A05-网络安全设计_图文.pptVIP

网络安全体系结构 in TCP/IP ISO 7498 IATF 网络安全防护技术 in TCP/IP 网络可靠性研究 ISO 7498 IATF信息保障技术框架 IATF标准强调人、技术、操作三个核心原则。 边界 有时边界定义为物理实体，如：人、信息、和信息系统，它们在一个物理区域中。 信息基础设施 在IATF标准中，飞地指位于非安全区中的一小块安全区域。 代表理论是“深度保护战略”。 对手、动机和攻击类型 可能的对手（攻击者）：国家、恐怖分子、罪犯、黑客或企业竞争者。 攻击动机：收集情报、窃取知识产权、或仅仅是为了炫耀。 攻击方法：被动攻击、主动攻击、物理临近攻击、内部人员攻击、分发攻击。 安全威胁的表现形式 信息泄露、媒体废弃、人员不慎、授权侵犯、非授权访问、旁路控制、假冒、窃听、电磁/射频截获、完整性侵犯、截获/修改、物理侵入、重放、业务否认、业务拒绝、资源耗尽、业务欺骗、业务流分析、特洛伊木马程序、后门等。 被动攻击指对信息的必威体育官网网址性进行攻击。特点是偷听或监视信息的传输。 主动攻击是篡改信息来源的真实性、信息传输的完整性和系统服务的可用性。包括中断、伪造、篡改等。 深度保护战略模型 深度保护战略的四个基本领域： 保护局域网计算环境； 保护区域边界； 保护网络和基础设施； 保护支撑基础设施。 深度保护战略体系包含人、技术和操作三个要素 深度保护战略的具体内容 zz 信息安全体系模型研究 附图 网络安全防护技术 安全防护策略 端系统 传输中的加密和认证 NAT和包过滤 安全防护策略 设计内部网络的原则： 应根据部门需要划分子网，并实现子网之间的隔离； 采取安全措施后，子网之间应当可以相互访问。 网络防火墙技术 防火墙是由软件或硬件构成的网络安全系统，用来在两个网络之间实施访问控制策略。 防火墙的功能 只有防火墙安全策略允许的数据，才可以自由出入防火墙，其他数据禁止通过。 防火墙抗攻击，能稳定有效的工作。 防火墙可以记录和统计网络的使用情况。 防火墙应能过滤和屏蔽一切有害的服务和信息。 防火墙应能隔离网络中的某些网段。 防火墙设置的基本安全准则 一切未被允许的访问就是禁止的。 一切未被禁止的访问就是允许的。 防火墙的不足 不能防范不经过防火墙的攻击。 不能防范恶意的知情者或内部用户的误操作。 不能防止受病毒或木马文件。 由于防火墙不检测数据的内容，因此防火墙不能防止数据驱动式的攻击。 防火墙的类型 软件防火墙功能强于硬件防火墙 硬件防火墙性能高于软件防火墙。 包过滤防火墙产品： 以以色列Checkpoint防火墙、 美国Cisco公司PIX防火墙。 代理型防火墙产品： 美国NAI公司Gauntlet防火墙。 软件防火墙 个人级软件防火墙： 瑞星防火墙产品。 企业级软件防火墙： 微软公司ISA Server CheckPoint公司FW等。 硬件防火墙 大多数企业级防火墙都基于PC架构。 硬件防火墙产品： 美国思科公司：Cisco PIX 美国杰科公司：NetScreen 中国天融信公司：网络卫士 中国华为公司防火墙等 华为1800F硬件防火墙 包过滤防火墙 包过滤防火墙的弱点： 过滤的依据只是网络层和传输层的有限信息，安全要求不可能充分满足。 随着过滤规则的增加，性能会受到很大影响。 缺少审计和报警机制。 代理型防火墙 代理型防火墙是工作在应用层。 优点： 可以对网络中任何一层的数据进行筛选和保护。 缺点： 速度较慢，当网关吞吐量较高时，容易成为内网与外网之间的瓶颈。 代理服务器工作流程 PIX防火墙配置案例 DMZ网络安全设计 DMZ DMZ的功能与安全策略 DMZ区域内通常放置一些不含机密信息的公用服务器，如Web、Email、FTP等服务器。 DMZ并不是网络组成的必要部分。 DMZ网络访问控制策略：基本原则 设计最小权限，定义允许访问的网络资源和网络的安全级别。 确定可信用户和可信任区域。 明确网络之间的访问关系，制定访问控制策略。 DMZ网络拓扑结构 堡垒主机防火墙结构 单防火墙DMZ网络结构 双防火墙DMZ网络结构 IDS和IPS网络安全设计 IDS入侵检测技术 IDS部署 IPS 入侵检测原理 入侵检测系统 入侵检测过程 入侵检测系统本质上是一种“嗅探设备”。 信息收集、信息预处理、数据检测分析和响应等。 IDS在网络设计中的部署 IDS存在的问题 误报/漏报率高 没有主动防御能力 缺乏准确定位和处理机制 性能普遍不足 IDS系统产品选择 最大处理流量（以pps为单位衡量） 产品的扩展性 是否通过了国家权威机构的评测 IPS入侵防御技术 IPS是一种主动、积极的入侵防御系统，IPS不但能检测入侵的发生，并且能实时终止入侵行为