows上实现的Windows防火墙和IPSec;传输层安全 传输层攻击举例：Port Scan（端口扫描）、TCP reset attack（TCP重置攻击）、SYN DoS floods（SYN拒绝服务攻击）、LAND attack（LAND攻击）、Session hijacking（会话劫持） 应用层安全 应用层攻击举例：MS-SQL Slammer worm 缓冲区溢出、IIS红色警报、Email 蠕虫、蠕虫，病毒，木马、垃圾邮件、IE漏洞。 安全措施：安装杀毒软件，更新操作系统。;典型的安全网络架构;典型的安全网络架构;防火墙总体上分为包过滤、应用级网关和代理服务器等几大类型。 包过滤防火墙 数据包的源地址 目标地址 协议 端口 应用层防火墙 目标地址 源地址 协议 端口 时间 内容 扩展名 病毒 方法 用户名 代理服务器;IP大多与生俱来就是不安全的，让我们来分析一些常见的攻击。 1.应用层攻击 2.拒绝服务攻击DoS 3.分布式拒绝服务攻击DDOS 4.LAND攻击 5.中间人攻击 6.后门程序 7.包嗅探 8.口令攻击 ;路由器不但能够在不同网段转发数据包，而且还能够基于数据包的目标地址、源地址、协议和端口号来过允许特定的数据包通过或拒绝通过。 要实现这样的控制需要在路由器定义访问控制列表（ACL），并将这些ACL绑定到路由器的接口。 下面介绍两种类型的访问控制列表，即标准访问控制列表和扩展访问控制列表。;标准访问控制列表;??展访问控制列表;使用访问控制列表保护路由器;ACL的位置;思考题;IP地址欺骗——入站;IP地址欺骗对策;DoS TCP SYN攻击对策;DoS Smurf攻击对策;过滤ICMP消息;过滤ICMP消息