《網(wǎng)絡(luò)安全規(guī)劃》

網(wǎng)絡(luò)平安規(guī)劃編輯ppt學(xué)習(xí)目標(biāo)學(xué)習(xí)完本課程，您應(yīng)該能夠：明確網(wǎng)絡(luò)平安規(guī)劃的根本原那么掌握網(wǎng)絡(luò)平安的配置要點(diǎn)編輯ppt課程內(nèi)容根本原那么控制策略平安組網(wǎng)平安防御管理審計(jì)編輯ppt網(wǎng)絡(luò)平安規(guī)劃的根本原那么網(wǎng)絡(luò)平安是一個(gè)復(fù)雜的體系結(jié)構(gòu)網(wǎng)絡(luò)平安是一個(gè)相對(duì)的概念網(wǎng)絡(luò)平安部署通常會(huì)帶來(lái)副作用編輯ppt課控制策略－－認(rèn)證授權(quán)〔WLAN接入〕程內(nèi)容在WLAN中，當(dāng)無(wú)法從物理上控制訪問者的來(lái)源時(shí)，務(wù)必要使用相應(yīng)的鑒權(quán)及認(rèn)證手段進(jìn)行識(shí)別效勞：在AP上禁止ESSID播送MAC過濾對(duì)接入用戶進(jìn)行802.1x身份認(rèn)證使用加密無(wú)線信道編輯ppt控制策略－－認(rèn)證授權(quán)〔以太網(wǎng)接入〕對(duì)于來(lái)源不可靠的以太網(wǎng)接入使用802.1x認(rèn)證配合CAMS進(jìn)行。支持防代理上網(wǎng)，提供運(yùn)營(yíng)商帶寬平安使用EAD〔端點(diǎn)準(zhǔn)入防御〕技術(shù)，隔離可能危險(xiǎn)用戶編輯ppt控制策略－－認(rèn)證授權(quán)〔RADIUS&AAA〕通過RADIUS實(shí)現(xiàn)AAA認(rèn)證，可以對(duì)各種接入用戶統(tǒng)一集中進(jìn)行認(rèn)證和授權(quán)采用HWTACACS協(xié)議代替RADIUS實(shí)現(xiàn)對(duì)驗(yàn)證報(bào)文主體全部進(jìn)行加密支持對(duì)路由器上的配置實(shí)現(xiàn)分級(jí)授權(quán)使用Modem接入ADSL接入LAN接入WLAN接入認(rèn)證效勞器編輯ppt控制策略－－認(rèn)證授權(quán)〔移動(dòng)客戶〕移動(dòng)用戶客戶端SECPoint的遠(yuǎn)程接入驗(yàn)證傳統(tǒng)用戶名＋密碼方式雙因素認(rèn)證SecKEYPKI/CA體系驗(yàn)證方式編輯ppt控制策略－－業(yè)務(wù)隔離〔以太網(wǎng)接入〕普通二層以太網(wǎng)網(wǎng)絡(luò)中采用VLAN進(jìn)行隔離。小區(qū)以太網(wǎng)接入應(yīng)用中在接入層交換機(jī)上配置Isolate-user-VLAN，禁止接入用戶之間互訪。建議在接入交換機(jī)接入端口配置播送抑制門限1234編輯ppt控制策略－－業(yè)務(wù)隔離〔ACL&VPN〕采用訪問控制列表ACL進(jìn)行L1層～L4層隔離對(duì)于大型網(wǎng)絡(luò)中可以使用MPLSVPN技術(shù)，實(shí)現(xiàn)在一張根底網(wǎng)絡(luò)下多種業(yè)務(wù)間的復(fù)雜隔離需求。編輯ppt控制策略－－網(wǎng)絡(luò)設(shè)備訪問權(quán)限所有的網(wǎng)絡(luò)設(shè)備必須配置super密碼，telnet的口令及密碼，并定期修改?？紤]使用SSH方式登錄，保證遠(yuǎn)程登錄設(shè)備平安。同時(shí)禁止telnet效勞。編輯ppt控制策略－－路由平安路由欺騙防止如果RIP和OSPF等動(dòng)態(tài)路由協(xié)議在某些接口上〔通常是以太網(wǎng)口〕啟動(dòng)協(xié)議的目的僅僅是為了發(fā)布路由，而無(wú)需建立鄰居，那么務(wù)必將這些接口設(shè)置為silent-interface對(duì)于OSPF等在接口上支持MD5驗(yàn)證的路由協(xié)議，不建議配置MD5驗(yàn)證編輯ppt平安組網(wǎng)－－平安傳輸平安傳輸當(dāng)數(shù)據(jù)在網(wǎng)絡(luò)傳輸?shù)倪^程中無(wú)法確保平安時(shí)通常需要使用一定的平安技術(shù)。加密技術(shù)IPSec應(yīng)用為IP協(xié)議組提供了網(wǎng)絡(luò)層的平安能力，發(fā)送主機(jī)對(duì)IP報(bào)文進(jìn)行加密，目的端點(diǎn)對(duì)源端點(diǎn)進(jìn)行身份驗(yàn)證。可以確保報(bào)文的完整性和隱秘性。WLAN的報(bào)文傳輸過程可以使用WEP、WAP等加密手段確保報(bào)文的平安傳送。采用WAP可以支持更長(zhǎng)的加密密鑰、防止采用靜態(tài)加密密鑰密文明文加密密鑰編輯ppt平安組網(wǎng)－－VPN報(bào)文在傳輸?shù)倪^程中將其封裝在隧道里，使其對(duì)沿途經(jīng)過的設(shè)備不可見，從而保證其平安性。常用對(duì)平安性要求不高的簡(jiǎn)單環(huán)境。L2TP、GRE利用同IPSEC平安協(xié)議配合，實(shí)現(xiàn)平安保密的VPNInternet出差員工總部合作伙伴編輯ppt平安防御－－網(wǎng)絡(luò)防護(hù)面對(duì)平安威脅響應(yīng)的時(shí)間越來(lái)越短涉及全球根底設(shè)施地區(qū)網(wǎng)絡(luò)多個(gè)網(wǎng)絡(luò)單個(gè)網(wǎng)絡(luò)單個(gè)計(jì)算機(jī)破壞的對(duì)象和范圍第一代引導(dǎo)型病毒周第二代宏病毒電子郵件DoS有限的黑客攻擊天第三代網(wǎng)絡(luò)

