任務(wù)九企業(yè)網(wǎng)絡(luò)邊界安全規(guī)劃.ppt

任務(wù)九：企業(yè)網(wǎng)絡(luò)邊界安全規(guī)劃,計(jì)算機(jī)安全維護(hù),內(nèi)容簡(jiǎn)介,一、任務(wù)內(nèi)容 二、背景知識(shí) 三、風(fēng)險(xiǎn)分析 四、步驟介紹 五、任務(wù)小結(jié),一、任務(wù)內(nèi)容,二、 背景知識(shí),1、網(wǎng)絡(luò)邊界的基本概念 2、劃分邊界的依據(jù) 3、邊界安全防護(hù)機(jī)制 4、邊界防護(hù)技術(shù),1、網(wǎng)絡(luò)邊界的基本概念,網(wǎng)絡(luò)邊界的概念 具有不同安全級(jí)別的網(wǎng)絡(luò)之間的分界線都可以定義為網(wǎng)絡(luò)邊界 。 企業(yè)網(wǎng)絡(luò)常見(jiàn)邊界 企業(yè)內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò) 企業(yè)部門(mén)之間 重要部門(mén)與其他部門(mén)之間 分公司與分公司（或總部）之間,2、劃分邊界的依據(jù),目的 實(shí)現(xiàn)大規(guī)模復(fù)雜信息系統(tǒng)安全等級(jí)保護(hù) 。 作用 把一個(gè)大規(guī)模復(fù)雜系統(tǒng)的安全問(wèn)題，化解為更小區(qū)域的安全保護(hù)問(wèn)題 。 依據(jù),3、邊界安全防護(hù)機(jī)制,基本安全防護(hù) 采用常規(guī)的邊界防護(hù)機(jī)制，如基本的登錄/連接控制等，實(shí)現(xiàn)基本的信息系統(tǒng)邊界安全防護(hù)。 較嚴(yán)格安全防護(hù) 采用較嚴(yán)格的安全防護(hù)機(jī)制，如較嚴(yán)格的登錄/連接控制，普通功能的防火墻、防病毒網(wǎng)關(guān)、入侵防范、信息過(guò)濾、邊界完整性檢查等。 嚴(yán)格安全防護(hù) 根據(jù)當(dāng)前信息安全對(duì)抗技術(shù)的發(fā)展，采用嚴(yán)格的安全防護(hù)機(jī)制，如嚴(yán)格的登錄/連接機(jī)制， 高安全功能的防火墻、防病毒網(wǎng)關(guān)、入侵防范、信息過(guò)濾、邊界完整性檢查等。 特別安全防護(hù) 采用當(dāng)前最先進(jìn)的邊界防護(hù)技術(shù)，必要時(shí)可以采用物理隔離安全機(jī)制，實(shí)現(xiàn)特別安全要求的邊界安全防護(hù)。,本節(jié)重點(diǎn)介紹： 防火墻技術(shù) 多重安全網(wǎng)關(guān)技術(shù) 網(wǎng)閘技術(shù) 數(shù)據(jù)交換網(wǎng)技術(shù),3、邊界安全防護(hù)機(jī)制,原理 采用包過(guò)濾或應(yīng)用代理技術(shù)，通過(guò)訪問(wèn)控制列表ACL過(guò)濾數(shù)據(jù)。 作用 控制進(jìn)出網(wǎng)絡(luò)的信息流向和信息包。 提供使用和流量的日志和審計(jì)。 隱藏內(nèi)部IP地址及網(wǎng)絡(luò)結(jié)構(gòu)的細(xì)節(jié)。 缺點(diǎn) 不能對(duì)應(yīng)用層識(shí)別,4、邊界安全防護(hù)防火墻技術(shù),UTM介紹 統(tǒng)一威脅管理(Unified Threat Management)， 2004年9月，IDC首度提出“統(tǒng)一威脅管理”的概念，即將防病毒、入侵檢測(cè)和防火墻安全設(shè)備劃歸統(tǒng)一威脅管理(Unified Threat Management，簡(jiǎn)稱UTM)新類別。 特點(diǎn) 1、一個(gè)更高，更強(qiáng)，更可靠的墻。 