补充网络安全规划课件

1、补充网络安全规划1 补充： 网络安全规划 ISSUE 2007。9 补充网络安全规划 学习目标学习目标 l明确网络安全规划的基本原则明确网络安全规划的基本原则 l掌握网络安全的配置要点掌握网络安全的配置要点 学习完本课程，您应该能够：学习完本课程，您应该能够： 补充网络安全规划 课程内容课程内容 基本原则基本原则 控制策略控制策略 安全组网安全组网 安全防御安全防御 管理审计管理审计 补充网络安全规划 网络安全规划的基本原则网络安全规划的基本原则 l网络安全是一个复杂的体系结构网络安全是一个复杂的体系结构 l网络安全是一个相对的概念网络安全是一个相对的概念 l网络安全部署通常会带来副作用网络安

2、全部署通常会带来副作用 在网络的安全和性能之间找到恰当在网络的安全和性能之间找到恰当 的平衡点！的平衡点！ 补充网络安全规划 课程内容课程内容 基本原则基本原则 安全组网安全组网 安全防御安全防御 管理审计管理审计 控制策略控制策略 补充网络安全规划 控制策略认证授权（控制策略认证授权（WLAN接入）接入） l在在WLAN中，当无法从物理上控制访问者的来源中，当无法从物理上控制访问者的来源 时，务必要使用相应的鉴权及认证手段进行识别时，务必要使用相应的鉴权及认证手段进行识别 服务：服务： 在在AP上禁止上禁止ESSID广播广播 MAC过滤过滤 对接入用户进行对接入用户进行802.1x身份认证身

3、份认证 使用加密无线信道使用加密无线信道 补充网络安全规划 控制策略认证授权（以太网接入）控制策略认证授权（以太网接入） l对于来源不可靠的以太网接入使用对于来源不可靠的以太网接入使用802.1x认证认证 配合配合CAMS进行。支持防代理上网，提供运营商带宽安全进行。支持防代理上网，提供运营商带宽安全 使用使用EAD（端点准入防御）技术，隔离可能危险用户（端点准入防御）技术，隔离可能危险用户 补充网络安全规划 控制策略认证授权（控制策略认证授权（RADIUS&AAA） l通过通过RADIUS实现实现AAA认证，可以对各种接入用户统认证，可以对各种接入用户统 一集中进行认证和授权一集中进行认证和

4、授权 l采用采用HWTACACS协议代替协议代替RADIUS 实现对验证报文主体全部进行加密实现对验证报文主体全部进行加密 支持对路由器上的配置实现分级授权使用支持对路由器上的配置实现分级授权使用 认证服务器认证服务器 Modem 接入接入 ADSL 接入接入 LAN 接入接入 WLAN 接入接入 补充网络安全规划 控制策略认证授权（移动客户）控制策略认证授权（移动客户） 移动用户客户端移动用户客户端SECPoint的远程接入验证的远程接入验证 l传统用户名密码方式传统用户名密码方式 l双因素认证双因素认证 lSecKEY lPKI/CA体系验证方式体系验证方式 补充网络安全规划 控制策略业务

5、隔离（以太网接入）控制策略业务隔离（以太网接入） l普通二层以太网网络中采用普通二层以太网网络中采用VLAN进行隔离。进行隔离。 l小区以太网接入应用中在接入层交换机上配置小区以太网接入应用中在接入层交换机上配置 Isolate-user-VLAN，禁止接入用户之间互访。，禁止接入用户之间互访。 l建议在接入交换机接入端口配置广播抑制门限建议在接入交换机接入端口配置广播抑制门限 1 234 补充网络安全规划 控制策略业务隔离（控制策略业务隔离（ACL & VPN） l采用访问控制列表采用访问控制列表ACL进行进行L1层层L4层隔离层隔离 l对于大型网络中可以使用对于大型网络中可以使用 MPLS

6、 VPN 技术，实现在技术，实现在 一张基础网络下多种业务间的复杂隔离需求。一张基础网络下多种业务间的复杂隔离需求。 补充网络安全规划 控制策略网络设备访问权限控制策略网络设备访问权限 l所有的网络设备必须配置所有的网络设备必须配置super密码，密码，telnet的口令的口令 及密码，并定期修改。及密码，并定期修改。 l考虑使用考虑使用SSH方式登录，保证远程登录设备安全。方式登录，保证远程登录设备安全。 同时禁止同时禁止telnet服务。服务。 补充网络安全规划 控制策略路由安全控制策略路由安全 路由欺骗防止路由欺骗防止 l如果如果RIP和和OSPF等动态路由协议在某些接口上（通等动态路由

7、协议在某些接口上（通 常是以太网口）启动协议的目的仅仅是为了发布路由，常是以太网口）启动协议的目的仅仅是为了发布路由， 而无需建立邻居，则务必将这些接口设置为而无需建立邻居，则务必将这些接口设置为silent- interface l对于对于OSPF等在接口上支持等在接口上支持MD5验证的路由协议，不验证的路由协议，不 建议配置建议配置MD5验证验证 补充网络安全规划 课程内容课程内容 基本原则基本原则 安全组网安全组网 控制策略控制策略 安全防御安全防御 管理审计管理审计 补充网络安全规划 安全组网安全传输安全组网安全传输 l安全传输安全传输 当数据在网络传输的过程中无法确保安全时通常需要使

