網(wǎng)絡(luò)架構(gòu)安全設(shè)計

1、網(wǎng)絡(luò)架構(gòu)安全設(shè)計知識域：網(wǎng)絡(luò)架構(gòu)安全知識子域：網(wǎng)絡(luò)架構(gòu)安全基礎(chǔ) 理解網(wǎng)絡(luò)架構(gòu)安全的含義及主要工作理解網(wǎng)絡(luò)安全域劃分應(yīng)考慮的主要因素理解IP地址分配的方法理解VLAN劃分的作用與策略理解路由交換設(shè)備安全配置常見的要求理解網(wǎng)絡(luò)邊界訪問控制策略的類型理解網(wǎng)絡(luò)冗余配置應(yīng)考慮的因素2網(wǎng)絡(luò)架構(gòu)安全的內(nèi)容合理劃分網(wǎng)絡(luò)安全區(qū)域規(guī)劃網(wǎng)絡(luò)IP地址設(shè)計VLAN安全配置路由交換設(shè)備網(wǎng)絡(luò)邊界訪問控制策略網(wǎng)絡(luò)冗余配置3網(wǎng)絡(luò)安全域劃分的目的與方法定義安全域是遵守相同安全策略的用戶和系統(tǒng)的集合安全域劃分的目的把大規(guī)模負(fù)責(zé)系統(tǒng)安全問題化解為更小區(qū)域的安全保護問題網(wǎng)絡(luò)抗?jié)B透的有效防護方式，安全域邊界是災(zāi)難發(fā)生時的抑制點安全域的劃

2、分方法按信息資產(chǎn)劃分按業(yè)務(wù)類型劃分按地域劃分按組織架構(gòu)劃分4同級別安全域 同級別安全域之間的邊界-同級別安全域之間的安全防護主要是安全隔離和可信互訪不同級別安全域 不同級別安全域之間的邊界實際設(shè)計實施時又分為高等級安全域和低等級安全域的邊界和防護遠(yuǎn)程連接用戶 遠(yuǎn)程連接的用戶對于遠(yuǎn)程接入用戶通常采用VPN結(jié)合用戶認(rèn)證授權(quán)的方式進行邊界防護同級別安全域之間的邊界遠(yuǎn)程接入邊界的安全網(wǎng)絡(luò)安全域防護5IP地址規(guī)劃據(jù)IP編址特點，為所設(shè)計的網(wǎng)絡(luò)中的節(jié)點、網(wǎng)絡(luò)設(shè)備分配合適的IP地址應(yīng)與網(wǎng)絡(luò)層次規(guī)劃、路由協(xié)議規(guī)劃、流量規(guī)劃等結(jié)合起來考慮IP地址規(guī)劃應(yīng)采用自頂向下的方法6IP地址分配的方式靜態(tài)地址分配給網(wǎng)絡(luò)中每

3、臺計算機、網(wǎng)絡(luò)設(shè)備分配一個固定的、靜態(tài)不變的IP地址提供網(wǎng)絡(luò)服務(wù)的網(wǎng)絡(luò)設(shè)備，如WEB服務(wù)器、郵件服務(wù)器、FTP服務(wù)器等服務(wù)器，一般為其分配靜態(tài)IP地址動態(tài)地址分配在計算機連接到網(wǎng)路時，每次為其臨時分配一個IP地址NAT地址分配將私網(wǎng)地址和公網(wǎng)地址轉(zhuǎn)換使用7VLAN設(shè)計將網(wǎng)內(nèi)設(shè)備的邏輯地劃分成一個個網(wǎng)段從而實現(xiàn)虛擬工作組通過VLAN隔離技術(shù)，可以把一個網(wǎng)絡(luò)系統(tǒng)中眾多的網(wǎng)絡(luò)設(shè)備分成若干個虛擬的工作組安全作用建立VLAN之間的訪問機制，阻止蠕蟲和惡意病毒的廣泛傳播建立VLAN區(qū)域安全和資源保護，將受限制的應(yīng)用程序和資源置于更為安全的VLAN中8VLAN劃分方法一個交換機上可以劃分出多個VLAN多個交

