第1章 网络安全规划.pptx

网络安全与攻防教研室主讲人张鑫计算机网络安全

项目背景

………………o

项目分析

……o

项目需求

………o

项目规划

……o

第1章网络安全规划

1.1项目背景

□企业网络概况：

网络覆盖整个厂区，机房位于智能大厦3层(共15层)

“星形+树形”拓扑结构。

接入用户数量500个，通过路由器接入Internet。

会议室、展厅部署无线漫游网络。

已部署Web、文件、打印、邮件、活动目录等服务器。

网络服务器系统平台为WindowsServer2003/2008。

分支机构通过VPN远程接入总部局域网。

项目背景

生产区

会议室

路由器

Internet接入区

无线访间点

网管区

网普技换机ciscohaas无线网控制器

1000M

100M

核心交换机l

服务器区

展示厅

办公区

防火墙

ISP

1.2项目分析

■1.2.1安全设备分布

1.2.2网络设备安全现状

■1.2.3服务器部署现状

■1.2.4客户端计算机

1.2.5无线局域网安全现状

1.2.1安全设备分布

a1.防火墙

网络防火墙部署在网络边缘，既可以作为Internet接入设备，又可以防护局域网安全。在会议室、展厅等公共环境接入局域网处部署网络防火墙，可以有效隔离公共环境中可能存在的安全风险。

□2.IPS

■IPS部署在Internet接入区的路由器和核心交换机之间，用于扫描所

有来自Internet的信息，以便及时发现网络攻击和制定解决方案。

■3.IDS

IDS部署在安全需求最高的服务器区，用于实时侦测服务器区交换机转发的所有信息。

3.CiscoSecurityMARS

MARS直接连接在核心交换机上，用于收集经过核心交换机的所有数据信息，自动生成状态日志，供管理员调阅。

1.2.2网络设备安全现状

1.交换机和路由器安全配置

交换机安全配置包括VLAN划分、Enable密码、Telnet密码、流量控制、远程监控、802.1x安全认证等。路由器安全配置包括静态路由、访问控制列表、NAT等。

□2.办公设备安全配置

通过为不同的用户群体分配不同的访问权限，避免其对打印机、传真机等办公设备的滥用。

1.2.3服务器部署现状

网络服务器包括域控制器、DHCP服务器、文件服务器、打印服务器、传真服务器、网络办公平台、数据库服务器等，其中有多种网络服务合用一台服务器，通过单独的交换机高速连接至核心交换机，完全采用链路冗余技术双线连接，确保连

接的可靠性。

1.2.4客户端计算机

客户端以Windows系统为主，主要安全措施包括设置登录密码、启用个人防火墙、安装杀毒软件、启用WindowsUpdate等。通过部署组策略、WSUS服务器、防病毒服务器、NAP系统等可以大大提升客户端计算机的安全性。

1.2.5无线局域网安全现状

a1.WEP密钥的发布问题

802.11本身并未规定密钥如何分发，一般手动设置，并长期固定使用4个可选密钥之一，不仅繁琐而且安全性低。

2.WEP用户身份认证方法的缺陷

■-WEP加密采用开放式认证系统，入侵者可以通过抓住加密前后的询问消息，加以简单的数学运算就可得到共享密钥，进入WLAN。

■3.SSID和MAC地址过滤

■SSID本身就是明文信息，很容易被获取，而MAC地址是可以被伪造的，所以这两种方式都不够安全性。

a4.WEP加密机制的天生脆弱性

■WEP加密机制的天生脆弱性是受网络攻击的最主要原因。

1.3项目需求

□1.3.1网络安全需求

隔离来自Internet的所有网络风险。■通过汇聚交换机部署内部网络安全。

划分VLAN做到部门间信息安全。

通过加密和身份验证做到无线网络安全。

■实时监控设备运行状态，及时发现安全隐患。

■1.3.2网络访问安全需求

客户端更新需要集中管理。

网络病毒不得不防。

■网络访问控制需求。

远程访问安全的保护。

1.4项目规划

■1.4.1服务器安全规划

■1.4.2客户端安全规划

■1.4.3网络设备安全规划

■1.4.4无线设备安全规划

■1.4.5安全设备规划

■1.4.6局域网接入安全规划

1.4.7Internet接入安全规划

■1.4.8远程接入安全规划

■1.4.9网络可靠性规划

1.4.1服务器安全规划

1.服务器硬件安全

(1)增加内存和硬盘容量。(2)定期为服务器除尘。

(3)控制机房温度和湿度。

2.操作系统安全

(1)采用高安全性操作系统。(2)减少系统漏洞。

(3)