任务九企业网络边界安全规划.ppt

任务九：企业网络边界安全规划,计算机安全维护,内容简介,一、任务内容 二、背景知识 三、风险分析 四、步骤介绍 五、任务小结,一、任务内容,二、 背景知识,1、网络边界的基本概念 2、划分边界的依据 3、边界安全防护机制 4、边界防护技术,1、网络边界的基本概念,网络边界的概念 具有不同安全级别的网络之间的分界线都可以定义为网络边界 。 企业网络常见边界 企业内部网络与外部网络 企业部门之间 重要部门与其他部门之间 分公司与分公司（或总部）之间,2、划分边界的依据,目的 实现大规模复杂信息系统安全等级保护 。 作用 把一个大规模复杂系统的安全问题，化解为更小区域的安全保护问题 。 依据,3、边界安全防护机制,基本安全防护 采用常规的边界防护机制，如基本的登录/连接控制等，实现基本的信息系统边界安全防护。 较严格安全防护 采用较严格的安全防护机制，如较严格的登录/连接控制，普通功能的防火墙、防病毒网关、入侵防范、信息过滤、边界完整性检查等。 严格安全防护 根据当前信息安全对抗技术的发展，采用严格的安全防护机制，如严格的登录/连接机制， 高安全功能的防火墙、防病毒网关、入侵防范、信息过滤、边界完整性检查等。 特别安全防护 采用当前最先进的边界防护技术，必要时可以采用物理隔离安全机制，实现特别安全要求的边界安全防护。,本节重点介绍： 防火墙技术 多重安全网关技术 网闸技术 数据交换网技术,3、边界安全防护机制,原理 采用包过滤或应用代理技术，通过访问控制列表ACL过滤数据。 作用 控制进出网络的信息流向和信息包。 提供使用和流量的日志和审计。 隐藏内部IP地址及网络结构的细节。 缺点 不能对应用层识别,4、边界安全防护防火墙技术,UTM介绍 统一威胁管理(Unified Threat Management)， 2004年9月，IDC首度提出“统一威胁管理”的概念，即将防病毒、入侵检测和防火墙安全设备划归统一威胁管理(Unified Threat Management，简称UTM)新类别。 特点 1、一个更高，更强，更可靠的墙。 2、通过高质量的检测技术来降低误报。 3、有高可靠，高性能的硬件平台支撑。,4、边界安全防护多重安全网关技术,4、边界安全防护数据交换网技术,特点 数据存储更快速 数据存储更安全 降低大容量存储设备的采购成本 作用 增加磁盘的存取(access)速度 防止数据因磁盘的故障而失落 有效的利用磁盘空间,三、风险分析,四、步骤介绍,1、典型企业网络边界规划 2、配置边界防火墙,1、典型企业网络边界规划,步骤流程： 1.步骤准备 2.划分区域 3.企业内部网络与Internet网络边界部署 4.部门内部网络边界部署 5.重要部门网络边界部署 6.企业网络整体边界部署 7. 小结,1.步骤准备,主要是完成对用户网络环境现场采集的过程，需要采集的信息包含： 1）当前网络拓扑结构 2）当前网络环境存在的问题（用户角度） 3）用户的应用需求 4）用户的网络安全需求 5）其他网络规划要求 6）用户投资预算等,1.步骤准备,2.划分区域,划分区域要考虑： 1）确定安全资产 2）定义安全策略和安全级别 3）划分不同的安全区域,3.企业内部网络与Internet网络边界部署,网络区域边界部署上结合应用需求我们需要考虑 ： 1）Web服务器需要对外提供服务，Internet网络用户能够访问该服务器资源； 2）内部办公网络不对外提供服务，Internet网络用户不能访问内部服务器或信息点； 3）Web服务器和内部办公网络需要防范Internet网络攻击； 4）Web服务器和内部办公网络需要防范病毒传播等。,4.部门内部网络边界部署,内网边界部署上，我们应该考虑以下因素： 1）各部门之间的涉密信息保护； 2）各部门之间有一定的共享资源； 3）需要防范网络病毒蔓延等。,5.重要部门网络边界部署,对如财务部等重要部门，要进行特别防护，如对其进行隔离网闸的部署,6.企业网络整体边界部署,这样就形成了企业内部网络边界部署,7. 小结,本例针对一个企业网络环境给出了一个比较典型的边界部署规划，重点在于让学生理解部署一个企业网络规划的步骤和方法。事实上，每种方案都有各自的特点，在实际应用中，常常需要我们在编写方案时还需要考虑企业网络环境现状、网络建设投资情况等等因素，以便有针对性的设计和完善现有网络体系，真正实现网络安全、经济实用、便捷管理的设计目标。,2、边界防火墙安全配置,步骤流程： 1.步骤准备 2.安全域划分 3.发布受信任区域的邮件及Web服务 4.对发布的服务器实施基本保护 5.深度过滤规则验证 6.小结,1.步骤准备,（1）安装邮件服务器,1.步骤准备,（2）安装Web服务器,2.安全域划分,（1）在防火墙的Web管理页面，选择“策略配置”“安全选项”把“包过滤缺省允许”的勾取消。,2.安全域划分,（2）在防火墙的Web管理页面，选择“策略配置”“安全规则 ”添加一条“包过滤规则”,3.发布受信任区域的邮件及Web服务,（1）在防火墙的Web管理页面，选择“资源定义”“服务器地址”单击添加按钮,3.发布受信任区域的邮件及Web服务,（2）在防火墙的Web管理页面，选择“策略配置”“安全规则 ”添加一条“IP映射规则”,3.发布受信任区域的邮件及Web服务,（3）在防火墙的Web管理页面，选择“策略配置”“安全规则 ”添加 “包过滤规则”,4.对发布的服务器实施基本保护,（1）在防火墙的Web管理页面，选择“资源定义”“深度过滤”“URL组以及关键字组”单击添加按钮,4.对发布的服务器实施基本保护,（2）在防火墙的Web管理页面，选择“资源定义”“深度过滤”“过滤策略”单击添加按钮,4.对发布的服务器实施基本保护,（3）在防火墙的Web管理页面，选择“策略配置”“安全规则 ”添加 “包过滤规则”，配置访问Web服务器是启用深度过滤规则。,4.对发布的服务器实施基本保护,（3）防火墙的Web管理页面，选择“策略配置”“安全规则 ”添加 “包过滤规则”，配置POP3服务启用深度过滤规则。,4.对发布的服务器实施基本保护,（3）防火墙的Web管理页面，选择“策略配置”“安全规则 ”添加 “包过滤规则”，配置Smtp服务启用深度过滤规则。,5.深度过滤规则验证,（1）不被信任区域主机访问Web页面：,5.深度过滤规则验证,（2）发送正常邮件验证,5.深度过滤规则验证,（3）发送含过滤关键字的邮件验证,6. 小结,通过对防火墙实例化操作，使学生能够掌握防火墙基本配置方