任務(wù)九企業(yè)網(wǎng)絡(luò)邊界安全規(guī)劃.ppt

任務(wù)九：企業(yè)網(wǎng)絡(luò)邊界安全規(guī)劃,計算機安全維護,內(nèi)容簡介,一、任務(wù)內(nèi)容 二、背景知識 三、風險分析 四、步驟介紹 五、任務(wù)小結(jié),一、任務(wù)內(nèi)容,二、 背景知識,1、網(wǎng)絡(luò)邊界的基本概念 2、劃分邊界的依據(jù) 3、邊界安全防護機制 4、邊界防護技術(shù),1、網(wǎng)絡(luò)邊界的基本概念,網(wǎng)絡(luò)邊界的概念 具有不同安全級別的網(wǎng)絡(luò)之間的分界線都可以定義為網(wǎng)絡(luò)邊界 。 企業(yè)網(wǎng)絡(luò)常見邊界 企業(yè)內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò) 企業(yè)部門之間 重要部門與其他部門之間 分公司與分公司（或總部）之間,2、劃分邊界的依據(jù),目的 實現(xiàn)大規(guī)模復雜信息系統(tǒng)安全等級保護 。 作用 把一個大規(guī)模復雜系統(tǒng)的安全問題，化解為更小區(qū)域的安全保護問題 。 依據(jù),3、邊界安全防護機制,基本安全防護 采用常規(guī)的邊界防護機制，如基本的登錄/連接控制等，實現(xiàn)基本的信息系統(tǒng)邊界安全防護。 較嚴格安全防護 采用較嚴格的安全防護機制，如較嚴格的登錄/連接控制，普通功能的防火墻、防病毒網(wǎng)關(guān)、入侵防范、信息過濾、邊界完整性檢查等。 嚴格安全防護 根據(jù)當前信息安全對抗技術(shù)的發(fā)展，采用嚴格的安全防護機制，如嚴格的登錄/連接機制， 高安全功能的防火墻、防病毒網(wǎng)關(guān)、入侵防范、信息過濾、邊界完整性檢查等。 特別安全防護 采用當前最先進的邊界防護技術(shù)，必要時可以采用物理隔離安全機制，實現(xiàn)特別安全要求的邊界安全防護。,本節(jié)重點介紹： 防火墻技術(shù) 多重安全網(wǎng)關(guān)技術(shù) 網(wǎng)閘技術(shù) 數(shù)據(jù)交換網(wǎng)技術(shù),3、邊界安全防護機制,原理 采用包過濾或應(yīng)用代理技術(shù)，通過訪問控制列表ACL過濾數(shù)據(jù)。 作用 控制進出網(wǎng)絡(luò)的信息流向和信息包。 提供使用和流量的日志和審計。 隱藏內(nèi)部IP地址及網(wǎng)絡(luò)結(jié)構(gòu)的細節(jié)。 缺點 不能對應(yīng)用層識別,4、邊界安全防護防火墻技術(shù),UTM介紹 統(tǒng)一威脅管理(Unified Threat Management)， 2004年9月，IDC首度提出“統(tǒng)一威脅管理”的概念，即將防病毒、入侵檢測和防火墻安全設(shè)備劃歸統(tǒng)一威脅管理(Unified Threat Management，簡稱UTM)新類別。 特點 1、一個更高，更強，更可靠的墻。 2、通過高質(zhì)量的檢測技術(shù)來降低誤報。 3、有高可靠，高性能的硬件平臺支撐。,4、邊界安全防護多重安全網(wǎng)關(guān)技術(shù),4、邊界安全防護數(shù)據(jù)交換網(wǎng)技術(shù),特點 數(shù)據(jù)存儲更快速 數(shù)據(jù)存儲更安全 降低大容量存儲設(shè)備的采購成本 作用 增加磁盤的存取(access)速度 防止數(shù)據(jù)因磁盤的故障而失落 有效的利用磁盤空間,三、風險分析,四、步驟介紹,1、典型企業(yè)網(wǎng)絡(luò)邊界規(guī)劃 2、配置邊界防火墻,1、典型企業(yè)網(wǎng)絡(luò)邊界規(guī)劃,步驟流程： 1.步驟準備 2.劃分區(qū)域 3.企業(yè)內(nèi)部網(wǎng)絡(luò)與Internet網(wǎng)絡(luò)邊界部署 4.部門內(nèi)部網(wǎng)絡(luò)邊界部署 5.重要部門網(wǎng)絡(luò)邊界部署 6.企業(yè)網(wǎng)絡(luò)整體邊界部署 7. 小結(jié),1.步驟準備,主要是完成對用戶網(wǎng)絡(luò)環(huán)境現(xiàn)場采集的過程，需要采集的信息包含： 1）當前網(wǎng)絡(luò)拓撲結(jié)構(gòu) 2）當前網(wǎng)絡(luò)環(huán)境存在的問題（用戶角度） 3）用戶的應(yīng)用需求 4）用戶的網(wǎng)絡(luò)安全需求 5）其他網(wǎng)絡(luò)規(guī)劃要求 6）用戶投資預算等,1.步驟準備,2.