《D网络安全规划》由会员分享,可在线阅读,更多相关《D网络安全规划(26页珍藏版)》请在金锄头文库上搜索。
1、D0010 D0010 网络安全规划网络安全规划ISSUE 5.1日期:n明确网络安全规划的基本原则明确网络安全规划的基本原则n掌握网络安全的配置要点掌握网络安全的配置要点课程目标课程目标学习完本课程,您应该能够:学习完本课程,您应该能够:n基本原则基本原则n控制策略控制策略n安全组网安全组网n安全防御安全防御n管理审计管理审计目录目录4网络安全规划的基本原则网络安全规划的基本原则l网络安全是一个复杂的体系结构网络安全是一个复杂的体系结构l网络安全是网络安全是l一个相对的概念一个相对的概念l网络安全部署通常会带来副作用网络安全部署通常会带来副作用在网络的安全和性能之间找到恰当的平衡点!在网络的
2、安全和性能之间找到恰当的平衡点!5控制策略认证授权(控制策略认证授权(WLAN接入)接入)l在在WLAN中,当无法从物理上控制访问者中,当无法从物理上控制访问者的来源时,务必要使用相应的鉴权及认证的来源时,务必要使用相应的鉴权及认证手段进行识别服务:手段进行识别服务:在AP上禁止ESSID广播MAC过滤对接入用户进行802.1x身份认证使用加密无线信道n基本原则基本原则n控制策略控制策略n安全组网安全组网n安全防御安全防御n管理审计管理审计目录目录7控制策略认证授权(以太网接入)控制策略认证授权(以太网接入)l对于来源不可靠的以太网接入使用对于来源不可靠的以太网接入使用802.1x认认证证配合
3、CAMS进行。支持防代理上网,提供运营商带宽安全使用EAD(端点准入防御)技术,隔离可能危险用户8控制策略认证授权(控制策略认证授权(RADIUS&AAA)l通过通过RADIUS实现实现AAA认证,可以对各种接认证,可以对各种接入用户统一集中进行认证和授权入用户统一集中进行认证和授权l采用采用HWTACACS协议代替协议代替RADIUS实现对验证报文主体全部进行加密支持对路由器上的配置实现分级授权使用认证服务器认证服务器Modem 接入接入ADSL 接入接入LAN 接入接入WLAN 接入接入9移动用户客户端移动用户客户端SECPoint的远程接入验证的远程接入验证l传统用户名密码方式传统用户名
4、密码方式l双因素认证双因素认证lSecKEYlPKI/CA体系验证方式体系验证方式控制策略认证授权(移动客户)控制策略认证授权(移动客户)10控制策略业务隔离(以太网接入)控制策略业务隔离(以太网接入)l普通二层以太网网络中采用普通二层以太网网络中采用VLAN进行隔离。进行隔离。l小区以太网接入应用中在接入层交换机上小区以太网接入应用中在接入层交换机上配置配置Isolate-user-VLAN,禁止接入用户之,禁止接入用户之间互访。间互访。l建议在接入交换机接入端口配置广播抑制建议在接入交换机接入端口配置广播抑制门限门限123411控制策略业务隔离(控制策略业务隔离(ACL & VPN)l采用
5、访问控制列表采用访问控制列表ACL进行进行L1层层L4层隔离层隔离l对于大型网络中可以使用对于大型网络中可以使用 MPLS VPN 技术,实技术,实现在一张基础网络下多种业务间的复杂隔离需求。现在一张基础网络下多种业务间的复杂隔离需求。12控制策略网络设备访问权限控制策略网络设备访问权限l所有的网络设备必须配置所有的网络设备必须配置super密码,密码,telnet的口令及密码,并定期修改。的口令及密码,并定期修改。l考虑使用考虑使用SSH方式登录,保证远程登录设备方式登录,保证远程登录设备安全。同时禁止安全。同时禁止telnet服务。服务。13控制策略路由安全控制策略路由安全控制策略路由安全
6、控制策略路由安全路由欺骗防止路由欺骗防止l如果如果RIP和和OSPF等动态路由协议在某些接口等动态路由协议在某些接口上(通常是以太网口)启动协议的目的仅仅上(通常是以太网口)启动协议的目的仅仅是为了发布路由,而无需建立邻居,则务必是为了发布路由,而无需建立邻居,则务必将这些接口设置为将这些接口设置为silent- interfacel对于对于OSPF等在接口上支持等在接口上支持MD5验证的路由验证的路由协议,不建议配置协议,不建议配置MD5验证验证n基本原则基本原则n控制策略控制策略n安全组网安全组网n安全防御安全防御n管理审计管理审计目录目录15安全组网安全传输安全组网安全传输l安全传输安全
7、传输当数据在网络传输的过程中无法确保安全时通常需要使用一定的安全技术。l加密技术加密技术IPSec 应用为IP协议组提供了网络层的安全能力,发送主机对IP报文进行加密,目的端点对源端点进行身份验证。可以确保报文的完整性和隐秘性。WLAN的报文传输过程可以使用WEP、WAP等加密手段确保报文的安全传送。采用WAP可以支持更长的加密密钥、避免采用静态加密密钥4132lqfqfh%&$财务报告销售额: 1860$利润: 360$加密密钥16安全组网安全组网VPNl报文在传输的过程中将其封装在隧道里,使报文在传输的过程中将其封装在隧道里,使其对沿途经过的设备不可见,从而保证其安其对沿途经过的设备不可见
