計算機網(wǎng)絡(luò)安全(沈鑫剡)第10章

1、計算機網(wǎng)絡(luò)平安第10章第10章 平安網(wǎng)絡(luò)設(shè)計實例平安網(wǎng)絡(luò)概述；平安網(wǎng)絡(luò)設(shè)計和分析。平安網(wǎng)絡(luò)是可以保證信息平安目的實施的網(wǎng)絡(luò)系統(tǒng)，是一個可以保證授權(quán)用戶實現(xiàn)訪問權(quán)限內(nèi)網(wǎng)絡(luò)資源訪問過程的網(wǎng)絡(luò)系統(tǒng)，是一個可以抵御并反制黑客任何攻擊的網(wǎng)絡(luò)。10.1 平安網(wǎng)絡(luò)概述平安網(wǎng)絡(luò)設(shè)計目的；平安網(wǎng)絡(luò)主要構(gòu)件；網(wǎng)絡(luò)資源；平安網(wǎng)絡(luò)設(shè)計步驟。給出設(shè)計一個平安網(wǎng)絡(luò)的根本原那么、過程和方法。平安網(wǎng)絡(luò)設(shè)計目的可以有效防御來自內(nèi)部和外部的攻擊；可以對網(wǎng)絡(luò)資源的訪問過程實施有效控制；可以對用戶行為進展有效監(jiān)控；可以對網(wǎng)絡(luò)運轉(zhuǎn)形狀進展實時監(jiān)測；可以對網(wǎng)絡(luò)性能變化過程和緣由進展跟蹤、分析；可以平安傳輸信息。平安網(wǎng)絡(luò)主要構(gòu)件接入控制和

2、認證構(gòu)件；分組過濾和速率限制構(gòu)件；防火墻；入侵防御系統(tǒng)；VPN接入構(gòu)件；認證、管理和控制效力器。網(wǎng)絡(luò)資源網(wǎng)絡(luò)設(shè)備；網(wǎng)絡(luò)操作信息；鏈路帶寬；主機系統(tǒng)；在網(wǎng)絡(luò)中傳輸?shù)男畔ⅲ挥脩羲矫苄畔?。平安網(wǎng)絡(luò)設(shè)計步驟確定需求維護的網(wǎng)絡(luò)資源；分析能夠蒙受的攻擊類型；風險評價；設(shè)計網(wǎng)絡(luò)平安戰(zhàn)略；實現(xiàn)網(wǎng)絡(luò)平安戰(zhàn)略；分析和改良網(wǎng)絡(luò)平安戰(zhàn)略。平安網(wǎng)絡(luò)設(shè)計和分析平安網(wǎng)絡(luò)系統(tǒng)構(gòu)造；網(wǎng)絡(luò)平安戰(zhàn)略；網(wǎng)絡(luò)平安戰(zhàn)略實現(xiàn)機制。經(jīng)過一個詳細的、具有適用價值的平安網(wǎng)絡(luò)的設(shè)計和分析過程，了解平安網(wǎng)絡(luò)設(shè)計的根本原那么、方法和過程。平安網(wǎng)絡(luò)系統(tǒng)構(gòu)造平安網(wǎng)絡(luò)構(gòu)造網(wǎng)絡(luò)分成內(nèi)網(wǎng)、外網(wǎng)和非軍事區(qū)三部分，非軍事區(qū)提供公共效力；交換機等接入設(shè)備完成對接入用

3、戶的認證；平安任務(wù)主要針對內(nèi)部網(wǎng)絡(luò)資源展開，由防火墻擔任控制內(nèi)部網(wǎng)不同VLAN之間的信息傳輸過程，限制外網(wǎng)終端對內(nèi)部網(wǎng)絡(luò)資源的訪問，允許授權(quán)終端經(jīng)過建立第2層隧道接入內(nèi)部網(wǎng)絡(luò)；網(wǎng)絡(luò)入侵防御系統(tǒng)對進出重要終端和效力器的信息流進展檢測；主機入侵防御系統(tǒng)對訪問重要終端和重要效力器中資源的過程實施嚴密監(jiān)控；網(wǎng)絡(luò)管理系統(tǒng)及時反響網(wǎng)絡(luò)運轉(zhuǎn)情況給管理員。平安網(wǎng)絡(luò)系統(tǒng)構(gòu)造網(wǎng)絡(luò)平安戰(zhàn)略允許內(nèi)部網(wǎng)絡(luò)終端發(fā)起對Internet的訪問，但只能訪問外部網(wǎng)絡(luò)中的Web和FTP效力器；允許內(nèi)部網(wǎng)絡(luò)終端發(fā)起對非軍事區(qū)中的Web和效力器的訪問；允許外部網(wǎng)絡(luò)非信任區(qū)終端發(fā)起對非軍事區(qū)中的Web和效力器的訪問；只允許內(nèi)部網(wǎng)絡(luò)終端訪

