




已閱讀5頁,還剩35頁未讀, 繼續(xù)免費(fèi)閱讀
版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報或認(rèn)領(lǐng)
文檔簡介
任務(wù)九:企業(yè)網(wǎng)絡(luò)邊界安全規(guī)劃,計(jì)算機(jī)安全維護(hù),內(nèi)容簡介,一、任務(wù)內(nèi)容 二、背景知識 三、風(fēng)險分析 四、步驟介紹 五、任務(wù)小結(jié),一、任務(wù)內(nèi)容,二、 背景知識,1、網(wǎng)絡(luò)邊界的基本概念 2、劃分邊界的依據(jù) 3、邊界安全防護(hù)機(jī)制 4、邊界防護(hù)技術(shù),1、網(wǎng)絡(luò)邊界的基本概念,網(wǎng)絡(luò)邊界的概念 具有不同安全級別的網(wǎng)絡(luò)之間的分界線都可以定義為網(wǎng)絡(luò)邊界 。 企業(yè)網(wǎng)絡(luò)常見邊界 企業(yè)內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò) 企業(yè)部門之間 重要部門與其他部門之間 分公司與分公司(或總部)之間,2、劃分邊界的依據(jù),目的 實(shí)現(xiàn)大規(guī)模復(fù)雜信息系統(tǒng)安全等級保護(hù) 。 作用 把一個大規(guī)模復(fù)雜系統(tǒng)的安全問題,化解為更小區(qū)域的安全保護(hù)問題 。 依據(jù),3、邊界安全防護(hù)機(jī)制,基本安全防護(hù) 采用常規(guī)的邊界防護(hù)機(jī)制,如基本的登錄/連接控制等,實(shí)現(xiàn)基本的信息系統(tǒng)邊界安全防護(hù)。 較嚴(yán)格安全防護(hù) 采用較嚴(yán)格的安全防護(hù)機(jī)制,如較嚴(yán)格的登錄/連接控制,普通功能的防火墻、防病毒網(wǎng)關(guān)、入侵防范、信息過濾、邊界完整性檢查等。 嚴(yán)格安全防護(hù) 根據(jù)當(dāng)前信息安全對抗技術(shù)的發(fā)展,采用嚴(yán)格的安全防護(hù)機(jī)制,如嚴(yán)格的登錄/連接機(jī)制, 高安全功能的防火墻、防病毒網(wǎng)關(guān)、入侵防范、信息過濾、邊界完整性檢查等。 特別安全防護(hù) 采用當(dāng)前最先進(jìn)的邊界防護(hù)技術(shù),必要時可以采用物理隔離安全機(jī)制,實(shí)現(xiàn)特別安全要求的邊界安全防護(hù)。,本節(jié)重點(diǎn)介紹: 防火墻技術(shù) 多重安全網(wǎng)關(guān)技術(shù) 網(wǎng)閘技術(shù) 數(shù)據(jù)交換網(wǎng)技術(shù),3、邊界安全防護(hù)機(jī)制,原理 采用包過濾或應(yīng)用代理技術(shù),通過訪問控制列表ACL過濾數(shù)據(jù)。 作用 控制進(jìn)出網(wǎng)絡(luò)的信息流向和信息包。 提供使用和流量的日志和審計(jì)。 隱藏內(nèi)部IP地址及網(wǎng)絡(luò)結(jié)構(gòu)的細(xì)節(jié)。 缺點(diǎn) 不能對應(yīng)用層識別,4、邊界安全防護(hù)防火墻技術(shù),UTM介紹 統(tǒng)一威脅管理(Unified Threat Management), 2004年9月,IDC首度提出“統(tǒng)一威脅管理”的概念,即將防病毒、入侵檢測和防火墻安全設(shè)備劃歸統(tǒng)一威脅管理(Unified Threat Management,簡稱UTM)新類別。 特點(diǎn) 1、一個更高,更強(qiáng),更可靠的墻。 2、通過高質(zhì)量的檢測技術(shù)來降低誤報。 3、有高可靠,高性能的硬件平臺支撐。,4、邊界安全防護(hù)多重安全網(wǎng)關(guān)技術(shù),4、邊界安全防護(hù)數(shù)據(jù)交換網(wǎng)技術(shù),特點(diǎn) 數(shù)據(jù)存儲更快速 數(shù)據(jù)存儲更安全 降低大容量存儲設(shè)備的采購成本 作用 增加磁盤的存取(access)速度 防止數(shù)據(jù)因磁盤的故障而失落 有效的利用磁盤空間,三、風(fēng)險分析,四、步驟介紹,1、典型企業(yè)網(wǎng)絡(luò)邊界規(guī)劃 2、配置邊界防火墻,1、典型企業(yè)網(wǎng)絡(luò)邊界規(guī)劃,步驟流程: 1.