数据传输安全性的规划、部署和故障排除2823A_10

1112312

第 10 章 数据传输安全性的规划、 部署和故障排除

1112312

网络安全的实现和管理 --以Windows Server 2003和ISA Server 2004为例第1章 规划和配置授权和身份验证策略 第2章 安装、配置和管理证书颁发机构 第3章 配置、部署和管理证书 第4章 智能卡证书的规划、实现和故障诊断 第5章 加密文件系统的规划、实现和故障排除 第6章 规划、配置和部署安全的成员服务器基线 第7章 为服务器角色规划、配置和部署安全基线 第8章 规划、配置、实现和部署安全客户端计算机基线 第9章 规划和实现软件更新服务 第10章 数据传输安全性的规划、部署和故障排除 第11章 部署配置和管理SSL 第12章 规划和实施无线网络的安全措施 第13章 保护远程访问安全

1112312

网络安全的实现和管理 --以Windows Server 2003和ISA Server 2004为例第14章 Microsoft ISA Server 概述 第15章 安装和维护 ISA Server 第16章 允许对 Internet 资源的访问 第17章 配置 ISA Server 作为防火墙 第18章 配置对内部资源的访问 第19章 集成 ISA Server 2004和Microsoft Exchange Server 第20章 高级应用程序和Web筛选 第21章 为远程客户端和网络配置虚拟专用网络访问 第22章 实现缓存 第23章 监视ISA Server2004

1112312

第 10 章 数据传输安全性的规划、部署和故 障排除安全数据传输方法

IPSec 简介规划数据传输安全性(网络通信图) 实现安全数据传输方法

IPSec 通信故障排除

1112312

企业的敏感数据保护应该从哪几个方面去考虑？

1112312

安全数据传输方法安全数据传输面临的威胁

10.1 安全数据传输方法

SSL 和 TLSSSL/TLS 保护数据安全的方法 PPTP

PPTP 保护数据安全的方法SMB 签名 LDAP 签名

WEP 确保数据保密性的方法WPA 确保数据保密性的方法

1112312

安全数据传输面临的威胁

10.1.1 安全数据传输面临的威胁

电子欺骗 拒绝服务 重现

数据包 嗅探

中间人

1112312

SSL 和 TLS(secure sockets layer、transport layer security)10.1.2 SSL 和 TLS

SSL 和 TLS提供了基于公钥与对称密钥的会话加密、完整性验证和服 务器身份验证 (对称和非对称算法都用了) 保护客户端与服务器通信免受窃听、篡改数据和消息伪造 OSI(Open Standard Interconnect,开放互连)模型的传输层 与应用层间

加密特点身份验证 保密性 消息完整性

1112312

SSL/TLS 保护数据安全的方法

10.1.3 SSL/TLS 保护数据安全的方法

(书P215)

1112312

在 Web 服务器上启用 SSL 的方法10.4.4 在 Web 服务器上启用 SSL 的方法

演示：如何在 Web 服务器上启用 SSL 的方法

1112312

PPTP(Point to Point Tunneling Protocol )PPTP

10.1.4 PPTP

用于LAN、WAN 或 Internet 进行客户端到服务器的安 全数据传输 使用拨号连接中的点对点协议(PPP)来在连接中 建立终结点 PPTP 位于 OSI 模型的第二层加密特点

身份验

证(pap、ms-chap、eap):服务器验证客户 保密性(40位的mppe:即microsoft 点对点加密，或128位的RC4)

支持通过mppc( microsoft 点对点压缩)数据压缩不提供消息完整性或数据源身份验证 (GFG-微软)

1112312

PPTP 保护数据安全的方法

10.1.5 PPTP 保护数据安全的方法

PPTP 安全流程PPTP通过PPTP控制连接来创建、维护、终止一条隧 道，并使用通用路由封装GRE(Generic Routing Encapsulation)对PPP帧进行封装。 封装前，PPP帧的有效载荷首先必须经过加密、压缩或 是两者的混合处理。 PPTP控制连接(P217-218)控制隧道中的会话建立、释放和维护逻辑连接

封装数据建立控制连接后，PPP数据用GRE协议来封装

1112312

VPN通过PPTP拔入

演示： 为远程客户提供VPN拔入服务

1112312

SMB 签名(SMB, Server Message Block,也称为CIFS)SMB 签名

10.1.6 SMB 签名

使用带有密钥的哈希(keyed hash)来保护每个 SMB 数 据包的完整性的数字签名方法保护网络通信不受中间人攻击和 TCP/IP 会话劫持攻 击

使用消息摘要(MD5)算法对通信进行数字签名

特点相互的身份验证 消息完整性

1112312

启用 SMB 签名的方法

10.4.2 启用 SMB 签名的方法

演示： 如何启用 SMB 签名的方法计算机配置\windows设置\安全设置\本地策略\安全选项\ Microsoft网络客户端：数字签名的通信

Microsoft网络服务器：数字签名的通信

1112312

LDAP 签名LDAP 签名确保数据来自已知的来源 数据未被篡改 数据不以明文传输

10.1.7 LDAP 签名

加密特点双向身份验证 消息完整性