任務(wù)九企業(yè)網(wǎng)絡(luò)邊界安全規(guī)劃.ppt

任務(wù)九：企業(yè)網(wǎng)絡(luò)邊界安全規(guī)劃,計(jì)算機(jī)安全維護(hù),內(nèi)容簡介,一、任務(wù)內(nèi)容 二、背景知識 三、風(fēng)險分析 四、步驟介紹 五、任務(wù)小結(jié),一、任務(wù)內(nèi)容,二、 背景知識,1、網(wǎng)絡(luò)邊界的基本概念 2、劃分邊界的依據(jù) 3、邊界安全防護(hù)機(jī)制 4、邊界防護(hù)技術(shù),1、網(wǎng)絡(luò)邊界的基本概念,網(wǎng)絡(luò)邊界的概念 具有不同安全級別的網(wǎng)絡(luò)之間的分界線都可以定義為網(wǎng)絡(luò)邊界 。 企業(yè)網(wǎng)絡(luò)常見邊界 企業(yè)內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò) 企業(yè)部門之間 重要部門與其他部門之間 分公司與分公司（或總部）之間,2、劃分邊界的依據(jù),目的 實(shí)現(xiàn)大規(guī)模復(fù)雜信息系統(tǒng)安全等級保護(hù) 。 作用 把一個大規(guī)模復(fù)雜系統(tǒng)的安全問題，化解為更小區(qū)域的安全保護(hù)問題 。 依據(jù),3、邊界安全防護(hù)機(jī)制,基本安全防護(hù) 采用常規(guī)的邊界防護(hù)機(jī)制，如基本的登錄/連接控制等，實(shí)現(xiàn)基本的信息系統(tǒng)邊界安全防護(hù)。 較嚴(yán)格安全防護(hù) 采用較嚴(yán)格的安全防護(hù)機(jī)制，如較嚴(yán)格的登錄/連接控制，普通功能的防火墻、防病毒網(wǎng)關(guān)、入侵防范、信息過濾、邊界完整性檢查等。 嚴(yán)格安全防護(hù) 根據(jù)當(dāng)前信息安全對抗技術(shù)的發(fā)展，采用嚴(yán)格的安全防護(hù)機(jī)制，如嚴(yán)格的登錄/連接機(jī)制， 高安全功能的防火墻、防病毒網(wǎng)關(guān)、入侵防范、信息過濾、邊界完整性檢查等。 特別安全防護(hù) 采用當(dāng)前最先進(jìn)的邊界防護(hù)技術(shù)，必要時可以采用物理隔離安全機(jī)制，實(shí)現(xiàn)特別安全要求的邊界安全防護(hù)。,本節(jié)重點(diǎn)介紹： 防火墻技術(shù) 多重安全網(wǎng)關(guān)技術(shù) 網(wǎng)閘技術(shù) 數(shù)據(jù)交換網(wǎng)技術(shù),3、邊界安全防護(hù)機(jī)制,原理 采用包過濾或應(yīng)用代理技術(shù)，通過訪問控制列表ACL過濾數(shù)據(jù)。 作用 控制進(jìn)出網(wǎng)絡(luò)的信息流向和信息包。 提供使用和流量的日志和審計(jì)。 隱藏內(nèi)部IP地址及網(wǎng)絡(luò)結(jié)構(gòu)的細(xì)節(jié)。 缺點(diǎn) 不能對應(yīng)用層識別,4、邊界安全防護(hù)防火墻技術(shù),UTM介紹 統(tǒng)一威脅管理(Unified Threat Management)， 2004年9月，IDC首度提出“統(tǒng)一威脅管理”的概念，即將防病毒、入侵檢測和防火墻安全設(shè)備劃歸統(tǒng)一威脅管理(Unified Threat Management，簡稱UTM)新類別。 