網(wǎng)絡(luò)架構(gòu)安全設(shè)計(jì)

1、網(wǎng)絡(luò)架構(gòu)安全設(shè)計(jì)知識(shí)域：網(wǎng)絡(luò)架構(gòu)安全知識(shí)子域：網(wǎng)絡(luò)架構(gòu)安全基礎(chǔ) 理解網(wǎng)絡(luò)架構(gòu)安全的含義及主要工作理解網(wǎng)絡(luò)安全域劃分應(yīng)考慮的主要因素理解IP地址分配的方法理解VLAN劃分的作用與策略理解路由交換設(shè)備安全配置常見的要求理解網(wǎng)絡(luò)邊界訪問(wèn)控制策略的類型理解網(wǎng)絡(luò)冗余配置應(yīng)考慮的因素2網(wǎng)絡(luò)架構(gòu)安全的內(nèi)容合理劃分網(wǎng)絡(luò)安全區(qū)域規(guī)劃網(wǎng)絡(luò)IP地址設(shè)計(jì)VLAN安全配置路由交換設(shè)備網(wǎng)絡(luò)邊界訪問(wèn)控制策略網(wǎng)絡(luò)冗余配置3網(wǎng)絡(luò)安全域劃分的目的與方法定義安全域是遵守相同安全策略的用戶和系統(tǒng)的集合安全域劃分的目的把大規(guī)模負(fù)責(zé)系統(tǒng)安全問(wèn)題化解為更小區(qū)域的安全保護(hù)問(wèn)題網(wǎng)絡(luò)抗?jié)B透的有效防護(hù)方式，安全域邊界是災(zāi)難發(fā)生時(shí)的抑制點(diǎn)安全域的劃

2、分方法按信息資產(chǎn)劃分按業(yè)務(wù)類型劃分按地域劃分按組織架構(gòu)劃分4同級(jí)別安全域 同級(jí)別安全域之間的邊界-同級(jí)別安全域之間的安全防護(hù)主要是安全隔離和可信互訪不同級(jí)別安全域 不同級(jí)別安全域之間的邊界實(shí)際設(shè)計(jì)實(shí)施時(shí)又分為高等級(jí)安全域和低等級(jí)安全域的邊界和防護(hù)遠(yuǎn)程連接用戶 遠(yuǎn)程連接的用戶對(duì)于遠(yuǎn)程接入用戶通常采用VPN結(jié)合用戶認(rèn)證授權(quán)的方式進(jìn)行邊界防護(hù)同級(jí)別安全域之間的邊界遠(yuǎn)程接入邊界的安全網(wǎng)絡(luò)安全域防護(hù)5IP地址規(guī)劃據(jù)IP編址特點(diǎn)，為所設(shè)計(jì)的網(wǎng)絡(luò)中的節(jié)點(diǎn)、網(wǎng)絡(luò)設(shè)備分配合適的IP地址應(yīng)與網(wǎng)絡(luò)層次規(guī)劃、路由協(xié)議規(guī)劃、流量規(guī)劃等結(jié)合起來(lái)考慮IP地址規(guī)劃應(yīng)采用自頂向下的方法6IP地址分配的方式靜態(tài)地址分配給網(wǎng)絡(luò)中每

3、臺(tái)計(jì)算機(jī)、網(wǎng)絡(luò)設(shè)備分配一個(gè)固定的、靜態(tài)不變的IP地址提供網(wǎng)絡(luò)服務(wù)的網(wǎng)絡(luò)設(shè)備，如WEB服務(wù)器、郵件服務(wù)器、FTP服務(wù)器等服務(wù)器，一般為其分配靜態(tài)IP地址動(dòng)態(tài)地址分配在計(jì)算機(jī)連接到網(wǎng)路時(shí)，每次為其臨時(shí)分配一個(gè)IP地址NAT地址分配將私網(wǎng)地址和公網(wǎng)地址轉(zhuǎn)換使用7VLAN設(shè)計(jì)將網(wǎng)內(nèi)設(shè)備的邏輯地劃分成一個(gè)個(gè)網(wǎng)段從而實(shí)現(xiàn)虛擬工作組通過(guò)VLAN隔離技術(shù)，可以把一個(gè)網(wǎng)絡(luò)系統(tǒng)中眾多的網(wǎng)絡(luò)設(shè)備分成若干個(gè)虛擬的工作組安全作用建立VLAN之間的訪問(wèn)機(jī)制，阻止蠕蟲和惡意病毒的廣泛傳播建立VLAN區(qū)域安全和資源保護(hù)，將受限制的應(yīng)用程序和資源置于更為安全的VLAN中8VLAN劃分方法一個(gè)交換機(jī)上可以劃分出多個(gè)VLAN多個(gè)交