4、問內(nèi)部網(wǎng)絡(luò)中的效力器，但允許內(nèi)部員工經(jīng)過第2層隧道經(jīng)外部網(wǎng)絡(luò)訪問內(nèi)部網(wǎng)絡(luò)中的FTP效力器；內(nèi)部網(wǎng)絡(luò)終端接入內(nèi)部網(wǎng)絡(luò)時須經(jīng)身份認證；內(nèi)部網(wǎng)絡(luò)終端的平均傳輸速率和峰值傳輸速率限制為3Mbps和5Mbps；不允許以交互方式訪問內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)庫效力器；可以監(jiān)測對內(nèi)部網(wǎng)絡(luò)數(shù)據(jù)庫效力器發(fā)起的攻擊；內(nèi)部網(wǎng)絡(luò)運用本地IP地址，非軍事區(qū)效力器運用全球IP地址，內(nèi)部網(wǎng)絡(luò)構(gòu)造對外部網(wǎng)絡(luò)終端是不可見的。網(wǎng)絡(luò)平安戰(zhàn)略實現(xiàn)機制交換機采用基于MAC地址的接入控制機制；一旦終端經(jīng)過認證，終端的MAC地址被添加到訪問控制列表，交換機允許正常轉(zhuǎn)發(fā)經(jīng)過該端口接納到的以MAC A為源MAC地址的MAC幀；交換機采用本地認證機制，不采

5、用一致的認證效力器。交換機接入控制過程防火墻訪問控制機制防火墻訪問控制戰(zhàn)略分兩部分，一是控制內(nèi)網(wǎng)各個VLAN之間的信息傳輸過程，限制外網(wǎng)終端對內(nèi)網(wǎng)資源的訪問過程。二是定義授權(quán)終端經(jīng)過第2層隧道接入內(nèi)部網(wǎng)絡(luò)的方法；訪問控制戰(zhàn)略定義三種信息：信息傳輸方向、源和目的終端范圍，以效力方式確定音訊交換過程。網(wǎng)絡(luò)平安戰(zhàn)略實現(xiàn)機制防火墻作為遠程接入控制設(shè)備，配置內(nèi)部網(wǎng)絡(luò)本地IP地址池，用戶名和口令等用戶認證信息；建立終端和防火墻之間的第2層隧道，基于第2層隧道完成終端的身份認證和本地IP地址分配；為了實現(xiàn)第2層隧道的平安傳輸，隧道兩端建立雙向的的平安關(guān)聯(lián)；防火墻添加指明通往終端的傳輸途徑的路由項。網(wǎng)絡(luò)平安戰(zhàn)略實現(xiàn)機制終端經(jīng)過VPN接入內(nèi)部網(wǎng)絡(luò)過程數(shù)據(jù)傳輸過程中，防火墻就是一個互連點對點鏈路和以太網(wǎng)的路由器；終端經(jīng)過點對點鏈路和防火墻相連，因此，終端采用的鏈路層協(xié)議是PPP；由于點對點鏈路是第2層隧道，因此，PPP幀必需被封裝成第2層隧道報文，由于隧道兩端之間采取平安傳輸機制，進展IPSec的封裝過程。網(wǎng)絡(luò)平安戰(zhàn)略實現(xiàn)機制VPN數(shù)據(jù)傳輸過程主機入侵防御系統(tǒng)監(jiān)測效力器平安形狀；檢測進出效力器的信息流；控制效力器中資源的訪問過程；限制進程調(diào)用過程。網(wǎng)絡(luò)入侵防御系統(tǒng)監(jiān)測進出重要終端和效力器的異常信息流；對進出重