网络安全架构设计和网络安全设备的部署.pptx
- 文档编号:2734182
- 上传时间:2022-11-10
- 格式:PPTX
- 页数:58
- 大小:6.07MB
网络安全架构设计和网络安全设备的部署.pptx
《网络安全架构设计和网络安全设备的部署.pptx》由会员分享,可在线阅读,更多相关《网络安全架构设计和网络安全设备的部署.pptx(58页珍藏版)》请在冰豆网上搜索。
网络安全架构设计和网络安全设备的部署合理分域,准确定级合理分域,准确定级信息系统等级保护以系统所处理信息的最高重要程度来确定安全等级在合理划分安全域边界安全可控的情况下,各安全域可根据信息的最高重要程度单独定级,实施“分域分级防护”的策略,从而降低系统建设成本和管理风险信息系统安全域之间的边界应划分明确,安全域与安全域之间的所有数据通信都应安全可控对于不同等级的安全域间通信,应实施有效的访问控制策略和机制,控制高密级信息由高等级安全域流向低等级安全域。
面对众多安全威胁该如何防范?
面对众多安全威胁该如何防范?
口令暴解窃听SQL注入跨站脚本恶意代码误操作系统漏洞系统故障蠕虫病毒黑客入侵混合攻击自然灾害跨站脚本网站挂马弱点扫描木马DoS攻击n轻则:
系统不稳定网络或业务访问缓慢成为攻击跳板造成信誉影响。
n重则:
业务不可访问网络中断、不可用系统宕机数据被窃取、篡改造成经济损失导致行政处罚或刑事责任。
后门传统安全防护思想传统安全防护思想头疼医头,脚痛医脚头疼医头,脚痛医脚安全的安全的组织保障组织保障密码机密码机物理隔离卡物理隔离卡基本基本安全机制安全机制LAN/WAN的安全的安全TEMPEST外网互连外网互连安全安全网络管理网络管理防火墙防火墙安全应用安全应用安全安全数据库数据库CA认证认证个人机安全个人机安全保护保护安全审计安全审计Windows安全安全UNIX安全安全操作系统操作系统PKI入侵检测入侵检测防病毒防病毒PMI信息安全的内涵和外延是什么?
什么样的系统是安全的?
信息安全保障的目标是什么?
信息安全的基本概念信息安全的基本概念机密性完整性可用性不可抵赖性可控性可审计性信息系统等级保护标准信息系统等级保护标准GB/T17859系列标准物理安全网络安全主机安全应用安全数据安全身份鉴别(S)安全标记(S)访问控制(S)可信路径(S)安全审计(G)剩余信息保护(S)物理位置的选择(G)物理访问控制(G)防盗窃和破坏(G)防雷/火/水(G)温湿度控制(G)电力供应(A)数据完整性(S)数据保密性(S)备份与恢复(A)防静电(G)电磁防护(S)入侵防范(G)资源控制(A)恶意代码防范(G)结构安全(G)访问控制(G)安全审计(G)边界完整性检查(S)入侵防范(G)恶意代码防范(G)网络设备防护(G)身份鉴别(S)剩余信息保护(S)安全标记(S)访问控制(S)可信路径(S)安全审计(G)通信完整性(S)通信保密性(S)抗抵赖(G)软件容错(A)资源控制(A)技术要求项目管理安全整改安全巡检环境安全风险评估管理体系Management组织体系Organization一体化全局安全管理一体化全局安全管理一体化全局安全管理一体化全局安全管理/监控监控监控监控/审计审计审计审计/运维人机界面运维人机界面运维人机界面运维人机界面优化加固驻场运维日常维护安全报告应急恢复运行体系Operation技术体系Technology风险监控事件管理脆弱管理性能监控安全监控中心安全监控中心安全监控中心安全监控中心态势感知业务监控拓扑监控设备监控安全审计中心安全审计中心安全审计中心安全审计中心网络审计业务审计数据审计采集存储终端审计运维审计合规审计统计查询边界安全传输安全环境安全接入安全入侵检测漏洞管理准入管理安全保护框架安全保护框架安全保护框架安全保护框架基础设施边界安全计算环境安全支撑设施ITIT系统系统工作台管理巡检管理工单管理KPI管理组织人员管理资产管理服务商管理应急管理统计查询响应处置安全运维中心安全运维中心安全运维中心安全运维中心预警监测体系预警监测体系预警监测体系预警监测体系基础防护体系基础防护体系基础防护体系基础防护体系安全策略方针角色职责矩阵安全通报