特點(diǎn) 1、一個更高，更強(qiáng)，更可靠的墻。 2、通過高質(zhì)量的檢測技術(shù)來降低誤報。 3、有高可靠，高性能的硬件平臺支撐。,4、邊界安全防護(hù)多重安全網(wǎng)關(guān)技術(shù),4、邊界安全防護(hù)數(shù)據(jù)交換網(wǎng)技術(shù),特點(diǎn) 數(shù)據(jù)存儲更快速 數(shù)據(jù)存儲更安全 降低大容量存儲設(shè)備的采購成本 作用 增加磁盤的存取(access)速度 防止數(shù)據(jù)因磁盤的故障而失落 有效的利用磁盤空間,三、風(fēng)險分析,四、步驟介紹,1、典型企業(yè)網(wǎng)絡(luò)邊界規(guī)劃 2、配置邊界防火墻,1、典型企業(yè)網(wǎng)絡(luò)邊界規(guī)劃,步驟流程： 1.步驟準(zhǔn)備 2.劃分區(qū)域 3.企業(yè)內(nèi)部網(wǎng)絡(luò)與Internet網(wǎng)絡(luò)邊界部署 4.部門內(nèi)部網(wǎng)絡(luò)邊界部署 5.重要部門網(wǎng)絡(luò)邊界部署 6.企業(yè)網(wǎng)絡(luò)整體邊界部署 7. 小結(jié),1.步驟準(zhǔn)備,主要是完成對用戶網(wǎng)絡(luò)環(huán)境現(xiàn)場采集的過程，需要采集的信息包含： 1）當(dāng)前網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu) 2）當(dāng)前網(wǎng)絡(luò)環(huán)境存在的問題（用戶角度） 3）用戶的應(yīng)用需求 4）用戶的網(wǎng)絡(luò)安全需求 5）其他網(wǎng)絡(luò)規(guī)劃要求 6）用戶投資預(yù)算等,1.步驟準(zhǔn)備,2.劃分區(qū)域,劃分區(qū)域要考慮： 1）確定安全資產(chǎn) 2）定義安全策略和安全級別 3）劃分不同的安全區(qū)域,3.企業(yè)內(nèi)部網(wǎng)絡(luò)與Internet網(wǎng)絡(luò)邊界部署,網(wǎng)絡(luò)區(qū)域邊界部署上結(jié)合應(yīng)用需求我們需要考慮 ： 1）Web服務(wù)器需要對外提供服務(wù)，Internet網(wǎng)絡(luò)用戶能夠訪問該服務(wù)器資源； 2）內(nèi)部辦公網(wǎng)絡(luò)不對外提供服務(wù)，Internet網(wǎng)絡(luò)用戶不能訪問內(nèi)部服務(wù)器或信息點(diǎn)； 3）Web服務(wù)器和內(nèi)部辦公網(wǎng)絡(luò)需要防范Internet網(wǎng)絡(luò)攻擊； 4）Web服務(wù)器和內(nèi)部辦公網(wǎng)絡(luò)需要防范病毒傳播等。,4.部門內(nèi)部網(wǎng)絡(luò)邊界部署,內(nèi)網(wǎng)邊界部署上，我們應(yīng)該考慮以下因素： 1）各部門之間的涉密信息保護(hù)； 2）各部門之間有一定的共享資源； 3）需要防范網(wǎng)絡(luò)病毒蔓延等。,5.重要部門網(wǎng)絡(luò)邊界部署,對如財務(wù)部等重要部門，要進(jìn)行特別防護(hù)，如對其進(jìn)行隔離網(wǎng)閘的部署,6.企業(yè)網(wǎng)絡(luò)整體邊界部署,這樣就形成了企業(yè)內(nèi)部網(wǎng)絡(luò)邊界部署,7. 