网络安全架构设计和网络安全设备的部署.pdf

网络安全架构设计和网络安全设备的部署.pdf

《网络安全架构设计和网络安全设备的部署.pdf》由会员分享，可在线阅读，更多相关《网络安全架构设计和网络安全设备的部署.pdf（43页珍藏版）》请在冰豆网上搜索。

网络安全架构设计和网络安全设备的部署信息安全模型PMRRD安全模型安全模型MP2DRR访问控制机制访问控制机制入侵检测机制入侵检测机制安全响应机制安全响应机制备份与恢复机制备份与恢复机制管理管理P安全策略安全策略混合型、自动的攻击混合型、自动的攻击WorkstationViaEmailFileServerWorkstationMailServerInternet混合型攻击:

蠕虫WebServerViaWebPageWorkstationWebServerMailGateway防病毒防病毒防火墙防火墙入侵检测入侵检测风险管理风险管理攻击的发展趋势混合型、自动的攻击混合型、自动的攻击WorkstationViaEmailFileServerWorkstationMailServerInternet混合型攻击:

蠕虫WebServerViaWebPageWorkstationWebServerMailGateway防病毒防病毒防火墙防火墙入侵检测入侵检测风险管理风险管理立体防御网络安全防护产品防火墙、防水墙WEB防火墙、网页防篡改入侵检测、入侵防御、防病毒统一威胁管理UTM身份鉴别、虚拟专网加解密、文档加密、数据签名物理隔离网闸、终端安全与上网行为管理内网安全、审计与取证、漏洞扫描、补丁分发安全管理平台灾难备份产品防火墙安全策略防火墙安全策略内部工作子网与外网的访问控制进行访问规则检查发起访问请求合法请求则允许对外访问将访问记录写进日志文件合法请求则允许对外访问发起访问请求防火墙在此处的功能：

1、工作子网与外部子网的物理隔离2、访问控制3、对工作子网做NAT地址转换4、日志记录Internet区域Internet边界路由器DMZ区域WWWMailDNS内部工作子网管理子网一般子网内部WWW重点子网内部子网与DMZ区的访问控制进行访问规则检查发起访问请求合法请求则允许对外访问将访问记录写进日志文件禁止对工作子网发起连结请求发起访问请求Internet区域Internet边界路由器DMZ区域WWWMailDNS内部工作子网管理子网一般子网内部WWW重点子网DMZ区域与外网的访问控制Internet区域Internet边界路由器进行访问规则检查发起访问请求合法请求则允许对外访问将访问记录写进日志文件禁止对外发起连结请求发起访问请求防火墙在此处的功能：

防火墙在此处的功能：

1、DMZ网段与外部子网的物理隔离网段与外部子网的物理隔离2、访问控制、访问控制3、对、对DMZ子网做子网做MAP映射映射4、日志记录、日志记录DMZ区域WWWMailDNS内部工作子网管理子网一般子网内部WWW重点子网防火墙的不足防火墙并非万能，防火墙不能完成的工作：

