收藏
下载资源

网络安全架构设计

上传人:枫** 文档编号:430801316 上传时间:2023-02-17 格式:DOC 页数:51 大小:1.07MB
返回 下载 相关 举报
网络安全架构设计_第1页
第1页 / 共51页
网络安全架构设计_第2页
第2页 / 共51页
网络安全架构设计_第3页
第3页 / 共51页
网络安全架构设计_第4页
第4页 / 共51页
网络安全架构设计_第5页
第5页 / 共51页
点击查看更多>>
资源描述

《网络安全架构设计》由会员分享,可在线阅读,更多相关《网络安全架构设计(51页珍藏版)》请在金锄头文库上搜索。

1、安全网络架构设计崔宝江北京邮电大学信息安全中心目录.防火墙 二 IDS三. IPS四. VPN五安全的网络架构设计防火墙分类根据保护对象分为:网络防火墙主机防火墙根据防范技术分为: 包过滤防火墙 应用层代理 全状态检测防火墙 地址翻译防火墙北邮信息安全中心崔宝江包过滤检查内容SourceDestinati onPermitProtocolHost AHost CPassTCPHost BHost CBlockUDP査找对应笊 控制策略控制策略、安全网域、根据策略决定如 何处理该数据包包IP报TCP报分组过滤判断信息Host C Host DWoiI 智包 /II数据需餘粽駝豔勰紗息安十心包过滤

2、检查内容数据包过滤一般要检查网络层的IP头和传输层的 头:IP源地址IP目标地址协议类型(TCP包、UDP包和ICMP包)TCP或UDP包的目的端口TCP或UDP包的源端口 ICMP消息类型TCP包头的ACK位TCP包的序列号、IP校验和等包过滤防火墙服务方 向包方向源地址目标地址包类型源端口目标端口ACK连接外 部的 tlnetflg 务器OUT内部外部TCP102323IN外部内部TCP2310231向外提供TMncr 服务IN外部内部TCP102323*OUT内部外部TCP2310231北邮信息安全中心崔宝江包过滤防火墙优缺点应用层应用层表乔层表不层优点:速度快,性能高对用户透明会话层会

3、话层传输层传输层缺点:网络层网络层数据链路层数据链路层物理层物理层互连的物理介质数据链路层层维护比较困难儒要对TCP/IP 了解)安全性低(IP欺骗等)不提供有用的日志,或根本就不提供不防范数据驱动型攻击不能根据状态信息进行控制不能处理网络层以上的信息无法对网络上流动的信息提供全面的 控制北邮信息安全中心崔宝江0目录.防火墙, IDSH. IPS四.VPN五安全的网络架构设计IDS入侵检测系统(英文名称IntrusionDetection System或者称为IDS)工作在 计算机网络系统中的关键节点上,通过实 时地收集和分析计算机网络或系统中的信 息,来检查是否出现违反安全策略的行为 和遭到

4、袭击的迹象,进而达到防止攻击、 预防攻击的目的。北邮信息安全中心崔宝江IDS的作用IDS的作用Internet中继各由生产部DMZ k E-MailhFile TransferKrTP记录攻击人事部终止连接企业网络生产部K;工程部市场部I印人事部IDS的作用DMZE-MailTTP内部攻击行为Intranet启动事件日志,发送消息NIDS功能:在网络关键点收集信息和分析,发现 可疑行为。缺陷:能发现但难以阻止FIREWALL & NIDS功能互补,通过合理搭配部署和联动提升网络 安全级别:检测来自外部和内部的入侵行为和资源滥用 在关键边界点进行访问控制攻击检测更新迅速,实时的发现和阻断北邮信息

5、安全中心崔宝江IDS&F IREWALL在网络安全解决方案中承担不同的相辅相成,IDS北邮信息安全中心崔宝江IDS和扫描器的关系 IDS和扫描器都是简化管理员的工作,发现网络 中的问题北邮信息安全中心崔宝江北邮信息安全中心崔宝江扫描器是完全主动 式安全工具,能够 了解网络现有的安 全水平IDS是相对被动式 安全工具,能够了 解网络中即时发生 的攻击北邮信息安全中心崔宝江北邮信息安全中心崔宝江目录.防火墙 二 IDS三IPS四.VPN五安全的网络架构设计北邮信息安全中心崔宝江I北邮信息安全中心崔宝江I-IPS背景:北邮信息安全中心崔宝江Io防火墙不能有效检测并阻断夹杂在正常流量 中的攻击代码OI

6、DS由于旁路部署,无法阻断攻击,亡羊补 牢,侧重安全状态监控 IPS的优点串联在线部署,主动防御,实时阻断攻击 实现内容和应用层的拦截北邮信息安全中心崔宝江如何防御攻击?惶宝江内容管理能够基于行为、时间、IP地址等多种条件组合,灵活控制用户 上网行为,包括IM即时通讯、P2P下载、在线视频、网络流媒 体及网络游戏等行为对IM即时通讯、P2P下载等行为提供内容监控,及时发现恶意 行为并进行阻断全面抵御木马后门、广告软件、恶意程序等间谍软件功能,对间谍软件的通信和传播进行拦截并阻止对这些恶意程序的下载 支持审计功能,可以记录网络的通信报文,并解码回放,支持HTTP、SMTP、FTP、Telnet、

7、POP3协议北邮信息安全中心崔宝江目录.防火墙 二 IDS三. IPS四. VPN五安全的网络架构设计VPN概述专用网的特点:封闭的用户群安全性高服务质量保证北邮信息安全中心崔宝江VPN异地办事处iiiii隧道分支机构B出差员工北邮信息安全中心崔宝江办事处VPNVirtual Private NetworkVPN概述轨述功能o加密数据 o身份认证o完整性检验优点O成本低O结构灵活(Windows 2000,Windows NT,Windows 98,Windows 95)在公共网络中建立一个安全连接北邮信息安全中心崔宝江 VPN目录.防火墙 二 IDS三. IPS四. VPN五安全的网络架构设

8、计网络安全基本组件亍火墙/虚拟专用网(Firewall/VPN)入侵防护系统病毒网关漏洞评估SSL VPN网关无线安全网关 网页内容过滤 电子邮件内容过滤(Intrusion Prevention System) (Application Anti-Virus gateway) (Vulnerability Assessment) (55L VPN Gateway)(Wireless Security Gateway) (Web Content Filtering)(E-Mail Content Filtering)北邮信息安全中心崔宝江Security Reporting Center网络安

9、全基础架构誉结束语J个人方面:提高警惕,避免End-User端的攻击在网络中(特别是一些论坛中),尽量避免泄漏本单 位信息,如单位名称和EMAIL地址等。不要随便执行文件不要随便打开陌生的电子邮件不要连接到未知网站不要随意打开未知的URL密码不要太简单关闭文件共享不要使用系统默认值安装防病毒软件,并经常更新北邮信息安全中心崔宝江 O 定期更新系统补丁=结束语怪机方面定期进行漏洞扫描 Integrity Check (ex Tripwire、MD5Sum)确认每一个在执行的Service用途口确认每一个在执行的Process用途确认每一个监听端口的用途,以及建立连接程序的用途。(netstat fport TCPView)定期更新防病毒软件规则确认安装最新的Service Pack及补丁程序北邮信息安全中心崔宝江结束语両络方面定期进行漏洞扫描限制一般User,不可在內部网络上进行漏洞扫 描使用防火墙,防止外部对内部的扫描流量监控 连接监控使用IDS,防止来自内部的攻击定期检查系统Log北邮信息安全中心崔宝江Q&AS8北邮信息安全中心崔宝江

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 办公文档 > 解决方案

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号