网络安全架构设计和网络安全设备的部署培训教材

网络安全架构设计和网络安全设备布署网络安全架构设计和网络安全设备的部署培训教材第1页合理分域，准确定级信息系统等级保护以系统所处理信息最高主要程度来确定安全等级在合理划分安全域边界安全可控情况下，各安全域可依据信息最高主要程度单独定级，实施“分域分级防护”策略，从而降低系统建设成本和管理风险信息系统安全域之间边界应划分明确，安全域与安全域之间全部数据通信都应安全可控对于不一样等级安全域间通信，应实施有效访问控制策略和机制，控制高密级信息由高等级安全域流向低等级安全域。网络安全架构设计和网络安全设备的部署培训教材第2页面对众多安全威胁该怎样防范？口令暴解窃听SQL注入跨站脚本恶意代码误操作系统漏洞系统故障蠕虫病毒黑客入侵混合攻击自然灾害跨站脚本网站挂马弱点扫描木马DoS攻击轻则：

系统不稳定网络或业务访问迟缓成为攻击跳板造成信誉影响。。。重则：业务不可访问网络中止、不可用系统宕机数据被窃取、篡改造成经济损失

造成行政处罚或刑事责任。。。后门网络安全架构设计和网络安全设备的部署培训教材第3页传统安全防护思想——头疼医头，脚痛医脚安全组织保障密码机物理隔离卡基本安全机制LAN/WAN安全TEMPEST外网互连安全网络管理防火墙安全应用安全数据库CA认证个人机安全保护安全审计Windows安全UNIX安全操作系统PKI入侵检测防病毒PMI网络安全架构设计和网络安全设备的部署培训教材第4页信息安全内涵和外延是什么？什么样系统是安全？信息安全保障目标是什么？信息安全基本概念机密性完整性可用性不可抵赖性可控性可审计性网络安全架构设计和网络安全设备的部署培训教材第5页信息系统等级保护标准GB/T17859系列标准

网络安全架构设计和网络安全设备的部署培训教材第6页物理安全网络安全主机安全应用安全数据安全身份判别（S）安全标识（S）访问控制（S）可信路径（S）安全审计（G）剩下信息保护（S）物理位置选择（G）物理访问控制（G）防偷窃和破坏（G）防雷/火/水（G）温湿度控制（G）电力供给（A）数据完整性（S）数据保密性（S）备份与恢复（A）防静电（G）电磁防护（S）入侵防范（G）资源控制（A）恶意代码防范（G）结构安全（G）访问控制（G）安全审计（G）边界完整性检验（S）入侵防范（G）恶意代码防范（G）网络设备防护（G）身份判别（S）剩下信息保护（S）安全标识（S）访问控制（S）可信路径（S）安全审计（G）通信完整性（S）通信保密性（S）抗抵赖（G）软件容错（A）资源控制（A）技术要求网络安全架构设计和网络安全设备的部署培训教材第7页项目管理安全整改安全巡检环境安全风险评定管理体系Management组织体系Organization一体化全局安全管理/监控/审计/运维人机界面优化加固驻场运维日常维护安全汇报应急恢复运行体系Operation技术体系Technology风险监控事件管理脆弱管理性能监控安全监控中心态势感知业务监控拓扑监控设备监控安全审计中心网络审计业务审计数据审计采集存放终端审计运维审计合规审计统计查询边界安全传输安全环境安全接入安全入侵检测漏洞管理准入管理安全保护框架基础设施边界安全计算环境安全支撑设施IT系统工作台管理巡检管理工单管理KPI管理组织人员管理资产管理服务商管理应急管理统计查询响应处置安全运维中心预警监测体系基础防护体系安全策略方针角色职责矩阵安全通报机制安全人员管理教育培训计划策略制订公布安全技术管理安全操作规范安全设备管理安全环境管理安全组织架构主管部门公安/保密CNCERT测评机构集成商服务商开发商供给商安全决议机构安全执行机构安全响应小组病毒监测信息安全体系架构网络安全架构设计和网络安全设备的部署培训教材第8页IT层次架构与安全体系架构结合网络安全架构设计和网络安全设备的部署培训教材第9页实施企业安全防护/预警体系安全防护体系预警响应体系一体化安全运行中心访问控制传输加密流量清洗合规审计接入安全入侵行为深入检测准确阻断漏洞发觉预警响应安全监控中心安全审计中心安全运维中心网络安全架构设计和网络安全设备的部署培训教材第10页网络安全防护产品防火墙、防水墙WEB防火墙、网页防篡改入侵检测、入侵防御、防病毒统一威胁管理UTM身份判别、虚拟专网加解密、文档加密、数据署名物理隔离网闸、终端安全与上网行为管理内网安全、审计与取证、漏洞扫描、补丁分发安全管理平台灾难备份产品网络安全架构设计和网络安全设备的部署培训教材第11页防火墙安全策略网络安全架构设计和网络安全设备的部署培训教材第12页内部工作子网与外网访问控制进行访问规则检验发起访问请求正当请求则允许对外访问将访问统计写进日志文件正当请求则允许对外访问发起访问请求防火墙在此处功效：1、工作子网与外部子网物理隔离2、访问控制3、对工作子网做NAT地址转换4、日志统计