劃分區(qū)域,劃分區(qū)域要考慮： 1）確定安全資產(chǎn) 2）定義安全策略和安全級別 3）劃分不同的安全區(qū)域,3.企業(yè)內(nèi)部網(wǎng)絡(luò)與Internet網(wǎng)絡(luò)邊界部署,網(wǎng)絡(luò)區(qū)域邊界部署上結(jié)合應(yīng)用需求我們需要考慮 ： 1）Web服務(wù)器需要對外提供服務(wù)，Internet網(wǎng)絡(luò)用戶能夠訪問該服務(wù)器資源； 2）內(nèi)部辦公網(wǎng)絡(luò)不對外提供服務(wù)，Internet網(wǎng)絡(luò)用戶不能訪問內(nèi)部服務(wù)器或信息點； 3）Web服務(wù)器和內(nèi)部辦公網(wǎng)絡(luò)需要防范Internet網(wǎng)絡(luò)攻擊； 4）Web服務(wù)器和內(nèi)部辦公網(wǎng)絡(luò)需要防范病毒傳播等。,4.部門內(nèi)部網(wǎng)絡(luò)邊界部署,內(nèi)網(wǎng)邊界部署上，我們應(yīng)該考慮以下因素： 1）各部門之間的涉密信息保護； 2）各部門之間有一定的共享資源； 3）需要防范網(wǎng)絡(luò)病毒蔓延等。,5.重要部門網(wǎng)絡(luò)邊界部署,對如財務(wù)部等重要部門，要進行特別防護，如對其進行隔離網(wǎng)閘的部署,6.企業(yè)網(wǎng)絡(luò)整體邊界部署,這樣就形成了企業(yè)內(nèi)部網(wǎng)絡(luò)邊界部署,7. 小結(jié),本例針對一個企業(yè)網(wǎng)絡(luò)環(huán)境給出了一個比較典型的邊界部署規(guī)劃，重點在于讓學生理解部署一個企業(yè)網(wǎng)絡(luò)規(guī)劃的步驟和方法。事實上，每種方案都有各自的特點，在實際應(yīng)用中，常常需要我們在編寫方案時還需要考慮企業(yè)網(wǎng)絡(luò)環(huán)境現(xiàn)狀、網(wǎng)絡(luò)建設(shè)投資情況等等因素，以便有針對性的設(shè)計和完善現(xiàn)有網(wǎng)絡(luò)體系，真正實現(xiàn)網(wǎng)絡(luò)安全、經(jīng)濟實用、便捷管理的設(shè)計目標。,2、邊界防火墻安全配置,步驟流程： 1.步驟準備 2.安全域劃分 3.發(fā)布受信任區(qū)域的郵件及Web服務(wù) 4.對發(fā)布的服務(wù)器實施基本保護 5.深度過濾規(guī)則驗證 6.小結(jié),1.步驟準備,（1）安裝郵件服務(wù)器,1.步驟準備,（2）安裝Web服務(wù)器,2.安全域劃分,（1）在防火墻的Web管理頁面，選擇“策略配置”“安全選項”把“包過濾缺省允許”的勾取消。,2.安全域劃分,（2）在防火墻的Web管理頁面，選擇“策略配置”“安全規(guī)則 ”添加一條“包過濾規(guī)則”,3.發(fā)布受信任區(qū)域的郵件及Web服務(wù),（1）在防火墻的Web管理頁面，選擇“資源定義”“服務(wù)器地址”單擊添加按鈕,3.發(fā)布受信任區(qū)域的郵件及Web服務(wù),（2）在防火墻的Web管理頁面，選擇“策略配置”“安全規(guī)則 ”添加一條“IP映射規(guī)則”,3.發(fā)布受信任區(qū)域的郵件及Web服務(wù),（3）在防火墻的Web管理頁面，選擇“策略配置”“安全規(guī)則 ”添加 “包過濾規(guī)則”,4.對發(fā)布的服務(wù)器實施基本保護,（1）在防火墻的Web管理頁面，選擇“資源定義”“深度過濾”“URL組以及關(guān)鍵字組”單擊添加按鈕,4.對發(fā)布的服務(wù)器實施基本保護,（2）在防火墻的Web管理頁面，選擇“資源定義”“深度過濾”“過濾策略”單擊添加按鈕,4.對發(fā)布的服務(wù)器實施基本保護,（3）在防火墻的Web管理頁面，選擇“策略配置”“安全規(guī)則 ”添加 “包過濾規(guī)則”，配置訪問Web服務(wù)器是啟用深度過濾規(guī)則。,4.對發(fā)布的服務(wù)器實施基本保護,（3）防火墻的Web管理頁面，選擇“策略配置”“安全規(guī)則 ”添加 “包過濾規(guī)則”，配置POP3服務(wù)啟用深度過濾規(guī)則。,4.對發(fā)布的服務(wù)器實施基本保護,（3）防火墻的Web管理頁面，選擇“策略配置”“安全規(guī)則 ”添加 “包過濾規(guī)則”，配置Smtp服務(wù)啟用深度過濾規(guī)則。,5.深度過濾規(guī)則驗證,（1）不被信任區(qū)域主機訪問Web頁面：,5.深度過濾規(guī)則驗證,（2）發(fā)送正常郵件驗證,5.深度過濾規(guī)則驗證,（3）發(fā)送含過濾關(guān)鍵字的郵件驗證,6. 小結(jié),通過對防火墻實例化操作，使學生能夠掌握防火墻基本配置方