网络规划与设计(10网络安全).ppt

网络安全设计,企业网络已经成为企业成功的支撑设施，必须采用合理的安全措施来保护网络，以确保数据的高可用性、完整性和机密性攻击变得越来越复杂,网络安全设计流程,辨明网络资产分析安全风险分析安全需求和折衷开发安全规划定义安全策略开发安全策略实施步骤开发技术实施策略从用户、管理者和技术人员处获得认可培训用户、管理者和技术人员实施技术策略和安全流程测试安全性、发现问题及时更新系统有计划、周期性地审查日志，维护网络安全，对故障进行响应,辨明网络资产和风险,网络资产包括网络主机、互连设备、数据；知识产权、商业机密和公司的声誉“数据”安全,安全策略与流程,安全策略规定了组织结构内员工、管理者和技术人员在安全方面各自承担的义务，以及实现这些义务的机制很多企业都要求员工签订有关遵守安全策略的协定访问策略责任策略认证策略隐私策略计算机技术购买策略安全流程包括了配置、审计以及维护的流程；还应包括故故障应急机制,用户安全意识培训,使用者守则密码使用和保密可能通过电子邮件传输的信息，包括敏感性和机密性的信息的规定外部访问措施。规定外部使用者可以访问的内部资源和信息，以及他们可以对数据实施何种操作下载与病毒防护原则商务活动可访问的网站，或者公用设备专用知识产权、版权、专利权或者软件注册原则与企业文化有关的种族、道德和社会问题对员工上网的监控,恶意软件Malware,病毒是一个会被触发产生破坏性结构的程序蠕虫一种可以自我复制的病毒。蠕虫具有扫描网络和传染邻近工作站的能力木马通常假装成一个无害的程序，而事实上它包含一段具有破坏性的攻击代码,Hacking,Hacking表示直接对网络和系统进行的恶意活动白帽黑客完全掌握了黑客技术和理论的网络专家可以被聘请来对企业网络进行渗透性测试测试IT部门探测和处理攻击的能力,安全弱点,安全弱点被定义为某种系统特征，该特征允许某人在次佳方式下使用系统或允许未授权的用户对系统进行部分或完全的控制设计问题人为因素实现问题,设计问题,由于操作系统、应用软件或协议的缺陷而造成的关于功能的固有问题,人为因素,主要指管理员和用户的错误，例如不安全的用户账户、不安全的设备或者是开放式设备（安全性没有被加固的设备）安全加固，比如，关闭那些不使用的端口和对某些特性的功能进行限制,实现问题,实现问题涉及安全策略的创建、配置和执行，例如，口令的管理策略、远程访问策略、Internet使用策略、email策略等,安全威胁,侦察攻击访问攻击信息泄漏攻击拒绝服务攻击,侦察攻击,侦察攻击包括情报收集，黑客经常使用的工具如网络扫描器或报文分析器Ping扫描网络和端口扫描协议栈指纹扫描枚举（网络拓扑）,访问攻击,利用侦察攻击所发现的安全弱点侵入收集收集口令等敏感信息安置后门占据隐藏修改系统日志，消除攻击痕迹,信息泄露攻击,使用了复杂的欺骗手段使被攻击者自愿地提供了信息社会工程网络钓鱼,拒绝服务攻击,企图造成网络或Internet资源变得不可用SYN FLOODDos攻击和DDos攻击,网络安全技术降低安全风险,物理安全威胁防御病毒防护流量过滤入侵监测和防御内容过滤安全通信加密的虚拟专用网SSL文件加密身份认证和信任认证、授权和记帐网络准入控制公钥基础设施网络安全最佳措施网络安全管理评估与审计安全策略,物理安全,物理安全指通过物理隔离的手段实现对关键网络资源的保护。保护网络免受恐怖袭击或者自然、人为灾害事件的破坏机房建设门禁系统人员职守不间断电力供应火警、灭火、排水系统空调。