Internet区域Internet边界路由器DMZ区域WWWMailDNS内部工作子网管理子网普通子网内部WWW重点子网网络安全架构设计和网络安全设备的部署培训教材第13页内部子网与DMZ区访问控制进行访问规则检验发起访问请求正当请求则允许对外访问将访问统计写进日志文件禁止对工作子网发起连结请求发起访问请求

Internet区域Internet边界路由器DMZ区域WWWMailDNS内部工作子网管理子网普通子网内部WWW重点子网网络安全架构设计和网络安全设备的部署培训教材第14页DMZ区域与外网访问控制

Internet区域Internet边界路由器进行访问规则检验发起访问请求正当请求则允许对外访问将访问统计写进日志文件禁止对外发起连结请求发起访问请求防火墙在此处功效：1、DMZ网段与外部子网物理隔离2、访问控制3、对DMZ子网做MAP映射4、日志统计DMZ区域WWWMailDNS内部工作子网管理子网普通子网内部WWW重点子网网络安全架构设计和网络安全设备的部署培训教材第15页防火墙不足防火墙并非万能，防火墙不能完成工作：源于内部攻击不经过防火墙连接完全新攻击伎俩不能防病毒网络安全架构设计和网络安全设备的部署培训教材第16页防火墙不足防火墙不能预防通向站点后门。防火墙普通不提供对内部保护。防火墙无法防范数据驱动型攻击。防火墙本身防攻击能力不够，轻易成为被攻击首要目标。防火墙不能依据网络被恶意使用和攻击情况动态调整自己策略。网络安全架构设计和网络安全设备的部署培训教材第17页什么是VPNVPN(VirtualPrivateNetwork)是经过internet公共网络在局域网络之间或单点之间安全地传递数据技术VPN能够省去专线租用费用或者长距离电话费用，大大降低成本VPN能够充分利用internet公网资源，快速地建立起企业广域连接ISPModemsVPNGatewayVPNGateway总部网络远程局域网络总部分支机构单个用户Internet网络安全架构设计和网络安全设备的部署培训教材第18页传统VPN联网方式企业总部办事处/SOHO公共网络VPN通道VPN设备VPN设备VPN设备VPNclient网络安全架构设计和网络安全设备的部署培训教材第19页VPN处理方案远程访问Internet分支机构虚拟私有网虚拟私有网虚拟私有网合作搭档内部网网络安全架构设计和网络安全设备的部署培训教材第20页基于PPTP/L2TP拨号VPN在Internal端网络定义远程地址池每个客户端动态地在地址池中为VPN会话获取地址客户端先得拨号（163/169）得到一个公网地址，然后和企业防火墙设备利用PPTP/L2TP协议进行VPN建立建立VPN用户能够访问企业内部网络全部资源，就象在内部网中一样客户端不需要附加软件安装，简单方便Dial-UpNATPool/24---0

