計算機網(wǎng)絡(luò)安全課件(沈鑫剡)第10章

?2006工程兵工程學(xué)院計算機教研室計算機網(wǎng)絡(luò)安全第10章■安全網(wǎng)絡(luò)概述；■安全網(wǎng)絡(luò)設(shè)計和分析。安全網(wǎng)絡(luò)是能夠保障信息安全目標(biāo)實施的網(wǎng)絡(luò)系統(tǒng),是一個能夠保證授權(quán)用戶實現(xiàn)訪問權(quán)限內(nèi)網(wǎng)絡(luò)資源訪問過程的網(wǎng)絡(luò)系統(tǒng),是一個能夠抵御并反制黑客任何攻擊的網(wǎng)絡(luò)。

安全網(wǎng)絡(luò)設(shè)計實例計算機網(wǎng)絡(luò)安全第10章安全網(wǎng)絡(luò)設(shè)計實例■

安全網(wǎng)絡(luò)設(shè)計目標(biāo)；■

安全網(wǎng)絡(luò)主要構(gòu)件；■

網(wǎng)絡(luò)資源；■安全網(wǎng)絡(luò)設(shè)計步驟。給出設(shè)計一個安全網(wǎng)絡(luò)的基本原則、

過程和方法。

安全網(wǎng)絡(luò)設(shè)計實例計算機網(wǎng)絡(luò)安全10.

1

安全網(wǎng)絡(luò)概述■

能夠有效防御來自內(nèi)部和外部的攻擊；■

能夠?qū)W(wǎng)絡(luò)資源的訪問過程實施有效控

制；■

能夠?qū)τ脩粜袨檫M行有效監(jiān)控；■

能夠?qū)W(wǎng)絡(luò)運行狀態(tài)進行實時監(jiān)測；■

能夠?qū)W(wǎng)絡(luò)性能變化過程和原因進行跟

蹤

、

分析；■

能夠安全傳輸機密信息。

安全網(wǎng)絡(luò)設(shè)計實例計算機網(wǎng)絡(luò)安全安全網(wǎng)絡(luò)設(shè)計目標(biāo)■

網(wǎng)絡(luò)設(shè)備；■

網(wǎng)絡(luò)操作信息；■

鏈路帶寬；■

主機系統(tǒng)；■在網(wǎng)絡(luò)中傳輸?shù)男畔?；?/p>

用戶私密信息。

安全網(wǎng)絡(luò)設(shè)計實例計算機網(wǎng)絡(luò)安全網(wǎng)絡(luò)資源■確定需要保護的網(wǎng)絡(luò)資源；■分析可能遭受的攻擊類型；

■

風(fēng)險評估；■設(shè)計網(wǎng)絡(luò)安全策略；■

實現(xiàn)網(wǎng)絡(luò)安全策略；■

分析和改進網(wǎng)絡(luò)安全策略。

安全網(wǎng)絡(luò)設(shè)計實例計算機網(wǎng)絡(luò)安全安全網(wǎng)絡(luò)設(shè)計步驟■安全網(wǎng)絡(luò)系統(tǒng)結(jié)構(gòu)；■網(wǎng)絡(luò)安全策略；■網(wǎng)絡(luò)安全策略實現(xiàn)機制。通過一個具體的、具有實用價值的安全網(wǎng)絡(luò)的設(shè)計和分析過程,了解安全網(wǎng)絡(luò)設(shè)計的基本原則、方法和過程。

安全網(wǎng)絡(luò)設(shè)計實例計算機網(wǎng)絡(luò)安全安全網(wǎng)絡(luò)設(shè)計和分析

安全網(wǎng)絡(luò)設(shè)計實例計算機網(wǎng)絡(luò)安全安全網(wǎng)絡(luò)系統(tǒng)結(jié)構(gòu)安全網(wǎng)絡(luò)

結(jié)構(gòu)■網(wǎng)絡(luò)分成內(nèi)網(wǎng)、外網(wǎng)和非軍事區(qū)三部分,非軍事區(qū)提供公共服務(wù)；■交換機等接入設(shè)備完成對接入用戶的認證；■安全工作主要針對內(nèi)部網(wǎng)絡(luò)資源展開,由防火墻負責(zé)控制內(nèi)部網(wǎng)不同VLAN之間的信息傳輸過程,限制外網(wǎng)終端對內(nèi)部網(wǎng)絡(luò)資源的訪問,允許授權(quán)終端通過建立第2層隧道接入內(nèi)部網(wǎng)絡(luò)；■網(wǎng)絡(luò)入侵防御系統(tǒng)對進出重要終端和服務(wù)器的信息流進行檢測；■主機入侵防御系統(tǒng)對訪問重要終端和重要服務(wù)器中資源的過程實施嚴密監(jiān)控；■網(wǎng)絡(luò)管理系統(tǒng)及時反饋網(wǎng)絡(luò)運行情況給管理員。