源于内部的攻击不通过防火墙的连接完全新的攻击手段不能防病毒防火墙的局限性防火墙不能防止通向站点的后门。

防火墙一般不提供对内部的保护。

防火墙无法防范数据驱动型的攻击。

防火墙本身的防攻击能力不够，容易成为被攻击的首要目标。

防火墙不能根据网络被恶意使用和攻击的情况动态调整自己的策略。

什么是VPNVPN（VirtualPrivateNetwork）是通过internet公共网络在局域网络之间或单点之间安全地传递数据的技术VPN可以省去专线租用费用或者长距离电话费用，大大降低成本可以省去专线租用费用或者长距离电话费用，大大降低成本VPN可以充分利用可以充分利用internet公网资源，快速地建立起公司的广域连接公网资源，快速地建立起公司的广域连接ISPModemsVPNGatewayVPNGateway总部总部网络网络远程局域远程局域网络网络总部总部分支机构分支机构单个单个用户用户Internet传统VPN联网方式公司总部公司总部办事处办事处/SOHO公共网络公共网络VPN通道通道VPN设备设备VPN设备设备VPN设备设备VPNclientVPNVPN解决方案远程访问Internet分支机构虚拟私有网合作伙伴内部网内部网基于PPTP/L2TPPPTP/L2TP的拨号VPNVPN在Internal端网络定义远程地址池每个客户端动态地在地址池中为VPN会话获取地址客户端先得拨号（163/169）得到一个公网地址，然后和公司的防火墙设备利用PPTP/L2TP协议进行VPN的建立建立VPN的用户可以访问公司内部网络的所有资源，就象在内部网中一样客户端不需要附加软件的安装，简单方便1.1.1.12.2.2.23.3.3.3Dial-UpNATPool10.1.1.0/2410.1.1.1-10.1.1.10SSLVPNSSLVPN是解决远程用户访问敏感公司数据最简单最安全的解决技术。

与复杂的IPSecVPN相比，SSL通过简单易用的方法实现信息远程连通。

任何安装浏览器的机器都可以使用SSLVPN，这是因为SSL内嵌在浏览器中，它不需要象传统IPSecVPN一样必须为每一台客户机安装客户端软件。

入侵检测系统入侵检测系统IDS入侵预防系统也像入侵侦查系统一样，专门深入网路数据内部，查找它所认识的攻击代码特征，过滤有害数据流，丢弃有害数据包，并进行记载，以便事后分析。

除此之外，更重要的是，大多数入侵预防系统同时结合考虑应用程序或网路传输中的异常情况，来辅助识别入侵和攻击。

比如，用户或用户程序违反安全条例、数据包在不应该出现的时段出现、作业系统或应用程序弱点的空子正在被利用等等现象。

入侵预防系统虽然也考虑已知病毒特征，但是它并不仅仅依赖于已知病毒特征。

入侵检测的概念和作用入侵检测即通过从网络系统中的若干关键节点收集并分析信息，监控网络中是否有违反安全策略的行为或者是否存在入侵行为。

它能够提供安全审计、监视、攻击识别和反攻击等多项功能，对内部攻击、外部攻击和误操作进行实时监控，在网络安全技术中起到了不可替代的作用。

入侵检测系统的作用实时检测实时地监视、分析网络中所有的数据报文发现并实时处理所捕获的数据报文安全审计对系统记录的网络事件进行统计分析发现异常现象得出系统的安全状态，找出所需要的证据主动响应主动切断连接或与防火墙联动，调用其他程序处理入侵检测系统工作原理：

实时监控网络数据，与已知的攻击手段进行匹配，从而发现网络或系统中是否有违反安全策略的行为和遭到袭击的迹象。

使用方式：

作为防火墙后的第二道防线。

入侵检测系统FirewallFirewallServersDMZDMZIDSAgentIntranetIntranet监控中心监控中心router攻击者攻击者发现攻击发现攻击发现攻击发现攻击发现攻击发现攻击报警报警报警报警IDSAgent利用利用RealSecureRealSecure进行可适应性进行可适应性攻击检测和响应攻击检测和响应DMZ?

E-Mail?

FileTransfer?

HTTPIntranet企业网络生产部工程部市场部人事部路由Internet中继外部攻击外部攻击警告警告!

记录攻击记录攻击外部攻击外部攻击终止连接终止连接入侵检测工具举例DMZ?

E-Mail?

FileTransfer?

HTTPIntranet企业网络生产部工程部市场部人事部路由Internet中继内部攻击警告!

启动事件日志,发送消息入侵检测工具举例DMZ?

E-Mail?

FileTransfer?

HTTPIntranet企业网络生产部工程部市场部人事部路由Internet中继外部攻击商务伙伴警告!