网络安全架构设计和网络安全设备的部署培训教材第21页SSLVPNSSLVPN是处理远程用户访问敏感企业数据最简单最安全处理技术。与复杂IPSecVPN相比，SSL经过简单易用方法实现信息远程连通。任何安装浏览器机器都能够使用SSLVPN，这是因为SSL内嵌在浏览器中，它不需要象传统IPSecVPN一样必须为每一台客户机安装客户端软件。网络安全架构设计和网络安全设备的部署培训教材第22页入侵检测系统IDS网络安全架构设计和网络安全设备的部署培训教材第23页入侵预防系统也像入侵侦查系统一样，专门深入网路数据内部，查找它所认识攻击代码特征，过滤有害数据流，丢弃有害数据包，并进行记载，方便事后分析。除此之外，更主要是，大多数入侵预防系统同时结合考虑应用程序或网路传输中异常情况，来辅助识别入侵和攻击。比如，用户或用户程序违反安全条例、数据包在不应该出现时段出现、作业系统或应用程序弱点空子正在被利用等等现象。入侵预防系统即使也考虑已知病毒特征，不过它并不但仅依赖于已知病毒特征。网络安全架构设计和网络安全设备的部署培训教材第24页入侵检测概念和作用入侵检测即经过从网络系统中若干关键节点搜集并分析信息，监控网络中是否有违反安全策略行为或者是否存在入侵行为。它能够提供安全审计、监视、攻击识别和反攻击等多项功效，对内部攻击、外部攻击和误操作进行实时监控，在网络安全技术中起到了不可替换作用。网络安全架构设计和网络安全设备的部署培训教材第25页入侵检测系统作用实时检测实时地监视、分析网络中全部数据报文发觉并实时处理所捕捉数据报文安全审计对系统统计网络事件进行统计分析发觉异常现象得出系统安全状态，找出所需要证据主动响应主动切断连接或与防火墙联动，调用其它程序处理网络安全架构设计和网络安全设备的部署培训教材第26页入侵检测系统工作原理：实时监控网络数据，与已知攻击伎俩进行匹配，从而发觉网络或系统中是否有违反安全策略行为和遭到攻击迹象。使用方式：作为防火墙后第二道防线。网络安全架构设计和网络安全设备的部署培训教材第27页入侵检测系统FirewallInternetServersDMZIDSAgentIntranet监控中心router攻击者发觉攻击发觉攻击发觉攻击报警报警IDSAgent网络安全架构设计和网络安全设备的部署培训教材第28页利用RealSecure进行可适应性

攻击检测和响应DMZ?E-Mail

?FileTransfer?HTTPIntranet企业网络生产部工程部市场部人事部路由Internet中继外部攻击警告!统计攻击外部攻击终止连接入侵检测工具举例网络安全架构设计和网络安全设备的部署培训教材第29页DMZ?E-Mail

?FileTransfer?HTTPIntranet企业网络生产部工程部市场部人事部路由Internet中继内部攻击警告!开启事件日志,发送消息入侵检测工具举例网络安全架构设计和网络安全设备的部署培训教材第30页DMZ?E-Mail

?FileTransfer?HTTPIntranet企业网络生产部工程部市场部人事部路由Internet中继外部攻击商务搭档警告!统计进攻,发送消息,终止连接外部攻击中止连接重新配置路由或防火墙方便隐藏IP地址入侵检测工具举例网络安全架构设计和网络安全设备的部署培训教材第31页入侵检测基本原理：利用sniffer方式获取网络数据，依据已知特征判断是否存在网络攻击优点：能及时获知网络安全情况，借助分析发觉安全隐患或攻击信息，便于及时采取办法。不足：准确性：误报率和漏报率有效性：难以及时阻断危险行为网络安全架构设计和网络安全设备的部署培训教材第32页物理隔离装置网络安全架构设计和网络安全设备的部署培训教材第33页物理隔离主要分两种：双网隔离计算机物理隔离网闸网络安全架构设计和网络安全设备的部署培训教材第34页双网隔离计算机处理每人2台计算机问题1台计算机，能够分时使用内网或外网关键部件硬盘网线软盘/USB/MODEM等共享部件显示器键盘/鼠标主板/电源硬盘*原理切换关键部件网络安全架构设计和网络安全设备的部署培训教材第35页简单双网隔离计算机外网硬盘内网硬盘外网网线内网网线公共部件控制卡控制开关网络安全架构设计和网络安全设备的部署培训教材第36页复杂双网隔离计算机内网硬盘外网网线内网网线公共部件控制卡远端设备使用控制卡上翻译功效将硬盘分为逻辑上独立部分充分使用UTP中8芯，降低一根网线网络安全架构设计和网络安全设备的部署培训教材第37页物理隔离网闸基本原理采取数据“摆渡”方式实现两个网络之间信息交换在任意时刻，物理隔离设备只能与一个网络主机系统建立非TCP/IP协议数据连接，即当它与外部网络相连接时，它与内部网络主机是断开，反之亦然。任何形式数据包、信息传输命令和TCP/IP协议都不可能穿透物理隔离设备。物理隔离设备在网络第7层讲数据还原为原始数据文件，然后以“摆渡文件”形式传递原始数据。网络安全架构设计和网络安全设备的部署培训教材第38页物理隔离实现基本原理网络安全架构设计和网络安全设备的部署培训教材第39页物理隔离实现基本原理内外网模块连接对应网络实现数据接收及预处理等操作；交换模块采取专用高速隔离电子开关实现与内外网模块数据交换，确保任意时刻内外网间没有链路层连接；数据只能以专用数据块方式静态地在内外网间经过网闸进行“摆渡”，传送到网闸另一侧；集成各种安全技术伎俩，采取强制安全策略，对数据内容进行安全检测，保障数据安全、可靠交换。网络安全架构设计和网络安全设备的部署培训教材第40页

