![补充网络安全规划_第1页](http://file1.renrendoc.com/fileroot_temp2/2021-1/18/f6594738-f66c-4851-b16f-e40b70d14ffb/f6594738-f66c-4851-b16f-e40b70d14ffb1.gif)
![补充网络安全规划_第2页](http://file1.renrendoc.com/fileroot_temp2/2021-1/18/f6594738-f66c-4851-b16f-e40b70d14ffb/f6594738-f66c-4851-b16f-e40b70d14ffb2.gif)
![补充网络安全规划_第3页](http://file1.renrendoc.com/fileroot_temp2/2021-1/18/f6594738-f66c-4851-b16f-e40b70d14ffb/f6594738-f66c-4851-b16f-e40b70d14ffb3.gif)
![补充网络安全规划_第4页](http://file1.renrendoc.com/fileroot_temp2/2021-1/18/f6594738-f66c-4851-b16f-e40b70d14ffb/f6594738-f66c-4851-b16f-e40b70d14ffb4.gif)
![补充网络安全规划_第5页](http://file1.renrendoc.com/fileroot_temp2/2021-1/18/f6594738-f66c-4851-b16f-e40b70d14ffb/f6594738-f66c-4851-b16f-e40b70d14ffb5.gif)
版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
1、补充: 网络安全规划,学习目标,明确网络安全规划的基本原则 掌握网络安全的配置要点,学习完本课程,您应该能够,课程内容,基本原则,控制策略,安全组网,安全防御,管理审计,网络安全规划的基本原则,网络安全是一个复杂的体系结构 网络安全是一个相对的概念 网络安全部署通常会带来副作用,在网络的安全和性能之间找到恰当的平衡点,课程内容,基本原则,安全组网,安全防御,管理审计,控制策略,控制策略认证授权(WLAN接入,在WLAN中,当无法从物理上控制访问者的来源时,务必要使用相应的鉴权及认证手段进行识别服务: 在AP上禁止ESSID广播 MAC过滤 对接入用户进行802.1x身份认证 使用加密无线信道,
2、控制策略认证授权(以太网接入,对于来源不可靠的以太网接入使用802.1x认证 配合CAMS进行。支持防代理上网,提供运营商带宽安全 使用EAD(端点准入防御)技术,隔离可能危险用户,控制策略认证授权(RADIUS&AAA,通过RADIUS实现AAA认证,可以对各种接入用户统一集中进行认证和授权 采用HWTACACS协议代替RADIUS 实现对验证报文主体全部进行加密 支持对路由器上的配置实现分级授权使用,认证服务器,Modem 接入,ADSL 接入,LAN 接入,WLAN 接入,控制策略认证授权(移动客户,移动用户客户端SECPoint的远程接入验证 传统用户名密码方式 双因素认证 SecKE
3、Y PKI/CA体系验证方式,控制策略业务隔离(以太网接入,普通二层以太网网络中采用VLAN进行隔离。 小区以太网接入应用中在接入层交换机上配置Isolate-user-VLAN,禁止接入用户之间互访。 建议在接入交换机接入端口配置广播抑制门限,1,2,3,4,控制策略业务隔离(ACL & VPN,采用访问控制列表ACL进行L1层L4层隔离 对于大型网络中可以使用 MPLS VPN 技术,实现在一张基础网络下多种业务间的复杂隔离需求,控制策略网络设备访问权限,所有的网络设备必须配置super密码,telnet的口令及密码,并定期修改。 考虑使用SSH方式登录,保证远程登录设备安全。同时禁止te