8、用 一定的安全技术。 l加密技术加密技术 IPSec 应用为IP协议组提供了网络层的安全能力，发送主 机对IP报文进行加密，目的端点对源端点进行身份验证。 可以确保报文的完整性和隐秘性。 WLAN的报文传输过程可以使用WEP、WAP等加密手段确 保报文的安全传送。采用WAP可以支持更长的加密密钥、 避免采用静态加密密钥 4132lqfq fh%&$ 财务报告 销售额: 1860$ 利润: 360$ 加密 密 钥 补充网络安全规划 安全组网安全组网VPN l报文在传输的过程中将其封装在隧道里，使其对沿报文在传输的过程中将其封装在隧道里，使其对沿 途经过的设备不可见，从而保证其安全性。常用对途经过

9、的设备不可见，从而保证其安全性。常用对 安全性要求不高的简单环境。安全性要求不高的简单环境。 lL2TP、GRE利用同利用同IPSEC安全协议配合，实现安安全协议配合，实现安 全保密的全保密的VPN Internet 出差员工出差员工 总部总部 合作伙伴合作伙伴 补充网络安全规划 课程内容课程内容 基本原则基本原则 控制策略控制策略 安全组网安全组网 安全防御安全防御 管理审计管理审计 补充网络安全规划 安全防御网络防护安全防御网络防护 l面对安全威胁响应的时间越来越短面对安全威胁响应的时间越来越短 第一代第一代 引导型病毒引导型病毒 第二代第二代 宏病毒宏病毒 电子邮件电子邮件 DoS 有限

10、的黑客有限的黑客 攻击攻击 第三代第三代 网络网络 DoS 混合威胁混合威胁 ( 蠕虫蠕虫 + 病毒病毒 + 特洛伊木特洛伊木 马马) Turbo蠕虫蠕虫 广泛的系统广泛的系统 黑客攻击黑客攻击 下一代下一代 基础设施基础设施 黑客攻击黑客攻击 瞬间威胁瞬间威胁 大规模蠕大规模蠕 虫虫 DDoS 破坏有效破坏有效 负载的病负载的病 毒和蠕虫毒和蠕虫 人工响应，可能人工响应，可能 人工响应，很难人工响应，很难 自动响应，有可能自动响应，有可能 人工响应，不可能人工响应，不可能 自动响应，较难自动响应，较难 主动阻挡，有可能主动阻挡，有可能 补充网络安全规划 安全防御网络防护安全防御网络防护 （续

11、）（续） l当内部网络与外部网络相连时，需要对内部网络进当内部网络与外部网络相连时，需要对内部网络进 行必要的网络防护措施。行必要的网络防护措施。 l即使在不需要与外网相连的情况下，也需要对内部即使在不需要与外网相连的情况下，也需要对内部 网络中异常重要的服务器进行防护。网络中异常重要的服务器进行防护。 l网络防护主要通过防火墙设备来实施。网络防护主要通过防火墙设备来实施。 防火墙防火墙 DoS攻击攻击 黑客黑客 Internet 补充网络安全规划 安全防御模型安全防御模型 受保护服务器受保护服务器 受保护客户机受保护客户机 内部网络内部网络 可信任区可信任区 外部网络外部网络 不可信任区不可

12、信任区 周边网络周边网络 DMZ区区 WWW服务器服务器 MAIL服务器服务器 入侵检测服务器入侵检测服务器 漏洞扫描服务器漏洞扫描服务器 互联网互联网 接入服务器接入服务器 互联网互联网 连接路由器连接路由器 补充网络安全规划 安全防御包过滤防火墙安全防御包过滤防火墙 l容易实施，几乎所有网络设备都支持容易实施，几乎所有网络设备都支持ACL特性特性 l应用于接口或者安全区域，分出入方向应用于接口或者安全区域，分出入方向 l采用采用ACL进行物理层到传输层的控制。进行物理层到传输层的控制。 l配置包过滤防火墙进行网络病毒防范配置包过滤防火墙进行网络病毒防范 补充网络安全规划 安全防御安全防御A

13、SPF ASPF状态防火墙状态防火墙 l同包过滤防火墙共用时，应注意在相同出接口或入同包过滤防火墙共用时，应注意在相同出接口或入 接口上应用接口上应用 l使用使用NAT时，可以不需要再启用时，可以不需要再启用ASPF NAT也是基于状态的，对出方向的报文建立状态表。起到也是基于状态的，对出方向的报文建立状态表。起到 单向访问控制作用单向访问控制作用 补充网络安全规划 安全防御拒绝服务和扫描安全防御拒绝服务和扫描 l拒绝服务类攻击拒绝服务类攻击 l扫描类攻击扫描类攻击 l畸形报文攻击畸形报文攻击 补充网络安全规划 课程内容课程内容 基本原则基本原则 控制策略控制策略 安全组网安全组网 安全防御安全防御 管理审计管理审计 补充网络安全规划 管理审计日志管理审计日志 l日志记录日志记录 日志记录可以准确的记下设备运行过程中发生的各种软件日志记录可以准确的记下设备运行过程中发生的各种软件 异常信息，链路异常信息，对设备的各种命令操作等。异常信息，链路异常信息，对设备的各种命令操作等。 日志记录可以在事后对各类故障进行分析，便于事后进行日志记录可以在事后对各类故障进行分析，便于事后进行 追踪，改善网络的安全部署策略。追踪，改善网络的安全部署策略。 l日志记录的类别日志记录的类别 设备运行时务必设置记录日志，如果条件允许，尽量将需设备运行时务必设置记录日志，如果条件允许，尽量将需 要将日志信