对请求数据进行正当性检验，剥离原有协议成裸数据，进行内容检验，然后重组

对收到外网数据进行病毒检验、解析、过滤和重组等处理隔离网闸工作流程将重组数据还原为标准通讯协议，回传到内网

将重组数据还原为标准通讯协议，向外网发送专用隔离硬件、专用通讯协议专用隔离硬件、专用通讯协议网络安全架构设计和网络安全设备的部署培训教材第41页安全隔离工作示意图安全隔离系统非信任网络或Internet信任网络隔离装置连接系统连接系统网络安全架构设计和网络安全设备的部署培训教材第42页物理隔离技术应用内网和外部网之间网络安全架构设计和网络安全设备的部署培训教材第43页网闸隔离网闸和防火墙区分

≤1ms防火墙是单主机系统

防火墙采取通用通讯协议即TCP/IP协议

防火墙必须确保实时连接防火墙是主动响应网闸采取双主机系统，内端机与需要保护内部网络连接，外端机与外网连接。这种双系统模式彻底将内网保护起来网闸采取本身定义私有通讯协议，防止了通用协议存在漏洞。

网闸采取专用硬件控制技术确保内外网之间没有实时连接。

网闸对外网任何响应都确保是内网正当用户发出请求应答，即被动响应，而防火墙则不会对外网响应进行判断，也即主动响应。这么，网闸就防止了木马和黑客攻击。防火墙网络安全架构设计和网络安全设备的部署培训教材第44页物理隔离技术优缺点优点：

中止直接连接

强大检验机制

最高安全性缺点：

对协议不透明，对每一个协议都要一个详细实现 效率低网络安全架构设计和网络安全设备的部署培训教材第45页防病毒软件网络安全架构设计和网络安全设备的部署培训教材第46页网络防病毒基本功效：串接于网络中，依据网络病毒特征在网络数据中比对，从而发觉并阻断病毒传输优点：能有效阻断已知网络病毒传输不足：只能检验已经局部发作病毒对网络有一定影响网络安全架构设计和网络安全设备的部署培训教材第47页堡垒机网络安全架构设计和网络安全设备的部署培训教材第48页堡垒机又被称为“堡垒主机”，是一个主机系统，其本身通常经过了一定加固，含有较高安全性，可抵抗一定攻击，其作用主要是将需要保护信息系统资源与安全威胁起源进行隔离，从而在被保护资源前面形成一个坚固“堡垒”，而且在抵抗威胁同时又不影响普通用户对资源正常访问。网络安全架构设计和网络安全设备的部署培训教材第49页运维审计型堡垒机运维审计型堡垒机被布署在内网中服务器和网络设备等关键资源前面，对运维人员操作权限进行控制和操作行为审计；运维审计型堡垒机即处理了运维人员权限难以控制混乱局面，又可对违规操作行为进行控制和审计，而且因为运维操作本身不会产生大规模流量，堡垒机不会成为性能瓶颈，所以堡垒机作为运维操作审计伎俩得到了快速发展。

网络安全架构设计和网络安全设备的部署培训教材第50