,病毒防护,专业的防病毒产品防范重点主机：工作站和服务器E-mail服务器网络：IDS/IPS不同品牌的防病毒产品各有所长,流量过滤,防火墙技术,入侵检测和防御,IDS和IPS主要是负责保护边界、外部网络和不断增长的内部网络分析进入网络的每个报文来监测网络流量,入侵检测系统,IDS扫描网络流量以寻找恶意的活动，放置在内部网络的管理服务器把IDS发送的可疑活动的告警记录到日志中监视内容攻击特征流量异常协议异常基于网络的IDS（NIDS）基于主机的IDS（HIDS）,基于网络的IDS,理解“隐蔽接口”,基于主机的IDS,HIDS通常安装在关键业务的设备，比如，服务器，也可以安装在桌面电脑上Cisco提供的HIDS解决方案叫做思科安全代理（CSA），CSA严密地监视进入端点设备的代码行为，并且在防御攻击的同时向管理服务器报告事件的发生,入侵防御系统IPS,IPS在检测到可疑活动的基础上，采取一些补救措施向管理控制台服务器告警向信息源发送TCP重置（RST）包向防火墙发送命令，请求防火墙临时阻断可疑IP，以躲避攻击源的攻击“虚警”,内容过滤,Web浏览过滤URL过滤Email过滤,安全通信,加密的VPNSSL文件加密,加密的VPN,站点站点VPN远程访问VPNIPSecVPN功能集成在路由器/防火墙中,SSL,点到点加密HTTPSSSLVPN远程访问VPN,文件加密,PGP安全公文包。,身份和信任,认证、授权和记帐功能AAA网络准入控制公钥基础设施数字证书,强身份认证,双因素认证用户知道的东西：口令、PIN、私有密钥等用户具备的东西：口令卡、安全卡、硬件密钥等用户属于的特征：指纹、视网膜、声音、面孔,网络准入控制（NAC）,安全策略,互联网使用策略邮件使用策略远程访问策略密码管理策略软、硬件安装策略物理安全策略业务连续性策略,安全评估与审计,基于syslog的集中审计漏洞扫描与渗透性测试,模块化网络安全设计,网络安全是多层次的，需要多种技术的配合使用Cisco的SAFE蓝图因特网连接远程接入VPN网络业务和管理服务器群组和用户业务无线网络,保护Internet连接,防火墙过滤防御攻击（入侵检测）选择具有认证功能的路由选择协议NAT用于保护内网的地址规划公共服务器保护DMZ安全增强电子商务服务器保护,保护远程访问和虚拟专用网VPN,IPSec VPN远程访问模式预共享密钥数字证书XAUTHL2TP over IPSecSSLVPN数字证书用户名/口令RADIUSLDAP。,保护网络业务和网络管理,网络互连设备安全优化设备安全管理使用ssh网络管理系统部署在防火墙后独立的DMZ中网管工作站操作系统,保护服务器集群,IDS限制服务器之间的连接防病毒安全更新服务器系统安全数据,保护用户业务,802.1X接入认证桌面安全防病毒个人防火墙安全更新安全意识,保护无线网络,为WLAN设置独立的子网或者VLAN，有利于在有线网和无线网之间安全过滤策略配置所有无线桌面电脑必须安装防病毒软件和个人防火墙软件，并做好安全更新企业的无线终端用户使用VPN访问企业内网,801.1x+EAP802.11X认证基于设备EAP基于用户双向认证、动态WEP密钥802.11iTKIP:临时密钥完整性协议WPA使用802.1XEAP作为认证手段，采用TKIP进行数据加密在无线客户机上安装VPN,思科SAFE蓝图,网络管理模块HIDS病毒防护OTP服务器访问控制服务器网络日志服务器2层交换机核心模块3层交换机分布模块VLAN,建筑物模块2层交换机主机病毒扫描网络准入控制服务器模块3层交换机HIDS系统安全边界分布模块3层交换机,了解内容,SSLVPNBS7799-1英国提出的标准信息安全管理实施规则信息安全管理体系规范,