机制安全人员管理教育培训计划策略制定发布安全技术管理安全操作规范安全设备管理安全环境管理安全组织架构主管部门公安/保密CNCERT测评机构集成商服务商开发商供应商安全决策机构安全执行机构安全响应小组病毒监测信息安全体系架构信息安全体系架构ITIT层次架构与安全体系架构的结合层次架构与安全体系架构的结合实施企业的安全防护实施企业的安全防护/预警体系预警体系安全防护体系预警响应体系一体化安全运营中心访问控制传输加密流量清洗合规审计接入安全入侵行为深入检测精确阻断漏洞发现预警响应安全监控中心安全审计中心安全运维中心网络安全防护产品l防火墙、防水墙lWEB防火墙、网页防篡改l入侵检测、入侵防御、防病毒l统一威胁管理UTMl身份鉴别、虚拟专网l加解密、文档加密、数据签名l物理隔离网闸、终端安全与上网行为管理l内网安全、审计与取证、漏洞扫描、补丁分发l安全管理平台l灾难备份产品防火墙安全策略防火墙安全策略内部工作子网与外网的访问控制进行访问规则检查发起访问请求合法请求则允许对外访问将访问记录写进日志文件合法请求则允许对外访问发起访问请求防火墙在此处的功能:
防火墙在此处的功能:
11、工作子网与外部子网的物理、工作子网与外部子网的物理隔离隔离22、访问控制、访问控制33、对工作子网做、对工作子网做NATNAT地址转换地址转换44、日志记录、日志记录InternetInternet区域区域InternetInternet边界路由器边界路由器DMZDMZ区域区域WWWMailDNS内部工作子网内部工作子网管理子网一般子网内部WWW重点子网内部子网与DMZ区的访问控制进行访问规则检查发起访问请求合法请求则允许对外访问将访问记录写进日志文件禁止对工作子网发起连结请求发起访问请求InternetInternet区域区域InternetInternet边界路由器边界路由器DMZDMZ区域区域WWWMailDNS内部工作子网内部工作子网管理子网一般子网内部WWW重点子网DMZ区域与外网的访问控制InternetInternet区域区域InternetInternet边界路由器边界路由器进行访问规则检查发起访问请求合法请求则允许对外访问将访问记录写进日志文件禁止对外发起连结请求发起访问请求防火墙在此处的功能:
防火墙在此处的功能:
防火墙在此处的功能:
防火墙在此处的功能:
11、DMZDMZ网段与外部子网的物理隔离网段与外部子网的物理隔离网段与外部子网的物理隔离网段与外部子网的物理隔离22、访问控制、访问控制、访问控制、访问控制33、对、对、对、对DMZDMZ子网做子网做子网做子网做MAPMAP映射映射映射映射44、日志记录、日志记录、日志记录、日志记录DMZDMZ区域区域WWWMailDNS内部工作子网内部工作子网管理子网一般子网内部WWW重点子网防火墙的不足l防火墙并非万能,防火墙不能完成的工作:
源于内部的攻击不通过防火墙的连接完全新的攻击手段不能防病毒防火墙的局限性l防火墙不能防止通向站点的后门。
l防火墙一般不提供对内部的保护。
l防火墙无法防范数据驱动型的攻击。
l防火墙本身的防攻击能力不够,容易成为被攻击的首要目标。
l防火墙不能根据网络被恶意使用和攻击的情况动态调整自己的策略。
什么是VPNlVPN(VirtualPrivateNetwork)是通过internet公共网络在局域网络之间或单点之间安全地传递数据的技术VPNVPN可以省去专线租用费用或者长距离电话费用,大大降低成本可以省去专线租用费用或者长距离电话费用,大大降低成本可以省去专线租用费用或者长距离电话费用,大大降低成本可以省去专线租用费用或者长距离电话费用,大大降低成本VPNVPN可以充分利用可以充分利用可以充分利用可以充分利用internetinternet公网资源,快速地建立起公司的广域连接公网资源,快速地建立起公司的广域连接公网资源,快速地建立起公司的广域连接公网资源,快速地建立起公司的广域连接ISPISPModemsModemsVPNVPNGatewayGatewayVPNVPNGatewayGateway总部总部网络网络远程局域远程局域网络网络总部总部总部总部分支机