4、lnet服务,控制策略路由安全,路由欺骗防止 如果RIP和OSPF等动态路由协议在某些接口上(通常是以太网口)启动协议的目的仅仅是为了发布路由,而无需建立邻居,则务必将这些接口设置为silent- interface 对于OSPF等在接口上支持MD5验证的路由协议,不建议配置MD5验证,课程内容,基本原则,安全组网,控制策略,安全防御,管理审计,安全组网安全传输,安全传输 当数据在网络传输的过程中无法确保安全时通常需要使用一定的安全技术。 加密技术 IPSec 应用为IP协议组提供了网络层的安全能力,发送主机对IP报文进行加密,目的端点对源端点进行身份验证。可以确保报文的完整性和隐秘性。 WL
5、AN的报文传输过程可以使用WEP、WAP等加密手段确保报文的安全传送。采用WAP可以支持更长的加密密钥、避免采用静态加密密钥,安全组网VPN,报文在传输的过程中将其封装在隧道里,使其对沿途经过的设备不可见,从而保证其安全性。常用对安全性要求不高的简单环境。 L2TP、GRE利用同IPSEC安全协议配合,实现安全保密的VPN,课程内容,基本原则,控制策略,安全组网,安全防御,管理审计,安全防御网络防护,面对安全威胁响应的时间越来越短,波及全球基础设施 地区网络 多个网络 单个网络 单个计算机,破坏的对象和范围,第一代 引导型病毒,周,第二代 宏病毒 电子邮件 DoS 有限的黑客攻击,天,第三代
6、网络 DoS 混合威胁 (蠕虫 + 病毒+ 特洛伊木马) Turbo蠕虫 广泛的系统黑客攻击,分钟,下一代 基础设施黑客攻击 瞬间威胁 大规模蠕虫 DDoS 破坏有效负载的病毒和蠕虫,秒,20世纪80年代,20世纪90年代,今天,未来,人工响应,可能,人工响应,很难自动响应,有可能,人工响应,不可能自动响应,较难主动阻挡,有可能,安全防御网络防护 (续,当内部网络与外部网络相连时,需要对内部网络进行必要的网络防护措施。 即使在不需要与外网相连的情况下,也需要对内部网络中异常重要的服务器进行防护。 网络防护主要通过防火墙设备来实施,安全防御模型,受保护服务器,受保护客户机,内部网络 可信任区,外
7、部网络 不可信任区,周边网络 DMZ区,WWW服务器 MAIL服务器,入侵检测服务器 漏洞扫描服务器,互联网 接入服务器,互联网 连接路由器,安全防御包过滤防火墙,容易实施,几乎所有网络设备都支持ACL特性 应用于接口或者安全区域,分出入方向 采用ACL进行物理层到传输层的控制。 配置包过滤防火墙进行网络病毒防范,安全防御ASPF,ASPF状态防火墙 同包过滤防火墙共用时,应注意在相同出接口或入接口上应用 使用NAT时,可以不需要再启用ASPF NAT也是基于状态的,对出方向的报文建立状态表。起到单向访问控制作用,安全防御拒绝服务和扫描,拒绝服务类攻击 扫描类攻击 畸形报文攻击,课程内容,基本原则,控制策略,安全组网,安全防御,管理审计,管理审计日志,日志记录 日志记录可以准确的记下设备运行过程中发生的各种软件异常信息,链路异常信息,对设备的各种命令操作等。 日志记录可以在事后对各类故障进行分析,便于事后进行追踪,改善网络的安全部署策略。 日志记录的类别 设备运行时务必设置记录日志,
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 汽车保养代驾服务协议
- 对质量问题罚款的通知函(联系单)
- 高处坠落伤护理查房课件
- 安全管理人员职责
- 幼儿园预防手足口家长会美篇
- 适合小学生的预防艾滋病
- 2025高考帮备考教案数学第二章 函 数第1讲 函数的概念及其表示含答案
- 班级卫生管理心得体会
- 班级文化的建设方案设计
- 弱电工程安装合同范本
- 2020-2021广东省佛山市顺德区七年级下学期数学期末试卷及答案
- 二年级下册数学整十整百数的加减西师大版课件
- 机器人技术大作业
- 卷烟营销-策论-终端建设
- 学校照明设计的解决方案
- 首诊负责制度检查分析报告
- 易制毒化学品培训管理制度
- 学前教育政策与法规知识考核题库与答案
- 2022年广东省深圳市中考化学试卷-(含答案)
- 北京工业大学简介(PPT)
- 钢筋模板验收单
评论
0/150
提交评论