《網(wǎng)絡(luò)安全規(guī)劃》

網(wǎng)絡(luò)平安規(guī)劃編輯ppt學(xué)習(xí)目標學(xué)習(xí)完本課程，您應(yīng)該能夠：明確網(wǎng)絡(luò)平安規(guī)劃的根本原那么掌握網(wǎng)絡(luò)平安的配置要點編輯ppt課程內(nèi)容根本原那么控制策略平安組網(wǎng)平安防御管理審計編輯ppt網(wǎng)絡(luò)平安規(guī)劃的根本原那么網(wǎng)絡(luò)平安是一個復(fù)雜的體系結(jié)構(gòu)網(wǎng)絡(luò)平安是一個相對的概念網(wǎng)絡(luò)平安部署通常會帶來副作用編輯ppt課控制策略－－認證授權(quán)〔WLAN接入〕程內(nèi)容在WLAN中，當(dāng)無法從物理上控制訪問者的來源時，務(wù)必要使用相應(yīng)的鑒權(quán)及認證手段進行識別效勞：在AP上禁止ESSID播送MAC過濾對接入用戶進行802.1x身份認證使用加密無線信道編輯ppt控制策略－－認證授權(quán)〔以太網(wǎng)接入〕對于來源不可靠的以太網(wǎng)接入使用802.1x認證配合CAMS進行。支持防代理上網(wǎng)，提供運營商帶寬平安使用EAD〔端點準入防御〕技術(shù)，隔離可能危險用戶編輯ppt控制策略－－認證授權(quán)〔RADIUS&AAA〕通過RADIUS實現(xiàn)AAA認證，可以對各種接入用戶統(tǒng)一集中進行認證和授權(quán)采用HWTACACS協(xié)議代替RADIUS實現(xiàn)對驗證報文主體全部進行加密支持對路由器上的配置實現(xiàn)分級授權(quán)使用Modem接入ADSL接入LAN接入WLAN接入認證效勞器編輯ppt控制策略－－認證授權(quán)〔移動客戶〕移動用戶客戶端SECPoint的遠程接入驗證傳統(tǒng)用戶名＋密碼方式雙因素認證SecKEYPKI/CA體系驗證方式編輯ppt控制策略－－業(yè)務(wù)隔離〔以太網(wǎng)接入〕普通二層以太網(wǎng)網(wǎng)絡(luò)中采用VLAN進行隔離。小區(qū)以太網(wǎng)接入應(yīng)用中在接入層交換機上配置Isolate-user-VLAN，禁止接入用戶之間互訪。建議在接入交換機接入端口配置播送抑制門限1234編輯ppt控制策略－－業(yè)務(wù)隔離〔ACL&VPN〕采用訪問控制列表ACL進行L1層～L4層隔離對于大型網(wǎng)絡(luò)中可以使用MPLSVPN技術(shù)，實現(xiàn)在一張根底網(wǎng)絡(luò)下多種業(yè)務(wù)間的復(fù)雜隔離需求。編輯ppt控制策略－－網(wǎng)絡(luò)設(shè)備訪問權(quán)限所有的網(wǎng)絡(luò)設(shè)備必須配置super密碼，telnet的口令及密碼，并定期修改。考慮使用SSH方式登錄，保證遠程登錄設(shè)備平安。同時禁止telnet效勞。編輯ppt控制策略－－路由平安路由欺騙防止如果RIP和OSPF等動態(tài)路由協(xié)議在某些接口上〔通常是以太網(wǎng)口〕啟動協(xié)議的目的僅僅是為了發(fā)布路由，而無需建立鄰居，那么務(wù)必將這些接口設(shè)置為silent-interface對于OSPF等在接口上支持MD5驗證的路由協(xié)議，不建議配置MD5驗證編輯ppt平安組網(wǎng)－－平安傳輸平安傳輸當(dāng)數(shù)據(jù)在網(wǎng)絡(luò)傳輸?shù)倪^程中無法確保平安時通常需要使用一定的平安技術(shù)。加密技術(shù)IPSec應(yīng)用為IP協(xié)議組提供了網(wǎng)絡(luò)層的平安能力，發(fā)送主機對IP報文進行加密，目的端點對源端點進行身份驗證?？梢源_保報文的完整性和隱秘性。WLAN的報文傳輸過程可以使用WEP、WAP等加密手段確保報文的平安傳送。采用WAP可以支持更長的加密密鑰、防止采用靜態(tài)加密密鑰密文明文加密密鑰編輯ppt平安組網(wǎng)－－VPN報文在傳輸?shù)倪^程中將其封裝在隧道里，使其對沿途經(jīng)過的設(shè)備不可見，從而保證其平安性。常用對平安性要求不高的簡單環(huán)境。L2TP、GRE利用同IPSEC平安協(xié)議配合，實現(xiàn)平安保密的VPNInternet出差員工總部合作伙伴編輯ppt平安防御－－網(wǎng)絡(luò)防護面對平安威脅響應(yīng)的時間越來越短涉及全球根底設(shè)施地區(qū)網(wǎng)絡(luò)多個網(wǎng)絡(luò)單個網(wǎng)絡(luò)單個計算機破壞的對象和范圍第一代引導(dǎo)型病毒周第二代宏病毒電子郵件DoS有限的黑客攻擊天第三代網(wǎng)絡(luò)

