計算機網(wǎng)絡(luò)安全 教學課件 作者 沈鑫剡 第１０章-大學課件-

?

2006工程兵工程學院計算機教研室計算機網(wǎng)絡(luò)安全第10章安全網(wǎng)絡(luò)設(shè)計實例第10章安全網(wǎng)絡(luò)設(shè)計實例計算機網(wǎng)絡(luò)安全安全網(wǎng)絡(luò)概述；安全網(wǎng)絡(luò)設(shè)計和分析。安全網(wǎng)絡(luò)是能夠保障信息安全目標實施的網(wǎng)絡(luò)系統(tǒng)，是一個能夠保證授權(quán)用戶實現(xiàn)訪問權(quán)限內(nèi)網(wǎng)絡(luò)資源訪問過程的網(wǎng)絡(luò)系統(tǒng)，是一個能夠抵御并反制黑客任何攻擊的網(wǎng)絡(luò)。安全網(wǎng)絡(luò)設(shè)計實例10.1安全網(wǎng)絡(luò)概述計算機網(wǎng)絡(luò)安全安全網(wǎng)絡(luò)設(shè)計目標；安全網(wǎng)絡(luò)主要構(gòu)件；網(wǎng)絡(luò)資源；安全網(wǎng)絡(luò)設(shè)計步驟。給出設(shè)計一個安全網(wǎng)絡(luò)的基本原則、過程和方法。安全網(wǎng)絡(luò)設(shè)計實例安全網(wǎng)絡(luò)設(shè)計目標計算機網(wǎng)絡(luò)安全能夠有效防御來自內(nèi)部和外部的攻擊；能夠?qū)W(wǎng)絡(luò)資源的訪問過程實施有效控制；能夠?qū)τ脩粜袨檫M行有效監(jiān)控；能夠?qū)W(wǎng)絡(luò)運行狀態(tài)進行實時監(jiān)測；能夠?qū)W(wǎng)絡(luò)性能變化過程和原因進行跟蹤、分析；能夠安全傳輸機密信息。安全網(wǎng)絡(luò)設(shè)計實例安全網(wǎng)絡(luò)主要構(gòu)件計算機網(wǎng)絡(luò)安全接入控制和認證構(gòu)件；分組過濾和速率限制構(gòu)件；防火墻；入侵防御系統(tǒng)；VPN接入構(gòu)件；認證、管理和控制服務(wù)器。安全網(wǎng)絡(luò)設(shè)計實例網(wǎng)絡(luò)資源計算機網(wǎng)絡(luò)安全網(wǎng)絡(luò)設(shè)備；網(wǎng)絡(luò)操作信息；鏈路帶寬；主機系統(tǒng)；在網(wǎng)絡(luò)中傳輸?shù)男畔?；用戶私密信息。安全網(wǎng)絡(luò)設(shè)計實例安全網(wǎng)絡(luò)設(shè)計步驟計算機網(wǎng)絡(luò)安全確定需要保護的網(wǎng)絡(luò)資源；分析可能遭受的攻擊類型；風險評估；設(shè)計網(wǎng)絡(luò)安全策略；實現(xiàn)網(wǎng)絡(luò)安全策略；分析和改進網(wǎng)絡(luò)安全策略。安全網(wǎng)絡(luò)設(shè)計實例安全網(wǎng)絡(luò)設(shè)計和分析計算機網(wǎng)絡(luò)安全安全網(wǎng)絡(luò)系統(tǒng)結(jié)構(gòu)；網(wǎng)絡(luò)安全策略；網(wǎng)絡(luò)安全策略實現(xiàn)機制。通過一個具體的、具有實用價值的安全網(wǎng)絡(luò)的設(shè)計和分析過程，了解安全網(wǎng)絡(luò)設(shè)計的基本原則、方法和過程。安全網(wǎng)絡(luò)設(shè)計實例安全網(wǎng)絡(luò)系統(tǒng)結(jié)構(gòu)計算機網(wǎng)絡(luò)安全安全網(wǎng)絡(luò)結(jié)構(gòu)安全網(wǎng)絡(luò)設(shè)計實例網(wǎng)絡(luò)分成內(nèi)網(wǎng)、外網(wǎng)和非軍事區(qū)三部分，非軍事區(qū)提供公共服務(wù)；交換機等接入設(shè)備完成對接入用戶的認證；安全工作主要針對內(nèi)部網(wǎng)絡(luò)資源展開，由防火墻負責控制內(nèi)部網(wǎng)不同VLAN之間的信息傳輸過程，限制外網(wǎng)

