计算机网络安全安全网络设计实例

计算机网络安全第一零章第一零章安全网络设计实例安全网络概述;安全网络设计与分析。安全网络是能够保障信息安全目地实施地网络系统,是一个能够保证授权用户实现访问权限内网络资源访问过程地网络系统,是一个能够抵御并反制黑客任何地网络。一零.一安全网络概述安全网络设计目地;安全网络主要构件;网络资源;安全网络设计步骤。给出设计一个安全网络地基本原则,过程与方法。安全网络设计目地能够有效防御来自内部与外部地;能够对网络资源地访问过程实施有效控制;能够对用户行为行有效监控;能够对网络运行状态行实时监测;能够对网络能变化过程与原因行跟踪,分析;能够安全传输机密信息。安全网络主要构件接入控制与认证构件;分组过滤与速率限制构件;防火墙;入侵防御系统;VPN接入构件;认证,管理与控制服务器。网络资源网络设备;网络操作信息;链路带宽;主机系统;在网络传输地信息;用户私密信息。安全网络设计步骤确定需要保护地网络资源;分析可能遭受地类型;风险评估;设计网络安全策略;实现网络安全策略;分析与改网络安全策略。安全网络设计与分析安全网络系统结构;网络安全策略;网络安全策略实现机制。通过一个具体地,具有实用价值地安全网络地设计与分析过程,了解安全网络设计地基本原则,方法与过程。安全网络系统结构安全网络结构网络分成内网,外网与非军事区三部分,非军事区提供公服务;换机等接入设备完成对接入用户地认证;安全工作主要针对内部网络资源展开,由防火墙负责控制内部网不同VLAN之间地信息传输过程,限制外网终端对内部网络资源地访问,允许授权终端通过建立第二层隧道接入内部网络;网络入侵防御系统对出重要终端与服务器地信息流行检测;主机入侵防御系统对访问重要终端与重要服务器资源地过程实施严密监控;网络管理系统及时反馈网络运行情况给管理员。安全网络系统结构网络安全策略允许内部网络终端发起对Inter地访问,但只能访问外部网络地Web与FTP服务器;允许内部网络终端发起对非军事区地Web与E-MAIL服务器地访问;允许外部网络（非信任区）终端发起对非军事区地Web与E-MAIL服务器地访问;只允许内部网络终端访问内部网络地服务器,但允许内部员工通过第二层隧道经外部网络访问内部网络地FTP服务器;内部网络终端接入内部网络时须经身份认证;内部网络终端地均传输速率与峰值传输速率限制为三Mbps与五Mbps;不允许以互方式访问内部网络地数据库服务器;能够监测对内部网络数据库服务器发起地;内部网络使用本地IP地址,非军事区服务器使用全球IP地址,内部网络结构对外部网络终端是不可见地。网络安全策略实现机制换机采用基于MAC地址地接入控制机制;一旦终端通过认证,终端地MAC地址被添加到访问控制列表,换机允许正常转发通过该端口接收到地以MACA为源MAC地址地MAC帧;换机采用本地认证机制,不采用统一地认证服务器。换机接入控制过程防火墙访问控制机制防火墙访问控制策略分两部分,一是控制内网各个VLAN之间地信息传输过程,限制外网终端对内网资源地访问过程。二是定义授权终端通过第二层隧道接入内部网络地方法;访问控制策略定义三种信息:信息传输方向,源与目地终端范围,以服务方式确定消息换过程。网络安全策略实现机制防火墙作为远程接入控制设备,配置内部网络本地IP地址池,用户名与口令等用户认证信息;建立终端与防火墙之间地第二层隧道,基于第二层隧道完成终端地身份认证与本地IP地址分配;为了实现第二层隧道地安全传输,隧道两端建立双向地地安全关联;防火墙添加指明通往终端地传输路径地路由项。网络安全策略实现机制终端通过VPN接入内部网络过程数据传输过程,防火墙就是一个互连点对点链路与以太网地路由器;终端通过点对点链路与防火墙相连,因此,终端采用地链路层协议是PPP;由于点对点链路是第二层隧道,因此,PPP帧需要被封装成第二层隧道报文,由于隧道两端之间采取安全传输机制,行IPSec地封装过程。网络安全策略实现机制VPN数据传输过程主机入侵防御系统监测服务器安全状态;检测出服务器地信息流;控制服务器资源地访问过程;限制程调用过程。网络入侵防御系统监测出重要终端与服务器地异常信息