DoS混合威脅

(蠕蟲

+病毒+特洛伊木馬)Turbo蠕蟲廣泛的系統(tǒng)黑客攻擊分鐘下一代根底設(shè)施黑客攻擊瞬間威脅大規(guī)模蠕蟲DDoS破壞有效負載的病毒和蠕蟲秒20世紀80年代20世紀90年代今天未來人工響應(yīng)，可能人工響應(yīng)很難自動應(yīng)，有可能人工響應(yīng)，不可能自動響應(yīng)，較難主動阻擋，有可能編輯ppt平安防御－－網(wǎng)絡(luò)防護〔續(xù)〕當(dāng)內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)相連時，需要對內(nèi)部網(wǎng)絡(luò)進行必要的網(wǎng)絡(luò)防護措施。即使在不需要與外網(wǎng)相連的情況下，也需要對內(nèi)部網(wǎng)絡(luò)中異常重要的效勞器進行防護。網(wǎng)絡(luò)防護主要通過防火墻設(shè)備來實施。防火墻DoS攻擊黑客Internet編輯ppt平安防御－－模型受保護效勞器受保護客戶機內(nèi)部網(wǎng)絡(luò)可信任區(qū)外部網(wǎng)絡(luò)不可信任區(qū)周邊網(wǎng)絡(luò)DMZ區(qū)WWW效勞器MAIL效勞器入侵檢測效勞器漏洞掃描效勞器互聯(lián)網(wǎng)接入效勞器互聯(lián)網(wǎng)連接路由器編輯ppt平安防御－－包過濾防火墻容易實施，幾乎所有網(wǎng)絡(luò)設(shè)備都支持ACL特性應(yīng)用于接口或者平安區(qū)域，分出入方向采用ACL進行物理層到傳輸層的控制。配置包過濾防火墻進行網(wǎng)絡(luò)病毒防范編輯ppt平安防御－－ASPFASPF狀態(tài)防火墻同包過濾防火墻共用時，應(yīng)注意在相同出接口或入接口上應(yīng)用使用NAT時，可以不需要再啟用ASPFNAT也是基于狀態(tài)的，對出方向的報文建立狀態(tài)表。起到單向訪問控制作用編輯ppt平安防御－－拒絕效勞和掃描拒絕效勞類攻擊掃描類攻擊畸形報文攻擊編輯ppt管理審計－－日志日志記錄日志記錄可以準確的記下設(shè)備運行過程中發(fā)生的各種軟件異常信息，鏈路異常信息，對設(shè)備的各種命令操作等。日志記錄可以在事后對各類故障進行分析，便于事后進行追蹤，改善網(wǎng)絡(luò)的平安部署策略。日志記錄的類別設(shè)備運行時務(wù)必設(shè)置記錄日志，如果條件允許，盡量將需要