4、換機(jī)并在一起共同劃分出若干個(gè)VLAN某些計(jì)算機(jī)可以同時(shí)處于多個(gè)VLAN中9路由交換設(shè)備的安全配置交換機(jī)安全配置要點(diǎn)安裝最新版本的操作系統(tǒng)，定期更新交換機(jī)操作系統(tǒng)補(bǔ)丁關(guān)閉空閑的物理端口帶外管理交換機(jī)明確禁止未經(jīng)授權(quán)的訪問(wèn)配置必要的網(wǎng)路服務(wù)，關(guān)閉不必要的網(wǎng)絡(luò)服務(wù)打開日志功能，并且將日志文件專門放到一臺(tái)安全的日志主機(jī)上對(duì)交換機(jī)配置文件進(jìn)行脫機(jī)安全備份，并且限制對(duì)配置文件的訪問(wèn)10路由器的安全配置要點(diǎn)在路由器上安裝最新版本的操作系統(tǒng)，定期更新對(duì)應(yīng)的操作系統(tǒng)補(bǔ)丁防止欺騙性路由更新，配置路由協(xié)議鑒別路由器的配置保持下線備份，對(duì)它的訪問(wèn)進(jìn)行限制明確禁止未經(jīng)授權(quán)的訪問(wèn)防止網(wǎng)絡(luò)數(shù)據(jù)竊聽，適當(dāng)部署加密保護(hù)技術(shù)禁用

5、不需要的服務(wù)和組件，禁用有風(fēng)險(xiǎn)的接口服務(wù)打開日志功能，配置日志服務(wù)器進(jìn)行日志收集和分析11網(wǎng)絡(luò)邊界的概念 具有不同安全級(jí)別的網(wǎng)絡(luò)之間的分界線都可以定義為網(wǎng)絡(luò)邊界 網(wǎng)絡(luò)常見邊界： 內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間 組織機(jī)構(gòu)各部門之間 重要部門與其他部門之間 組織機(jī)構(gòu)總部與分支機(jī)構(gòu)之間 12網(wǎng)絡(luò)邊界訪問(wèn)控制基本安全防護(hù) 采用常規(guī)的邊界防護(hù)機(jī)制，如基本的登錄/連接控制等，實(shí)現(xiàn)基本的信息系統(tǒng)邊界安全防護(hù)，采用路由器或者三層交換機(jī)。較嚴(yán)格安全防護(hù) 采用較嚴(yán)格的安全防護(hù)機(jī)制，如較嚴(yán)格的登錄/連接控制，普通功能的防火墻、防病毒網(wǎng)關(guān)、入侵防御、信息過(guò)濾、邊界完整性檢查等嚴(yán)格安全防護(hù) 根據(jù)當(dāng)前信息安全對(duì)抗技術(shù)的發(fā)展，采用

6、嚴(yán)格的安全防護(hù)機(jī)制，如嚴(yán)格的登錄/連接機(jī)制， 高安全功能的防火墻、防病毒網(wǎng)關(guān)、入侵防御、信息過(guò)濾、邊界完整性檢查等特別安全防護(hù) 采用當(dāng)前最先進(jìn)的邊界防護(hù)技術(shù)，必要時(shí)可以采用物理隔離安全機(jī)制，實(shí)現(xiàn)特別安全要求的邊界安全防護(hù)13邊界安全防護(hù)機(jī)制14邊界安全防護(hù)技術(shù)防火墻負(fù)載均衡IDS/IPSUTM隔離網(wǎng)閘抗拒絕服務(wù)攻擊需要考慮的問(wèn)題是否需要對(duì)外提供服務(wù)，提供什么服務(wù)IP數(shù)量，如何使用IP（NAT或直接服務(wù)）帶寬問(wèn)題互聯(lián)網(wǎng)病毒傳播問(wèn)題采取的防護(hù)措施路由器防火墻流量管理防病毒網(wǎng)關(guān)UTM內(nèi)部網(wǎng)絡(luò)與互聯(lián)網(wǎng)邊界防護(hù)15需要考慮的問(wèn)題相互的服務(wù)提供及數(shù)據(jù)交換情況（在保證應(yīng)用的情況下隔離）病毒傳播問(wèn)題采取的防護(hù)措施路由器防火墻防病毒網(wǎng)關(guān)隔離網(wǎng)閘內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)邊界防護(hù)16需要考慮的問(wèn)題連接的方式（VPN或直接網(wǎng)絡(luò)訪問(wèn)）病毒傳播問(wèn)題采取的防護(hù)措施VPN防火墻防病毒網(wǎng)關(guān)17內(nèi)部網(wǎng)絡(luò)與分支機(jī)構(gòu)邊界防護(hù)需要考慮的問(wèn)題防護(hù)的程度和標(biāo)準(zhǔn)病毒傳播問(wèn)題非法訪問(wèn)問(wèn)題采取的防護(hù)措施VLAN劃分防火墻防病毒網(wǎng)關(guān)18內(nèi)部網(wǎng)絡(luò)重要部門邊界防護(hù)19作用防止單點(diǎn)故障可以提高網(wǎng)絡(luò)的健全性、穩(wěn)定性考慮因素接入互聯(lián)網(wǎng)時(shí)，同時(shí)采用不同電信運(yùn)營(yíng)商線路，相互備份且互不影響核心層、匯聚層的設(shè)備和重要的接入層設(shè)備均應(yīng)雙機(jī)熱備保證網(wǎng)絡(luò)帶寬和網(wǎng)絡(luò)設(shè)備的業(yè)務(wù)處理能力具備冗余空