8、,从而保证其安全性。常用对安全性要求不高的简单环境。全性。常用对安全性要求不高的简单环境。lL2TP、GRE利用同利用同IPSEC安全协议配合,安全协议配合,实现安全保密的实现安全保密的VPNInternet出差员工出差员工总部总部合作伙伴合作伙伴n基本原则基本原则n控制策略控制策略n安全组网安全组网n安全防御安全防御n管理审计管理审计目录目录18安全防御网络防护安全防御网络防护l面对安全威胁响应的时间越来越短面对安全威胁响应的时间越来越短波及全球波及全球波及全球波及全球基础设施基础设施基础设施基础设施地区网络地区网络地区网络地区网络多个网络多个网络多个网络多个网络单个网络单个网络单个网络单个
9、网络单个计算单个计算单个计算单个计算机机机机破坏的对破坏的对破坏的对破坏的对象和范围象和范围象和范围象和范围第一代第一代第一代第一代 引导型病毒引导型病毒引导型病毒引导型病毒周周周周第二代第二代第二代第二代 宏病毒宏病毒宏病毒宏病毒 电子邮件电子邮件电子邮件电子邮件 DoSDoS 有限的黑客有限的黑客有限的黑客有限的黑客攻击攻击攻击攻击天天天天第三代第三代第三代第三代 网络网络网络网络 DoS DoS 混合威胁混合威胁混合威胁混合威胁 ( (蠕虫蠕虫蠕虫蠕虫 + + 病病病病毒毒毒毒+ + 特洛伊特洛伊特洛伊特洛伊木马木马木马木马) ) TurboTurbo蠕虫蠕虫蠕虫蠕虫 广泛的系统广泛的系
10、统广泛的系统广泛的系统黑客攻击黑客攻击黑客攻击黑客攻击分钟分钟分钟分钟下一代下一代下一代下一代 基础设施基础设施基础设施基础设施黑客攻击黑客攻击黑客攻击黑客攻击 瞬间威胁瞬间威胁瞬间威胁瞬间威胁 大规模蠕大规模蠕大规模蠕大规模蠕虫虫虫虫 DDoSDDoS 破坏有效破坏有效破坏有效破坏有效负载的病负载的病负载的病负载的病毒和蠕虫毒和蠕虫毒和蠕虫毒和蠕虫秒秒秒秒2020世纪世纪世纪世纪8080年代年代年代年代2020世纪世纪世纪世纪9090年代年代年代年代今天今天今天今天未来未来未来未来人工响应,可能人工响应,可能人工响应,很难人工响应,很难自动响应,有可自动响应,有可能能人工响应,不可能人工响应
11、,不可能自动响应,较难自动响应,较难主动阻挡,有可能主动阻挡,有可能19安全防御网络防护安全防御网络防护 (续)(续)l当内部网络与外部网络相连时,需要对内部当内部网络与外部网络相连时,需要对内部网络进行必要的网络防护措施。网络进行必要的网络防护措施。l即使在不需要与外网相连的情况下,也需要即使在不需要与外网相连的情况下,也需要对内部网络中异常重要的服务器进行防护。对内部网络中异常重要的服务器进行防护。l网络防护主要通过防火墙设备来实施。网络防护主要通过防火墙设备来实施。防火墙防火墙DoS攻击攻击黑客黑客Internet20安全防御模型安全防御模型受保护服务器受保护服务器受保护客户机受保护客户
12、机内部网络内部网络可信任区可信任区外部网络外部网络不可信任区不可信任区周边网络周边网络 DMZ区区WWW服务器服务器MAIL服务器服务器入侵检测服务器入侵检测服务器漏洞扫描服务器漏洞扫描服务器互联网互联网接入服务器接入服务器互联网互联网连接路由器连接路由器21安全防御包过滤防火墙安全防御包过滤防火墙l容易实施,几乎所有网络设备都支持容易实施,几乎所有网络设备都支持ACL特特性性l应用于接口或者安全区域,分出入方向应用于接口或者安全区域,分出入方向l采用采用ACL进行物理层到传输层的控制。进行物理层到传输层的控制。l配置包过滤防火墙进行网络病毒防范配置包过滤防火墙进行网络病毒防范22安全防御安全
13、防御ASPFASPF状态防火墙状态防火墙l同包过滤防火墙共用时,应注意在相同出接同包过滤防火墙共用时,应注意在相同出接口或入接口上应用口或入接口上应用l使用使用NAT时,可以不需要再启用时,可以不需要再启用ASPFNAT也是基于状态的,对出方向的报文建立状态表。起到单向访问控制作用23安全防御拒绝服务和扫描安全防御拒绝服务和扫描l拒绝服务类攻击拒绝服务类攻击l扫描类攻击扫描类攻击l畸形报文攻击畸形报文攻击n基本原则基本原则n控制策略控制策略n安全组网安全组网n安全防御安全防御n管理审计管理审计目录目录25管理审计日志管理审计日志l日志记录日志记录日志记录可以准确的记下设备运行过程中发生的各种软件异常信息,链路异常信息,对设备的各种命令操作等。日志记录可以在事后对各类故障进行分析,便于事后进行追踪,改善网络的安全部署策略。l日志记录的类别日志记录的类别设备运行时务必设置记录日志,如果条件允许,尽量将需要将日志信息发送到特定的日志主机。务必记录对设备所有的操作信息。为了减少日志信息量,应该只记录重要的告警信息。从五个方面讨论了网络安全规划的注意事项:从五个方面讨论了网络安全规划的注意事项:n基本原则基本原则 n 控制策略控制策略n 安全组网安全组网n 安全防御安全防御n 管理审计管理审计本章总结本章总结