DoS混合威脅

(蠕蟲

+病毒+特洛伊木馬)Turbo蠕蟲廣泛的系統(tǒng)黑客攻擊分鐘下一代根底設(shè)施黑客攻擊瞬間威脅大規(guī)模蠕蟲DDoS破壞有效負(fù)載的病毒和蠕蟲秒20世紀(jì)80年代20世紀(jì)90年代今天未來(lái)人工響應(yīng)，可能人工響應(yīng)很難自動(dòng)應(yīng)，有可能人工響應(yīng)，不可能自動(dòng)響應(yīng)，較難主動(dòng)阻擋，有可能編輯ppt平安防御－－網(wǎng)絡(luò)防護(hù)〔續(xù)〕當(dāng)內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)相連時(shí)，需要對(duì)內(nèi)部網(wǎng)絡(luò)進(jìn)行必要的網(wǎng)絡(luò)防護(hù)措施。即使在不需要與外網(wǎng)相連的情況下，也需要對(duì)內(nèi)部網(wǎng)絡(luò)中異常重要的效勞器進(jìn)行防護(hù)。網(wǎng)絡(luò)防護(hù)主要通過防火墻設(shè)備來(lái)實(shí)施。防火墻DoS攻擊黑客Internet編輯ppt平安防御－－模型受保護(hù)效勞器受保護(hù)客戶機(jī)內(nèi)部網(wǎng)絡(luò)可信任區(qū)外部網(wǎng)絡(luò)不可信任區(qū)周邊網(wǎng)絡(luò)DMZ區(qū)WWW效勞器MAIL效勞器入侵檢測(cè)效勞器漏洞掃描效勞器互聯(lián)網(wǎng)接入效勞器互聯(lián)網(wǎng)連接路由器編輯ppt平安防御－－包過濾防火墻容易實(shí)施，幾乎所有網(wǎng)絡(luò)設(shè)備都支持ACL特性應(yīng)用于接口或者平安區(qū)域，分出入方向采用ACL進(jìn)行物理層到傳輸層的控制。配置包過濾防火墻進(jìn)行網(wǎng)絡(luò)病毒防范編輯ppt平安防御－－ASPFASPF狀態(tài)防火墻同包過濾防火墻共用時(shí)，應(yīng)注意在相同出接口或入接口上應(yīng)用使用NAT時(shí)，可以不需要再啟用ASPFNAT也是基于狀態(tài)的，對(duì)出方向的報(bào)文建立狀態(tài)表。起到單向訪問控制作用編輯ppt平安防御－－拒絕效勞和掃描拒絕效勞類攻擊掃描類攻擊畸形報(bào)文攻擊編輯ppt管理審計(jì)－－日志日志記錄日志記錄可以準(zhǔn)確的記下設(shè)備運(yùn)行過程中發(fā)生的各種軟件異常信息，鏈路異常信息，對(duì)設(shè)備的各種命令操作等。日志記錄可以在事后對(duì)各類故障進(jìn)行分析，便于事后進(jìn)行追蹤，改善網(wǎng)絡(luò)的平安部署策略。日志記錄的類別設(shè)備運(yùn)行時(shí)務(wù)必設(shè)置記錄日志，如果條件允許，盡量將需要