《補(bǔ)充網(wǎng)絡(luò)安全規(guī)劃》PPT課件(PPT 27頁(yè))_第1頁(yè)
《補(bǔ)充網(wǎng)絡(luò)安全規(guī)劃》PPT課件(PPT 27頁(yè))_第2頁(yè)
《補(bǔ)充網(wǎng)絡(luò)安全規(guī)劃》PPT課件(PPT 27頁(yè))_第3頁(yè)
《補(bǔ)充網(wǎng)絡(luò)安全規(guī)劃》PPT課件(PPT 27頁(yè))_第4頁(yè)
《補(bǔ)充網(wǎng)絡(luò)安全規(guī)劃》PPT課件(PPT 27頁(yè))_第5頁(yè)
已閱讀5頁(yè),還剩22頁(yè)未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說(shuō)明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

1、補(bǔ)充: 網(wǎng)絡(luò)安全規(guī)劃ISSUE 2007。9第1頁(yè),共27頁(yè)。學(xué)習(xí)目標(biāo)明確網(wǎng)絡(luò)安全規(guī)劃的基本原則掌握網(wǎng)絡(luò)安全的配置要點(diǎn)學(xué)習(xí)完本課程,您應(yīng)該能夠:2第2頁(yè),共27頁(yè)。課程內(nèi)容基本原則控制策略安全組網(wǎng)安全防御管理審計(jì)3第3頁(yè),共27頁(yè)。網(wǎng)絡(luò)安全規(guī)劃的基本原則網(wǎng)絡(luò)安全是一個(gè)復(fù)雜的體系結(jié)構(gòu)網(wǎng)絡(luò)安全是一個(gè)相對(duì)的概念網(wǎng)絡(luò)安全部署通常會(huì)帶來(lái)副作用在網(wǎng)絡(luò)的安全和性能之間找到恰當(dāng)?shù)钠胶恻c(diǎn)!4第4頁(yè),共27頁(yè)。課程內(nèi)容基本原則安全組網(wǎng)安全防御管理審計(jì)控制策略5第5頁(yè),共27頁(yè)??刂撇呗哉J(rèn)證授權(quán)(WLAN接入)在WLAN中,當(dāng)無(wú)法從物理上控制訪問(wèn)者的來(lái)源時(shí),務(wù)必要使用相應(yīng)的鑒權(quán)及認(rèn)證手段進(jìn)行識(shí)別服務(wù):在AP上禁止E

2、SSID廣播MAC過(guò)濾對(duì)接入用戶進(jìn)行802.1x身份認(rèn)證使用加密無(wú)線信道6第6頁(yè),共27頁(yè)??刂撇呗哉J(rèn)證授權(quán)(以太網(wǎng)接入)對(duì)于來(lái)源不可靠的以太網(wǎng)接入使用802.1x認(rèn)證配合CAMS進(jìn)行。支持防代理上網(wǎng),提供運(yùn)營(yíng)商帶寬安全使用EAD(端點(diǎn)準(zhǔn)入防御)技術(shù),隔離可能危險(xiǎn)用戶7第7頁(yè),共27頁(yè)??刂撇呗哉J(rèn)證授權(quán)(RADIUS&AAA)通過(guò)RADIUS實(shí)現(xiàn)AAA認(rèn)證,可以對(duì)各種接入用戶統(tǒng)一集中進(jìn)行認(rèn)證和授權(quán)采用HWTACACS協(xié)議代替RADIUS實(shí)現(xiàn)對(duì)驗(yàn)證報(bào)文主體全部進(jìn)行加密支持對(duì)路由器上的配置實(shí)現(xiàn)分級(jí)授權(quán)使用認(rèn)證服務(wù)器Modem 接入ADSL 接入LAN 接入WLAN 接入8第8頁(yè),共27頁(yè)??刂撇呗?/p>