2、通過(guò)高質(zhì)量的檢測(cè)技術(shù)來(lái)降低誤報(bào)。 3、有高可靠，高性能的硬件平臺(tái)支撐。,4、邊界安全防護(hù)多重安全網(wǎng)關(guān)技術(shù),4、邊界安全防護(hù)數(shù)據(jù)交換網(wǎng)技術(shù),特點(diǎn) 數(shù)據(jù)存儲(chǔ)更快速 數(shù)據(jù)存儲(chǔ)更安全 降低大容量存儲(chǔ)設(shè)備的采購(gòu)成本 作用 增加磁盤(pán)的存取(access)速度 防止數(shù)據(jù)因磁盤(pán)的故障而失落 有效的利用磁盤(pán)空間,三、風(fēng)險(xiǎn)分析,四、步驟介紹,1、典型企業(yè)網(wǎng)絡(luò)邊界規(guī)劃 2、配置邊界防火墻,1、典型企業(yè)網(wǎng)絡(luò)邊界規(guī)劃,步驟流程： 1.步驟準(zhǔn)備 2.劃分區(qū)域 3.企業(yè)內(nèi)部網(wǎng)絡(luò)與Internet網(wǎng)絡(luò)邊界部署 4.部門(mén)內(nèi)部網(wǎng)絡(luò)邊界部署 5.重要部門(mén)網(wǎng)絡(luò)邊界部署 6.企業(yè)網(wǎng)絡(luò)整體邊界部署 7. 小結(jié),1.步驟準(zhǔn)備,主要是完成對(duì)用戶網(wǎng)絡(luò)環(huán)境現(xiàn)場(chǎng)采集的過(guò)程，需要采集的信息包含： 1）當(dāng)前網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu) 2）當(dāng)前網(wǎng)絡(luò)環(huán)境存在的問(wèn)題（用戶角度） 3）用戶的應(yīng)用需求 4）用戶的網(wǎng)絡(luò)安全需求 5）其他網(wǎng)絡(luò)規(guī)劃要求 6）用戶投資預(yù)算等,1.步驟準(zhǔn)備,2.劃分區(qū)域,劃分區(qū)域要考慮： 1）確定安全資產(chǎn) 2）定義安全策略和安全級(jí)別 3）劃分不同的安全區(qū)域,3.企業(yè)內(nèi)部網(wǎng)絡(luò)與Internet網(wǎng)絡(luò)邊界部署,網(wǎng)絡(luò)區(qū)域邊界部署上結(jié)合應(yīng)用需求我們需要考慮 ： 1）Web服務(wù)器需要對(duì)外提供服務(wù)，Internet網(wǎng)絡(luò)用戶能夠訪問(wèn)該服務(wù)器資源； 2）內(nèi)部辦公網(wǎng)絡(luò)不對(duì)外提供服務(wù)，Internet網(wǎng)絡(luò)用戶不能訪問(wèn)內(nèi)部服務(wù)器或信息點(diǎn)； 3）Web服務(wù)器和內(nèi)部辦公網(wǎng)絡(luò)需要防范Internet網(wǎng)絡(luò)攻擊； 4）Web服務(wù)器和內(nèi)部辦公網(wǎng)絡(luò)需要防范病毒傳播等。,4.部門(mén)內(nèi)部網(wǎng)絡(luò)邊界部署,內(nèi)網(wǎng)邊界部署上，我們應(yīng)該考慮以下因素： 1）各部門(mén)之間的涉密信息保護(hù)； 2）各部門(mén)之間有一定的共享資源； 3）需要防范網(wǎng)絡(luò)病毒蔓延等。,5.重要部門(mén)網(wǎng)絡(luò)邊界部署,對(duì)如財(cái)務(wù)部等重要部門(mén)，要進(jìn)行特別防護(hù)，如對(duì)其進(jìn)行隔離網(wǎng)閘的部署,6.企業(yè)網(wǎng)絡(luò)整體邊界部署,這樣就形成了企業(yè)內(nèi)部網(wǎng)絡(luò)邊界部署,7. 小結(jié),本例針對(duì)一個(gè)企業(yè)網(wǎng)絡(luò)環(huán)境給出了一個(gè)比較典型的邊界部署規(guī)劃，重點(diǎn)在于讓學(xué)生理解部署一個(gè)企業(yè)網(wǎng)絡(luò)規(guī)劃的步驟和方法。