记录进攻,发送消息,终止连接外部攻击中止连接重新配置路由或防火墙以便隐藏IP地址入侵检测工具举例入侵检测入侵检测基本原理：

利用基本原理：

利用sniffer方式获取网络数据，根据已方式获取网络数据，根据已知特征判断是否存在网络攻击知特征判断是否存在网络攻击优点：

能及时获知网络安全状况，借助分析发现安优点：

能及时获知网络安全状况，借助分析发现安全隐患或攻击信息，便于及时采取措施。

全隐患或攻击信息，便于及时采取措施。

不足：

不足：

准确性：

误报率和漏报率准确性：

误报率和漏报率有效性：

难以及时阻断危险行为有效性：

难以及时阻断危险行为物理隔离装置物理隔离装置物理隔离物理隔离主要分两种：

主要分两种：

双网隔离计算机双网隔离计算机物理隔离网闸物理隔离网闸双网隔离计算机双网隔离计算机解决每人解决每人2台计算机的问题台计算机的问题1台计算机，可以分时使用内网或外网台计算机，可以分时使用内网或外网关键部件关键部件硬盘网线软盘/USB/MODEM等共享部件共享部件显示器键盘/鼠标主板/电源硬盘*原理原理切换关键部件简单双网隔离计算机简单双网隔离计算机外网硬盘内网硬盘外网网线内网网线公共部件控制卡控制开关复杂双网隔离计算机复杂双网隔离计算机内网硬盘外网网线内网网线公共部件控制卡远端设备使用控制卡上的翻译功能将硬盘分为逻辑上独立的部分充分使用UTP中的8芯，减少一根网线物理隔离网闸的基本原理物理隔离网闸的基本原理采用数据“摆渡”的方式实现两个网络之间的信采用数据“摆渡”的方式实现两个网络之间的信息交换息交换在任意时刻，物理隔离设备只能与一个网络的主在任意时刻，物理隔离设备只能与一个网络的主机系统建立非机系统建立非TCP/IP协议的数据连接，即当它与协议的数据连接，即当它与外部网络相连接时，它与内部网络的主机是断开外部网络相连接时，它与内部网络的主机是断开的，反之亦然。

的，反之亦然。

任何形式的数据包、信息传输命令和任何形式的数据包、信息传输命令和TCP/IP协议协议都不可能穿透物理隔离设备。

物理隔离设备在网都不可能穿透物理隔离设备。

物理隔离设备在网络的第络的第7层讲数据还原为原始数据文件，然后以“层讲数据还原为原始数据文件，然后以“摆渡文件”形式传递原始数据。

摆渡文件”形式传递原始数据。

物理隔离实现基本原理物理隔离实现基本原理物理隔离实现基本原理物理隔离实现基本原理内外网模块连接相应网络实现数据的接收及预处理等操作；交换模块采用专用的高速隔离电子开关实现与内外网模块的数据交换，保证任意时刻内外网间没有链路层连接；数据只能以专用数据块方式静态地在内外网间通过网闸进行“摆渡”，传送到网闸另一侧；集成多种安全技术手段，采用强制安全策略，对数据内容进行安全检测，保障数据安全、可靠的交换。

物理隔离技术的应用物理隔离技术的应用涉密网和非涉密网之间涉密网和非涉密网之间物理隔离技术的优缺点物理隔离技术的优缺点优点：

优点：

中断直接连接中断直接连接强大的检查机制强大的检查机制最高的安全性最高的安全性缺点：

缺点：

对协议不透明，对每一种协议都要一种具体的实对协议不透明，对每一种协议都要一种具体的实现现效率低效率低防防病毒软件病毒软件网络防病毒网络防病毒基本功能：

串接于网络中，根据网络病毒的特征基本功能：

串接于网络中，根据网络病毒的特征在网络数据中比对，从而发现并阻断病毒传播在网络数据中比对，从而发现并阻断病毒传播优点：

能有效阻断已知网络病毒的传播优点：

能有效阻断已知网络病毒的传播不足：

不足：

只能检查已经局部发作的病毒对网络有一定影响漏洞扫描工具漏洞扫描工具检查工具检查工具经常性检查重要服务器、网络设备是否存在安全经常性检查重要服务器、网络设备是否存在安全漏洞漏洞绿盟的漏扫设备NmapX-scan流光ISS-SCANNER等