3、認(rèn)證授權(quán)(移動(dòng)客戶)移動(dòng)用戶客戶端SECPoint的遠(yuǎn)程接入驗(yàn)證傳統(tǒng)用戶名密碼方式雙因素認(rèn)證SecKEYPKI/CA體系驗(yàn)證方式9第9頁(yè),共27頁(yè)??刂撇呗詷I(yè)務(wù)隔離(以太網(wǎng)接入)普通二層以太網(wǎng)網(wǎng)絡(luò)中采用VLAN進(jìn)行隔離。小區(qū)以太網(wǎng)接入應(yīng)用中在接入層交換機(jī)上配置Isolate-user-VLAN,禁止接入用戶之間互訪。建議在接入交換機(jī)接入端口配置廣播抑制門限123410第10頁(yè),共27頁(yè)。控制策略業(yè)務(wù)隔離(ACL & VPN)采用訪問(wèn)控制列表ACL進(jìn)行L1層L4層隔離對(duì)于大型網(wǎng)絡(luò)中可以使用 MPLS VPN 技術(shù),實(shí)現(xiàn)在一張基礎(chǔ)網(wǎng)絡(luò)下多種業(yè)務(wù)間的復(fù)雜隔離需求。11第11頁(yè),共27頁(yè)??刂撇呗跃W(wǎng)絡(luò)

4、設(shè)備訪問(wèn)權(quán)限所有的網(wǎng)絡(luò)設(shè)備必須配置super密碼,telnet的口令及密碼,并定期修改。考慮使用SSH方式登錄,保證遠(yuǎn)程登錄設(shè)備安全。同時(shí)禁止telnet服務(wù)。12第12頁(yè),共27頁(yè)。控制策略路由安全路由欺騙防止如果RIP和OSPF等動(dòng)態(tài)路由協(xié)議在某些接口上(通常是以太網(wǎng)口)啟動(dòng)協(xié)議的目的僅僅是為了發(fā)布路由,而無(wú)需建立鄰居,則務(wù)必將這些接口設(shè)置為silent- interface對(duì)于OSPF等在接口上支持MD5驗(yàn)證的路由協(xié)議,不建議配置MD5驗(yàn)證13第13頁(yè),共27頁(yè)。課程內(nèi)容基本原則安全組網(wǎng)控制策略安全防御管理審計(jì)14第14頁(yè),共27頁(yè)。安全組網(wǎng)安全傳輸安全傳輸當(dāng)數(shù)據(jù)在網(wǎng)絡(luò)傳輸?shù)倪^(guò)程中無(wú)法確

5、保安全時(shí)通常需要使用一定的安全技術(shù)。加密技術(shù)IPSec 應(yīng)用為IP協(xié)議組提供了網(wǎng)絡(luò)層的安全能力,發(fā)送主機(jī)對(duì)IP報(bào)文進(jìn)行加密,目的端點(diǎn)對(duì)源端點(diǎn)進(jìn)行身份驗(yàn)證。可以確保報(bào)文的完整性和隱秘性。WLAN的報(bào)文傳輸過(guò)程可以使用WEP、WAP等加密手段確保報(bào)文的安全傳送。采用WAP可以支持更長(zhǎng)的加密密鑰、避免采用靜態(tài)加密密鑰4132lqfqfh%&$財(cái)務(wù)報(bào)告銷售額: 1860$利潤(rùn): 360$加密密鑰15第15頁(yè),共27頁(yè)。安全組網(wǎng)VPN報(bào)文在傳輸?shù)倪^(guò)程中將其封裝在隧道里,使其對(duì)沿途經(jīng)過(guò)的設(shè)備不可見(jiàn),從而保證其安全性。常用對(duì)安全性要求不高的簡(jiǎn)單環(huán)境。L2TP、GRE利用同IPSEC安全協(xié)議配合,實(shí)現(xiàn)安全保密