小結(jié),本例針對一個企業(yè)網(wǎng)絡(luò)環(huán)境給出了一個比較典型的邊界部署規(guī)劃，重點(diǎn)在于讓學(xué)生理解部署一個企業(yè)網(wǎng)絡(luò)規(guī)劃的步驟和方法。事實(shí)上，每種方案都有各自的特點(diǎn)，在實(shí)際應(yīng)用中，常常需要我們在編寫方案時還需要考慮企業(yè)網(wǎng)絡(luò)環(huán)境現(xiàn)狀、網(wǎng)絡(luò)建設(shè)投資情況等等因素，以便有針對性的設(shè)計(jì)和完善現(xiàn)有網(wǎng)絡(luò)體系，真正實(shí)現(xiàn)網(wǎng)絡(luò)安全、經(jīng)濟(jì)實(shí)用、便捷管理的設(shè)計(jì)目標(biāo)。,2、邊界防火墻安全配置,步驟流程： 1.步驟準(zhǔn)備 2.安全域劃分 3.發(fā)布受信任區(qū)域的郵件及Web服務(wù) 4.對發(fā)布的服務(wù)器實(shí)施基本保護(hù) 5.深度過濾規(guī)則驗(yàn)證 6.小結(jié),1.步驟準(zhǔn)備,（1）安裝郵件服務(wù)器,1.步驟準(zhǔn)備,（2）安裝Web服務(wù)器,2.安全域劃分,（1）在防火墻的Web管理頁面，選擇“策略配置”“安全選項(xiàng)”把“包過濾缺省允許”的勾取消。,2.安全域劃分,（2）在防火墻的Web管理頁面，選擇“策略配置”“安全規(guī)則 ”添加一條“包過濾規(guī)則”,3.發(fā)布受信任區(qū)域的郵件及Web服務(wù),（1）在防火墻的Web管理頁面，選擇“資源定義”“服務(wù)器地址”單擊添加按鈕,3.發(fā)布受信任區(qū)域的郵件及Web服務(wù),（2）在防火墻的Web管理頁面，選擇“策略配置”“安全規(guī)則 ”添加一條“IP映射規(guī)則”,3.發(fā)布受信任區(qū)域的郵件及Web服務(wù),（3）在防火墻的Web管理頁面，選擇“策略配置”“安全規(guī)則 ”添加 “包過濾規(guī)則”,4.對發(fā)布的服務(wù)器實(shí)施基本保護(hù),（1）在防火墻的Web管理頁面，選擇“資源定義”“深度過濾”“URL組以及關(guān)鍵字組”單擊添加按鈕,4.對發(fā)布的服務(wù)器實(shí)施基本保護(hù),（2）在防火墻的Web管理頁面，選擇“資源定義”“深度過濾”“過濾策略”單擊添加按鈕,4.對發(fā)布的服務(wù)器實(shí)施基本保護(hù),（3）在防火墻的Web管理頁面，選擇“策略配置”“安全規(guī)則 ”添加 “包過濾規(guī)則”，配置訪問Web服務(wù)器是啟用深度過濾規(guī)則。,4.對發(fā)布的服務(wù)器實(shí)施基本保護(hù),（3）防火墻的Web管理頁面，選擇“策略配置”“安全規(guī)則 ”添加 “包過濾規(guī)則”，配置POP3服務(wù)啟用深度過濾規(guī)則。,4.對發(fā)布的服務(wù)器實(shí)施基本保護(hù),（3）防火墻的Web管理頁面，選擇“策略配置”“安全規(guī)則 ”添加 “包過濾規(guī)則”，配置Smtp服務(wù)啟用深度過濾規(guī)則。,5.深度過濾規(guī)則驗(yàn)證,（1）不被信任區(qū)域主機(jī)訪問Web頁面：,5.深度過濾規(guī)則驗(yàn)證,（2）發(fā)送正常郵件驗(yàn)證,5.深度過濾規(guī)則驗(yàn)證,（3）發(fā)送含過濾關(guān)鍵字的郵件驗(yàn)證,6. 小結(jié),通過對防火墻實(shí)例化操作，使學(xué)生能夠掌握防火墻基本配置方