步驟準(zhǔn)備 2.劃分區(qū)域 3.企業(yè)內(nèi)部網(wǎng)絡(luò)與Internet網(wǎng)絡(luò)邊界部署 4.部門內(nèi)部網(wǎng)絡(luò)邊界部署 5.重要部門網(wǎng)絡(luò)邊界部署 6.企業(yè)網(wǎng)絡(luò)整體邊界部署 7. 小結(jié),1.步驟準(zhǔn)備,主要是完成對用戶網(wǎng)絡(luò)環(huán)境現(xiàn)場采集的過程,需要采集的信息包含: 1)當(dāng)前網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu) 2)當(dāng)前網(wǎng)絡(luò)環(huán)境存在的問題(用戶角度) 3)用戶的應(yīng)用需求 4)用戶的網(wǎng)絡(luò)安全需求 5)其他網(wǎng)絡(luò)規(guī)劃要求 6)用戶投資預(yù)算等,1.步驟準(zhǔn)備,2.劃分區(qū)域,劃分區(qū)域要考慮: 1)確定安全資產(chǎn) 2)定義安全策略和安全級別 3)劃分不同的安全區(qū)域,3.企業(yè)內(nèi)部網(wǎng)絡(luò)與Internet網(wǎng)絡(luò)邊界部署,網(wǎng)絡(luò)區(qū)域邊界部署上結(jié)合應(yīng)用需求我們需要考慮 : 1)Web服務(wù)器需要對外提供服務(wù),Internet網(wǎng)絡(luò)用戶能夠訪問該服務(wù)器資源; 2)內(nèi)部辦公網(wǎng)絡(luò)不對外提供服務(wù),Internet網(wǎng)絡(luò)用戶不能訪問內(nèi)部服務(wù)器或信息點(diǎn); 3)Web服務(wù)器和內(nèi)部辦公網(wǎng)絡(luò)需要防范Internet網(wǎng)絡(luò)攻擊; 4)Web服務(wù)器和內(nèi)部辦公網(wǎng)絡(luò)需要防范病毒傳播等。,4.部門內(nèi)部網(wǎng)絡(luò)邊界部署,內(nèi)網(wǎng)邊界部署上,我們應(yīng)該考慮以下因素: 1)各部門之間的涉密信息保護(hù); 2)各部門之間有一定的共享資源; 3)需要防范網(wǎng)絡(luò)病毒蔓延等。,5.重要部門網(wǎng)絡(luò)邊界部署,對如財務(wù)部等重要部門,要進(jìn)行特別防護(hù),如對其進(jìn)行隔離網(wǎng)閘的部署,6.企業(yè)網(wǎng)絡(luò)整體邊界部署,這樣就形成了企業(yè)內(nèi)部網(wǎng)絡(luò)邊界部署,7. 小結(jié),本例針對一個企業(yè)網(wǎng)絡(luò)環(huán)境給出了一個比較典型的邊界部署規(guī)劃,重點(diǎn)在于讓學(xué)生理解部署一個企業(yè)網(wǎng)絡(luò)規(guī)劃的步驟和方法。事實(shí)上,每種方案都有各自的特點(diǎn),在實(shí)際應(yīng)用中,常常需要我們在編寫方案時還需要考慮企業(yè)網(wǎng)絡(luò)環(huán)境現(xiàn)狀、網(wǎng)絡(luò)建設(shè)投資情況等等因素,以便有針對性的設(shè)計(jì)和完善現(xiàn)有網(wǎng)絡(luò)體系,真正實(shí)現(xiàn)網(wǎng)絡(luò)安全、經(jīng)濟(jì)實(shí)用、便捷管理的設(shè)計(jì)目標(biāo)。,2、邊界防火墻安全配置,步驟流程: 1.步驟準(zhǔn)備 2.安全域劃分 3.發(fā)布受信任區(qū)域的郵件及Web服務(wù) 4.對發(fā)布的服務(wù)器實(shí)施基本保護(hù) 5.深度過濾規(guī)則驗(yàn)證 6.小結(jié),1.步驟準(zhǔn)備,(1)安裝郵件服務(wù)器,1.步驟準(zhǔn)備,(2)安裝Web服務(wù)器,2.安全域劃分,(1)在防火墻的Web管理頁面,選擇“策略配置”“安全選項(xiàng)”把“包過濾缺省允許”的勾取消。,2.