《網(wǎng)絡安全規(guī)劃》

網(wǎng)絡平安規(guī)劃編輯ppt學習目標學習完本課程，您應該能夠：明確網(wǎng)絡平安規(guī)劃的根本原那么掌握網(wǎng)絡平安的配置要點編輯ppt課程內(nèi)容根本原那么控制策略平安組網(wǎng)平安防御管理審計編輯ppt網(wǎng)絡平安規(guī)劃的根本原那么網(wǎng)絡平安是一個復雜的體系結(jié)構(gòu)網(wǎng)絡平安是一個相對的概念網(wǎng)絡平安部署通常會帶來副作用編輯ppt課控制策略－－認證授權〔WLAN接入〕程內(nèi)容在WLAN中，當無法從物理上控制訪問者的來源時，務必要使用相應的鑒權及認證手段進行識別效勞：在AP上禁止ESSID播送MAC過濾對接入用戶進行802.1x身份認證使用加密無線信道編輯ppt控制策略－－認證授權〔以太網(wǎng)接入〕對于來源不可靠的以太網(wǎng)接入使用802.1x認證配合CAMS進行。支持防代理上網(wǎng)，提供運營商帶寬平安使用EAD〔端點準入防御〕技術，隔離可能危險用戶編輯ppt控制策略－－認證授權〔RADIUS&AAA〕通過RADIUS實現(xiàn)AAA認證，可以對各種接入用戶統(tǒng)一集中進行認證和授權采用HWTACACS協(xié)議代替RADIUS實現(xiàn)對驗證報文主體全部進行加密支持對路由器上的配置實現(xiàn)分級授權使用Modem接入ADSL接入LAN接入WLAN接入認證效勞器編輯ppt控制策略－－認證授權〔移動客戶〕移動用戶客戶端SECPoint的遠程接入驗證傳統(tǒng)用戶名＋密碼方式雙因素認證SecKEYPKI/CA體系驗證方式編輯ppt控制策略－－業(yè)務隔離〔以太網(wǎng)接入〕普通二層以太網(wǎng)網(wǎng)絡中采用VLAN進行隔離。小區(qū)以太網(wǎng)接入應用中在接入層交換機上配置Isolate-user-VLAN，禁止接入用戶之間互訪。建議在接入交換機接入端口配置播送抑制門限1234編輯ppt控制策略－－業(yè)務隔離〔ACL&VPN〕采用訪問控制列表ACL進行L1層～L4層隔離對于大型網(wǎng)絡中可以使用MPLSVPN技術，實現(xiàn)在一張根底網(wǎng)絡下多種業(yè)務間的復雜隔離需求。編輯ppt控制策略－－網(wǎng)絡設備訪問權限所有的網(wǎng)絡設備必須配置super密碼，telnet的口令及密碼，并定期修改?？紤]使用SSH方式登錄，保證遠程登錄設備平安。同時禁止telnet效勞。編輯ppt控制策略－－路由平安路由欺騙防止如果RIP和OSPF等動態(tài)路由協(xié)議在某些接口上〔通常是以太網(wǎng)口〕啟動協(xié)議的目的僅僅是為了發(fā)布路由，而無需建立鄰居，那么務必將這些接口設置為silent-interface對于OSPF等在接口上支持MD5驗證的路由協(xié)議，不建議配置MD5驗證編輯ppt平安組網(wǎng)－－平安傳輸平安傳輸當數(shù)據(jù)在網(wǎng)絡傳輸?shù)倪^程中無法確保平安時通常需要使用一定的平安技術。加密技術IPSec應用為IP協(xié)議組提供了網(wǎng)絡層的平安能力，發(fā)送主機對IP報文進行加密，目的端點對源端點進行身份驗證?？梢源_保報文的完整性和隱秘性。WLAN的報文傳輸過程可以使用WEP、WAP等加密手段確保報文的平安傳送。采用WAP可以支持更長的加密密鑰、防止采用靜態(tài)加密密鑰密文明文加密密鑰編輯ppt平安組網(wǎng)－－VPN報文在傳輸?shù)倪^程中將其封裝在隧道里，使其對沿途經(jīng)過的設備不可見，從而保證其平安性。常用對平安性要求不高的簡單環(huán)境。L2TP、GRE利用同IPSEC平安協(xié)議配合，實現(xiàn)平安保密的VPNInternet出差員工總部合作伙伴編輯ppt平安防御－－網(wǎng)絡防護面對平安威脅響應的時間越來越短涉及全球根底設施地區(qū)網(wǎng)絡多個網(wǎng)絡單個網(wǎng)絡單個計算機破壞的對象和范圍第一代引導型病毒周第二代宏病毒電子郵件DoS有限的黑客攻擊天第三代網(wǎng)絡

DoS混合威脅

(蠕蟲

+病毒+特洛伊木馬)Turbo蠕蟲廣泛的系統(tǒng)黑客攻擊分鐘下一代根底設施黑客攻擊瞬間威脅大規(guī)模蠕蟲DDoS破壞有效負載的病毒和蠕蟲秒20世紀80年代20世紀90年代今天未來人工響應，可能人工響應很難自動應，有可能人工響應，不可能自動響應，較難主動阻擋，有可能編輯ppt平安防御－－網(wǎng)絡防護〔續(xù)〕當內(nèi)部網(wǎng)絡與外部網(wǎng)絡相連時，需要對內(nèi)部網(wǎng)絡進行必要的網(wǎng)絡防護措施。即使在不需要與外網(wǎng)相連的情況下，也需要對內(nèi)部網(wǎng)絡中異常重要的效勞器進行防護。網(wǎng)絡防護主要通過防火墻設備來實施。防火墻DoS攻擊黑客Internet編輯ppt平安防御－－模型受保護效勞器受保護客戶機內(nèi)部網(wǎng)絡可信任區(qū)外部網(wǎng)絡不可信任區(qū)周邊網(wǎng)絡DMZ區(qū)WWW效勞器MAIL效勞器入侵檢測效勞器漏洞掃描效勞器互聯(lián)網(wǎng)接入效勞器互聯(lián)網(wǎng)連接路由器編輯ppt平安防御－－包過濾防火墻容易實施，幾乎所有網(wǎng)絡設備都支持ACL特性應用于接口或者平安區(qū)域，分出入方向采用ACL進行物理層到傳輸層的控制。配置包過濾防火墻進行網(wǎng)絡病毒防范編輯ppt平安防御－－ASPFASPF狀態(tài)防火墻同包過濾防火墻共用時，應注意在相同出接口或入接口上應用使用NAT時，可以不需要再啟用ASPFNAT也是基于狀態(tài)的，對出方向的報文建立狀態(tài)表。起到單向訪問控制作用編輯ppt平安防御－－拒絕效勞和掃描拒絕效勞類攻擊掃描類攻擊畸形報文攻擊編輯ppt管理審計－－日志日志記錄日志記錄可以準確的記下設備運行過程中發(fā)生的各種軟件異常信息，鏈路異常信息，對設備的各種命令操作等。日志記錄可以在事后對各類故障進行分析，便于事后進行追蹤，改善網(wǎng)絡的平安部署策略。日志記錄的類別設備運行時務必設置記錄日志，如果條件允許，盡量將需要