終端對內(nèi)部網(wǎng)絡(luò)資源的訪問，允許授權(quán)終端通過建立第2層隧道接入內(nèi)部網(wǎng)絡(luò)；網(wǎng)絡(luò)入侵防御系統(tǒng)對進出重要終端和服務(wù)器的信息流進行檢測；主機入侵防御系統(tǒng)對訪問重要終端和重要服務(wù)器中資源的過程實施嚴密監(jiān)控；網(wǎng)絡(luò)管理系統(tǒng)及時反饋網(wǎng)絡(luò)運行情況給管理員。安全網(wǎng)絡(luò)系統(tǒng)結(jié)構(gòu)計算機網(wǎng)絡(luò)安全安全網(wǎng)絡(luò)設(shè)計實例網(wǎng)絡(luò)安全策略實現(xiàn)機制交換機接入控制過程交換機采用基于MAC地址的接入控制機制；一旦終端通過認證，終端的MAC地址被添加到訪問控制列表，交換機允許正常轉(zhuǎn)發(fā)通過該端口接收到的以MAC

A為源MAC地址的MAC幀；交換機采用本地認證機制，不采用統(tǒng)一的認證服務(wù)器。計算機網(wǎng)絡(luò)安全安全網(wǎng)絡(luò)設(shè)計實例防火墻訪問控制機制防火墻訪問控制策略分兩部分，一是控制內(nèi)網(wǎng)各個VLAN之間的信息傳輸過程，限制外網(wǎng)終端對內(nèi)網(wǎng)資源的訪問過程。二是定義授權(quán)終端通過第2層隧道接入內(nèi)部網(wǎng)絡(luò)的方法；訪問控制策略定義三種信息：信息傳輸方向、源和目的終端范圍，以服務(wù)方式確定消息交換過程。網(wǎng)絡(luò)安全策略實現(xiàn)機制計算機網(wǎng)絡(luò)安全安全網(wǎng)絡(luò)設(shè)計實例終端通過VPN接入內(nèi)部網(wǎng)絡(luò)過程防火墻作為遠程接入控制設(shè)備，配置內(nèi)部網(wǎng)絡(luò)本地IP地址池，用戶名和口令等用戶認證信息；建立終端和防火墻之間的第2層隧道，基于第2層隧道完成終端的身份認證和本地IP地址分配；為了實現(xiàn)第2層隧道的安全傳輸，隧道兩端建立雙向的的安全關(guān)聯(lián)；防火墻添加指明通往終端的傳輸路徑的路由項。網(wǎng)絡(luò)安全策略實現(xiàn)機制計算機網(wǎng)絡(luò)安全安全網(wǎng)絡(luò)設(shè)計實例網(wǎng)絡(luò)安全策略實現(xiàn)機制VPN數(shù)據(jù)傳輸過程數(shù)據(jù)傳輸過程中，防火墻就是一個互連點對點鏈路和以太網(wǎng)的路由器；終端通過點對點鏈路和防火墻相連，因此，終端采用的鏈路層協(xié)議是PPP；由于點對點鏈路是第2層隧道，因此，PPP幀必須被封裝成第2層隧道報文，由于隧道兩端之間采取安全傳輸機制，進行IPSec的封裝過程。計算機網(wǎng)絡(luò)安全安全網(wǎng)絡(luò)設(shè)計實例主機入侵防御系統(tǒng)監(jiān)測服務(wù)器安全狀態(tài)；檢測進出服務(wù)器的信息流；控制服務(wù)器中資源的訪問過程；

限制進程調(diào)用過程。網(wǎng)絡(luò)入侵防御系統(tǒng)監(jiān)測進出重要終端和服務(wù)器的異常信息流；對進出重要終端和服務(wù)