6、的VPNInternet出差員工總部合作伙伴16第16頁(yè),共27頁(yè)。課程內(nèi)容基本原則控制策略安全組網(wǎng)安全防御管理審計(jì)17第17頁(yè),共27頁(yè)。安全防御網(wǎng)絡(luò)防護(hù)面對(duì)安全威脅響應(yīng)的時(shí)間越來(lái)越短波及全球基礎(chǔ)設(shè)施地區(qū)網(wǎng)絡(luò)多個(gè)網(wǎng)絡(luò)單個(gè)網(wǎng)絡(luò)單個(gè)計(jì)算機(jī)破壞的對(duì)象和范圍第一代引導(dǎo)型病毒周第二代宏病毒電子郵件DoS有限的黑客攻擊天第三代網(wǎng)絡(luò) DoS混合威脅 (蠕蟲(chóng) + 病毒+ 特洛伊木馬)Turbo蠕蟲(chóng)廣泛的系統(tǒng)黑客攻擊分鐘下一代基礎(chǔ)設(shè)施黑客攻擊瞬間威脅大規(guī)模蠕蟲(chóng)DDoS破壞有效負(fù)載的病毒和蠕蟲(chóng)秒20世紀(jì)80年代20世紀(jì)90年代今天未來(lái)人工響應(yīng),可能人工響應(yīng),很難自動(dòng)響應(yīng),有可能人工響應(yīng),不可能自動(dòng)響應(yīng),較難主動(dòng)

7、阻擋,有可能18第18頁(yè),共27頁(yè)。安全防御網(wǎng)絡(luò)防護(hù) (續(xù))當(dāng)內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)相連時(shí),需要對(duì)內(nèi)部網(wǎng)絡(luò)進(jìn)行必要的網(wǎng)絡(luò)防護(hù)措施。即使在不需要與外網(wǎng)相連的情況下,也需要對(duì)內(nèi)部網(wǎng)絡(luò)中異常重要的服務(wù)器進(jìn)行防護(hù)。網(wǎng)絡(luò)防護(hù)主要通過(guò)防火墻設(shè)備來(lái)實(shí)施。防火墻DoS攻擊黑客Internet19第19頁(yè),共27頁(yè)。安全防御模型受保護(hù)服務(wù)器受保護(hù)客戶機(jī)內(nèi)部網(wǎng)絡(luò)可信任區(qū)外部網(wǎng)絡(luò)不可信任區(qū)周邊網(wǎng)絡(luò) DMZ區(qū)WWW服務(wù)器MAIL服務(wù)器入侵檢測(cè)服務(wù)器漏洞掃描服務(wù)器互聯(lián)網(wǎng)接入服務(wù)器互聯(lián)網(wǎng)連接路由器20第20頁(yè),共27頁(yè)。安全防御包過(guò)濾防火墻容易實(shí)施,幾乎所有網(wǎng)絡(luò)設(shè)備都支持ACL特性應(yīng)用于接口或者安全區(qū)域,分出入方向采用ACL

8、進(jìn)行物理層到傳輸層的控制。配置包過(guò)濾防火墻進(jìn)行網(wǎng)絡(luò)病毒防范21第21頁(yè),共27頁(yè)。安全防御ASPFASPF狀態(tài)防火墻同包過(guò)濾防火墻共用時(shí),應(yīng)注意在相同出接口或入接口上應(yīng)用使用NAT時(shí),可以不需要再啟用ASPFNAT也是基于狀態(tài)的,對(duì)出方向的報(bào)文建立狀態(tài)表。起到單向訪問(wèn)控制作用22第22頁(yè),共27頁(yè)。安全防御拒絕服務(wù)和掃描拒絕服務(wù)類攻擊掃描類攻擊畸形報(bào)文攻擊23第23頁(yè),共27頁(yè)。課程內(nèi)容基本原則控制策略安全組網(wǎng)安全防御管理審計(jì)24第24頁(yè),共27頁(yè)。管理審計(jì)日志日志記錄日志記錄可以準(zhǔn)確的記下設(shè)備運(yùn)行過(guò)程中發(fā)生的各種軟件異常信息,鏈路異常信息,對(duì)設(shè)備的各種命令操作等。日志記錄可以在事后對(duì)各類故障進(jìn)行分析,便于事后進(jìn)行追蹤,改善網(wǎng)絡(luò)的安全部署策略。日志記錄的類別設(shè)備運(yùn)行時(shí)務(wù)必設(shè)置記錄日志,如果條件允許,盡量將需要將日志信息發(fā)送到特

溫馨提示

  • 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

評(píng)論

0/150

提交評(píng)論