4、換機并在一起共同劃分出若干個VLAN某些計算機可以同時處于多個VLAN中9路由交換設(shè)備的安全配置交換機安全配置要點安裝最新版本的操作系統(tǒng)，定期更新交換機操作系統(tǒng)補丁關(guān)閉空閑的物理端口帶外管理交換機明確禁止未經(jīng)授權(quán)的訪問配置必要的網(wǎng)路服務(wù)，關(guān)閉不必要的網(wǎng)絡(luò)服務(wù)打開日志功能，并且將日志文件專門放到一臺安全的日志主機上對交換機配置文件進行脫機安全備份，并且限制對配置文件的訪問10路由器的安全配置要點在路由器上安裝最新版本的操作系統(tǒng)，定期更新對應(yīng)的操作系統(tǒng)補丁防止欺騙性路由更新，配置路由協(xié)議鑒別路由器的配置保持下線備份，對它的訪問進行限制明確禁止未經(jīng)授權(quán)的訪問防止網(wǎng)絡(luò)數(shù)據(jù)竊聽，適當(dāng)部署加密保護技術(shù)禁用

5、不需要的服務(wù)和組件，禁用有風(fēng)險的接口服務(wù)打開日志功能，配置日志服務(wù)器進行日志收集和分析11網(wǎng)絡(luò)邊界的概念 具有不同安全級別的網(wǎng)絡(luò)之間的分界線都可以定義為網(wǎng)絡(luò)邊界 網(wǎng)絡(luò)常見邊界： 內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間 組織機構(gòu)各部門之間 重要部門與其他部門之間 組織機構(gòu)總部與分支機構(gòu)之間 12網(wǎng)絡(luò)邊界訪問控制基本安全防護 采用常規(guī)的邊界防護機制，如基本的登錄/連接控制等，實現(xiàn)基本的信息系統(tǒng)邊界安全防護，采用路由器或者三層交換機。較嚴(yán)格安全防護 采用較嚴(yán)格的安全防護機制，如較嚴(yán)格的登錄/連接控制，普通功能的防火墻、防病毒網(wǎng)關(guān)、入侵防御、信息過濾、邊界完整性檢查等嚴(yán)格安全防護 根據(jù)當(dāng)前信息安全對抗技術(shù)的發(fā)展，采用

6、嚴(yán)格的安全防護機制，如嚴(yán)格的登錄/連接機制， 高安全功能的防火墻、防病毒網(wǎng)關(guān)、入侵防御、信息過濾、邊界完整性檢查等特別安全防護 采用當(dāng)前最先進的邊界防護技術(shù)，必要時可以采用物理隔離安全機制，實現(xiàn)特別安全要求的邊界安全防護13邊界安全防護機制14邊界安全防護技術(shù)防火墻負(fù)載均衡IDS/IPSUTM隔離網(wǎng)閘抗拒絕服務(wù)攻擊需要考慮的問題是否需要對外提供服務(wù)，提供什么服務(wù)IP數(shù)量，如何使用IP（NAT或直接服務(wù)）帶寬問題互聯(lián)網(wǎng)病毒傳播問題采取的防護措施路由器防火墻流量管理防病毒網(wǎng)關(guān)UTM內(nèi)部網(wǎng)絡(luò)與互聯(lián)網(wǎng)邊界防護15需要考慮的問題相互的服務(wù)提供及數(shù)據(jù)交換情況（在保證應(yīng)用的情況下隔離）病毒傳播問題采取的防護措施路由器防火墻防病毒網(wǎng)關(guān)隔離網(wǎng)閘內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)邊界防護16需要考慮的問題連接的方式（VPN或直接網(wǎng)絡(luò)訪問）病毒傳播問題采取的防護措施VPN防火墻防病毒網(wǎng)關(guān)17內(nèi)部網(wǎng)絡(luò)與分支機構(gòu)邊界防護需要考慮的問題防護的程度和標(biāo)準(zhǔn)病毒傳播問題非法訪問問題采取的防護措施VLAN劃分防火墻防病毒網(wǎng)關(guān)18內(nèi)部網(wǎng)絡(luò)重要部門邊界防護19作用防止單點故障可以提高網(wǎng)絡(luò)的健全性、穩(wěn)定性考慮因素接入互聯(lián)網(wǎng)時，同時采用不同電信運營商線路，相互備份且互不影響核心層、匯聚層的設(shè)備和重要的接入層設(shè)備均應(yīng)雙機熱備保證網(wǎng)絡(luò)帶寬和網(wǎng)絡(luò)設(shè)備的業(yè)務(wù)處理能力具備冗余空