构分支机构分支机构分支机构单个单个用户用户Internet传统VPN联网方式公司总部公司总部办事处办事处/SOHO公共网络公共网络VPN通道通道VPN设备设备VPN设备设备VPN设备设备VPNclientVPNVPN解决方案远程访问Internet分支机构虚拟私有网虚拟私有网虚拟私有网合作伙伴内部网内部网基于PPTP/L2TPPPTP/L2TP的拨号VPNVPN在Internal端网络定义远程地址池每个客户端动态地在地址池中为VPN会话获取地址客户端先得拨号(163/169)得到一个公网地址,然后和公司的防火墙设备利用PPTP/L2TP协议进行VPN的建立建立VPN的用户可以访问公司内部网络的所有资源,就象在内部网中一样客户端不需要附加软件的安装,简单方便1.1.1.12.2.2.23.3.3.3Dial-UpNATPool10.1.1.0/2410.1.1.1-10.1.1.10SSLVPNlSSLVPN是解决远程用户访问敏感公司数据最简单最安全的解决技术。
与复杂的IPSecVPN相比,SSL通过简单易用的方法实现信息远程连通。
l任何安装浏览器的机器都可以使用SSLVPN,这是因为SSL内嵌在浏览器中,它不需要象传统IPSecVPN一样必须为每一台客户机安装客户端软件。
入侵检测系统入侵检测系统IDSl入侵预防系统也像入侵侦查系统一样,专门深入网路数据内部,查找它所认识的攻击代码特征,过滤有害数据流,丢弃有害数据包,并进行记载,以便事后分析。
除此之外,更重要的是,大多数入侵预防系统同时结合考虑应用程序或网路传输中的异常情况,来辅助识别入侵和攻击。
l比如,用户或用户程序违反安全条例、数据包在不应该出现的时段出现、作业系统或应用程序弱点的空子正在被利用等等现象。
入侵预防系统虽然也考虑已知病毒特征,但是它并不仅仅依赖于已知病毒特征。
入侵检测的概念和作用l入侵检测即通过从网络系统中的若干关键节点收集并分析信息,监控网络中是否有违反安全策略的行为或者是否存在入侵行为。
l它能够提供安全审计、监视、攻击识别和反攻击等多项功能,对内部攻击、外部攻击和误操作进行实时监控,在网络安全技术中起到了不可替代的作用。
入侵检测系统的作用l实时检测实时地监视、分析网络中所有的数据报文发现并实时处理所捕获的数据报文l安全审计对系统记录的网络事件进行统计分析发现异常现象得出系统的安全状态,找出所需要的证据l主动响应主动切断连接或与防火墙联动,调用其他程序处理入侵检测系统l工作原理:
实时监控网络数据,与已知的攻击手段进行匹配,从而发现网络或系统中是否有违反安全策略的行为和遭到袭击的迹象。
l使用方式:
作为防火墙后的第二道防线。
入侵检测系统FirewallFirewallServersDMZDMZIDSAgentIntranetIntranet监控中心监控中心router攻击者攻击者发现攻击发现攻击发现攻击发现攻击发现攻击发现攻击报警报警报警报警IDSAgent利用利用RealSecureRealSecure进行可适应性进行可适应性攻击检测和响应攻击检测和响应DMZDMZ?
E-Mail?
E-Mail?
FileTransfer?
FileTransfer?
HTTP?
HTTPIntranetIntranet企业网络企业网络生产部生产部工程部工程部市场部市场部人事部人事部路由路由InternetInternet中继中继外部攻击外部攻击外部攻击外部攻击警告警告警告警告!
记录攻击记录攻击外部攻击外部攻击外部攻击外部攻击终止连接终止连接入侵检测工具举例DMZDMZ?
E-Mail?
E-Mail?
FileTransfer?
FileTransfer?
HTTP?
HTTPIntranetIntranet企业网络企业网络生产部生产部工程部工程部市场部市场部人事部人事部路由路由InternetInternet中继中继内部攻击内部攻击警告警告!
启动事件日志,发送消息入侵检测工具举例DMZDMZ?
E-Mai
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 网络安全 架构 设计 设备 部署