安全網(wǎng)絡(luò)設(shè)計實例計算機網(wǎng)絡(luò)安全安全網(wǎng)絡(luò)系統(tǒng)結(jié)構(gòu)■允許內(nèi)部網(wǎng)絡(luò)終端發(fā)起對Internet的訪問,但只能訪問外部網(wǎng)絡(luò)中的Web和FTP服務(wù)器；■允許內(nèi)部網(wǎng)絡(luò)終端發(fā)起對非軍事區(qū)中的Web和E-MAIL服務(wù)器的訪問；■允許外部網(wǎng)絡(luò)（非信任區(qū)）終端發(fā)起對非軍事區(qū)中的Web和E-MAIL服務(wù)器的訪問；■只允許內(nèi)部網(wǎng)絡(luò)終端訪問內(nèi)部網(wǎng)絡(luò)中的服務(wù)器,但允許內(nèi)部員工通過第2層隧道經(jīng)外部網(wǎng)絡(luò)訪問內(nèi)部網(wǎng)絡(luò)中的FTP服務(wù)器；■內(nèi)部網(wǎng)絡(luò)終端接入內(nèi)部網(wǎng)絡(luò)時須經(jīng)身份認證；■內(nèi)部網(wǎng)絡(luò)終端的平均傳輸速率和峰值傳輸速率限制為3Mbps和5Mbps；■不允許以交互方式訪問內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)庫服務(wù)器；■能夠監(jiān)測對內(nèi)部網(wǎng)絡(luò)數(shù)據(jù)庫服務(wù)器發(fā)起的攻擊；■內(nèi)部網(wǎng)絡(luò)使用本地IP地址,非軍事區(qū)服務(wù)器使用全球IP地址,內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)對外部網(wǎng)絡(luò)終端是不可見的。

安全網(wǎng)絡(luò)設(shè)計實例計算機網(wǎng)絡(luò)安全網(wǎng)絡(luò)安全策略交換機接入控制過程■交換機采用基于MAC地址的接入控制機制；■一旦終端通過認證,終端的MAC地址被添加到訪問控制列表,交換機允許正常轉(zhuǎn)發(fā)通過該端口接收到的以MACA為源MAC地址的MAC幀；■交換機采用本地認證機制,不采用統(tǒng)一的認證服務(wù)器。

安全網(wǎng)絡(luò)設(shè)計實例計算機網(wǎng)絡(luò)安全網(wǎng)絡(luò)安全策略實現(xiàn)機制防火墻訪問控制機制■防火墻訪問控制策略分兩部分，一是控制內(nèi)網(wǎng)各個VLAN之間的信息傳輸過程，限制外網(wǎng)終端對內(nèi)網(wǎng)資源的訪問過程。二是定義授權(quán)終端通過第2層隧道接入內(nèi)部網(wǎng)絡(luò)的方法；■訪問控制策略定義三種信息:信息傳輸方向、源和目的終端范圍，以服務(wù)方式確定消息交換過程。

安全網(wǎng)絡(luò)設(shè)計實例計算機網(wǎng)絡(luò)安全網(wǎng)絡(luò)安全策略實現(xiàn)機制終端通過VPN接入內(nèi)部網(wǎng)絡(luò)過程■防火墻作為遠程接入控制設(shè)備,配置內(nèi)部網(wǎng)絡(luò)本地IP地址池,用戶名和口令等用戶認證信息；■建立終端和防火墻之間的第2層隧道,基于第2層隧道完成終端的身份認證和本地IP地址分配；■為了實現(xiàn)第2層隧道的安全傳輸,隧道兩端建立雙向的的安全關(guān)聯(lián)；■防火墻添加指明通往終端的傳輸路徑的路由項。

安全網(wǎng)絡(luò)設(shè)計實例計算機網(wǎng)絡(luò)安全網(wǎng)絡(luò)安全策略實現(xiàn)機制■數(shù)據(jù)傳輸過程中,防火墻就是一個互連點對點鏈路和以太網(wǎng)的路由器；■終端通過點對點鏈路和防火墻相連,因此,終端采用的鏈路層協(xié)議是PPP；■由于點對點鏈路是第2層隧道,因此,PPP幀必須被封裝成第2層隧道報文,由于隧道兩端之間采取安全傳輸機制,進行IPSec的封裝過程。

安全網(wǎng)絡(luò)設(shè)計實例計算機網(wǎng)絡(luò)安全網(wǎng)絡(luò)安全策略實現(xiàn)機制VPN數(shù)據(jù)傳輸過程主機入侵防御系統(tǒng)■監(jiān)測服務(wù)器安全狀態(tài)；■檢測進出服務(wù)器的信息流；■控制服務(wù)器中資源的訪問過程；■

限制進程調(diào)用過程。網(wǎng)絡(luò)入侵防御系統(tǒng)■監(jiān)測進出重要終端和服務(wù)器的異常信息流；■對進出重要終端