安全域劃分,(2)在防火墻的Web管理頁面,選擇“策略配置”“安全規(guī)則 ”添加一條“包過濾規(guī)則”,3.發(fā)布受信任區(qū)域的郵件及Web服務(wù),(1)在防火墻的Web管理頁面,選擇“資源定義”“服務(wù)器地址”單擊添加按鈕,3.發(fā)布受信任區(qū)域的郵件及Web服務(wù),(2)在防火墻的Web管理頁面,選擇“策略配置”“安全規(guī)則 ”添加一條“IP映射規(guī)則”,3.發(fā)布受信任區(qū)域的郵件及Web服務(wù),(3)在防火墻的Web管理頁面,選擇“策略配置”“安全規(guī)則 ”添加 “包過濾規(guī)則”,4.對發(fā)布的服務(wù)器實(shí)施基本保護(hù),(1)在防火墻的Web管理頁面,選擇“資源定義”“深度過濾”“URL組以及關(guān)鍵字組”單擊添加按鈕,4.對發(fā)布的服務(wù)器實(shí)施基本保護(hù),(2)在防火墻的Web管理頁面,選擇“資源定義”“深度過濾”“過濾策略”單擊添加按鈕,4.對發(fā)布的服務(wù)器實(shí)施基本保護(hù),(3)在防火墻的Web管理頁面,選擇“策略配置”“安全規(guī)則 ”添加 “包過濾規(guī)則”,配置訪問Web服務(wù)器是啟用深度過濾規(guī)則。,4.對發(fā)布的服務(wù)器實(shí)施基本保護(hù),(3)防火墻的Web管理頁面,選擇“策略配置”“安全規(guī)則 ”添加 “包過濾規(guī)則”,配置POP3服務(wù)啟用深度過濾規(guī)則。,4.對發(fā)布的服務(wù)器實(shí)施基本保護(hù),(3)防火墻的Web管理頁面,選擇“策略配置”“安全規(guī)則 ”添加 “包過濾規(guī)則”,配置Smtp服務(wù)啟用深度過濾規(guī)則。,5.深度過濾規(guī)則驗(yàn)證,(1)不被信任區(qū)域主機(jī)訪問Web頁面:,5.深度過濾規(guī)則驗(yàn)證,(2)發(fā)送正常郵件驗(yàn)證,5.深度過濾規(guī)則驗(yàn)證,(3)發(fā)送含過濾關(guān)鍵字的郵件驗(yàn)證,6. 小結(jié),通過對防火墻實(shí)例化操作,使學(xué)生能夠掌握防火墻基本配置方
溫馨提示
- 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
- 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。
最新文檔
- 2025茶葉銷售代理合同樣本
- 八下語文知識點(diǎn)經(jīng)典常談要點(diǎn)
- 《實(shí)訓(xùn)公共關(guān)系學(xué):互動與實(shí)踐》課件
- 《南京河西策略提報》課件
- 《中國的行政區(qū)劃解析》課件
- 《探索故宮博物館》課件
- 教育部新版人教版一年級道德與法治上冊第七課《課間十分鐘》教學(xué)設(shè)計(jì)市級公開課教案
- 《醫(yī)學(xué)影像學(xué)總論》課件
- 北師大版九年級上冊1 用樹狀圖或表格求概率表格教學(xué)設(shè)計(jì)
- 嘉應(yīng)學(xué)院《運(yùn)動心理學(xué)》2023-2024學(xué)年第二學(xué)期期末試卷
- 生產(chǎn)車間主管月度工作總結(jié)
- 京瓷哲學(xué)學(xué)習(xí)與應(yīng)用課件
- 2025年河南對外經(jīng)濟(jì)貿(mào)易職業(yè)學(xué)院單招職業(yè)適應(yīng)性測試題庫新版
- 手機(jī)終端采購合作協(xié)議書范本
- 撒哈拉以南非洲(第2課時)課件-2024~2025學(xué)年人教版初中地理七年級下冊
- 2025年甘肅財貿(mào)職業(yè)學(xué)院單招職業(yè)適應(yīng)性考試題庫有答案
- 跨學(xué)科實(shí)踐:制作微型密度計(jì) 2024-2025學(xué)年人教版物理八年級下學(xué)期
- 愛護(hù)牙齒-兒童保健課件
- 電廠水化驗(yàn)培訓(xùn)
- 社區(qū)衛(wèi)生服務(wù)中心的運(yùn)營與管理策略
- DB4401∕T 10.10-2019 反恐怖防范管理 第10部分:園林公園
評論
0/150
提交評論