事實(shí)上，每種方案都有各自的特點(diǎn)，在實(shí)際應(yīng)用中，常常需要我們?cè)诰帉?xiě)方案時(shí)還需要考慮企業(yè)網(wǎng)絡(luò)環(huán)境現(xiàn)狀、網(wǎng)絡(luò)建設(shè)投資情況等等因素，以便有針對(duì)性的設(shè)計(jì)和完善現(xiàn)有網(wǎng)絡(luò)體系，真正實(shí)現(xiàn)網(wǎng)絡(luò)安全、經(jīng)濟(jì)實(shí)用、便捷管理的設(shè)計(jì)目標(biāo)。,2、邊界防火墻安全配置,步驟流程： 1.步驟準(zhǔn)備 2.安全域劃分 3.發(fā)布受信任區(qū)域的郵件及Web服務(wù) 4.對(duì)發(fā)布的服務(wù)器實(shí)施基本保護(hù) 5.深度過(guò)濾規(guī)則驗(yàn)證 6.小結(jié),1.步驟準(zhǔn)備,（1）安裝郵件服務(wù)器,1.步驟準(zhǔn)備,（2）安裝Web服務(wù)器,2.安全域劃分,（1）在防火墻的Web管理頁(yè)面，選擇“策略配置”“安全選項(xiàng)”把“包過(guò)濾缺省允許”的勾取消。,2.安全域劃分,（2）在防火墻的Web管理頁(yè)面，選擇“策略配置”“安全規(guī)則 ”添加一條“包過(guò)濾規(guī)則”,3.發(fā)布受信任區(qū)域的郵件及Web服務(wù),（1）在防火墻的Web管理頁(yè)面，選擇“資源定義”“服務(wù)器地址”單擊添加按鈕,3.發(fā)布受信任區(qū)域的郵件及Web服務(wù),（2）在防火墻的Web管理頁(yè)面，選擇“策略配置”“安全規(guī)則 ”添加一條“IP映射規(guī)則”,3.發(fā)布受信任區(qū)域的郵件及Web服務(wù),（3）在防火墻的Web管理頁(yè)面，選擇“策略配置”“安全規(guī)則 ”添加 “包過(guò)濾規(guī)則”,4.對(duì)發(fā)布的服務(wù)器實(shí)施基本保護(hù),（1）在防火墻的Web管理頁(yè)面，選擇“資源定義”“深度過(guò)濾”“URL組以及關(guān)鍵字組”單擊添加按鈕,4.對(duì)發(fā)布的服務(wù)器實(shí)施基本保護(hù),（2）在防火墻的Web管理頁(yè)面，選擇“資源定義”“深度過(guò)濾”“過(guò)濾策略”單擊添加按鈕,4.對(duì)發(fā)布的服務(wù)器實(shí)施基本保護(hù),（3）在防火墻的Web管理頁(yè)面，選擇“策略配置”“安全規(guī)則 ”添加 “包過(guò)濾規(guī)則”，配置訪問(wèn)Web服務(wù)器是啟用深度過(guò)濾規(guī)則。,4.對(duì)發(fā)布的服務(wù)器實(shí)施基本保護(hù),（3）防火墻的Web管理頁(yè)面，選擇“策略配置”“安全規(guī)則 ”添加 “包過(guò)濾規(guī)則”，配置POP3服務(wù)啟用深度過(guò)濾規(guī)則。,4.對(duì)發(fā)布的服務(wù)器實(shí)施基本保護(hù),（3）防火墻的Web管理頁(yè)面，選擇“策略配置”“安全規(guī)則 ”添加 “包過(guò)濾規(guī)則”，配置Smtp服務(wù)啟用深度過(guò)濾規(guī)則。,5.深度過(guò)濾規(guī)則驗(yàn)證,（1）不被信任區(qū)域主機(jī)訪問(wèn)Web頁(yè)面：,5.深度過(guò)濾規(guī)則驗(yàn)證,（2）發(fā)送正常郵件驗(yàn)證,5.深度過(guò)濾規(guī)則驗(yàn)證,（3）發(fā)送含過(guò)濾關(guān)鍵字的郵件驗(yàn)證,6. 小結(jié),通過(guò)對(duì)防火墻實(shí)例化操作，使學(xué)生能夠掌握防火墻基本配置方