A05-网络安全设计_图文.pptVIP

  1. 1、本文档共70页,可阅读全部内容。
  2. 2、有哪些信誉好的足球投注网站(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
  3. 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
  4. 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
  5. 5、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
  6. 6、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们
  7. 7、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
  8. 8、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
查看更多
网络安全体系结构 in TCP/IP ISO 7498 IATF 网络安全防护技术 in TCP/IP 网络可靠性研究 ISO 7498 IATF信息保障技术框架 IATF标准强调人、技术、操作三个核心原则。 边界 有时边界定义为物理实体,如:人、信息、和信息系统,它们在一个物理区域中。 信息基础设施 在IATF标准中,飞地指位于非安全区中的一小块安全区域。 代表理论是“深度保护战略”。 对手、动机和攻击类型 可能的对手(攻击者):国家、恐怖分子、罪犯、黑客或企业竞争者。 攻击动机:收集情报、窃取知识产权、或仅仅是为了炫耀。 攻击方法:被动攻击、主动攻击、物理临近攻击、内部人员攻击、分发攻击。 安全威胁的表现形式 信息泄露、媒体废弃、人员不慎、授权侵犯、非授权访问、旁路控制、假冒、窃听、电磁/射频截获、完整性侵犯、截获/修改、物理侵入、重放、业务否认、业务拒绝、资源耗尽、业务欺骗、业务流分析、特洛伊木马程序、后门等。 被动攻击指对信息的必威体育官网网址性进行攻击。特点是偷听或监视信息的传输。 主动攻击是篡改信息来源的真实性、信息传输的完整性和系统服务的可用性。包括中断、伪造、篡改等。 深度保护战略模型 深度保护战略的四个基本领域: 保护局域网计算环境; 保护区域边界; 保护网络和基础设施; 保护支撑基础设施。 深度保护战略体系包含人、技术和操作三个要素 深度保护战略的具体内容 zz 信息安全体系模型研究 附图 网络安全防护技术 安全防护策略 端系统 传输中的加密和认证 NAT和包过滤 安全防护策略 设计内部网络的原则: 应根据部门需要划分子网,并实现子网之间的隔离; 采取安全措施后,子网之间应当可以相互访问。 网络防火墙技术 防火墙是由软件或硬件构成的网络安全系统,用来在两个网络之间实施访问控制策略。 防火墙的功能 只有防火墙安全策略允许的数据,才可以自由出入防火墙,其他数据禁止通过。 防火墙抗攻击,能稳定有效的工作。 防火墙可以记录和统计网络的使用情况。 防火墙应能过滤和屏蔽一切有害的服务和信息。 防火墙应能隔离网络中的某些网段。 防火墙设置的基本安全准则 一切未被允许的访问就是禁止的。 一切未被禁止的访问就是允许的。 防火墙的不足 不能防范不经过防火墙的攻击。 不能防范恶意的知情者或内部用户的误操作。 不能防止受病毒或木马文件。 由于防火墙不检测数据的内容,因此防火墙不能防止数据驱动式的攻击。 防火墙的类型 软件防火墙功能强于硬件防火墙 硬件防火墙性能高于软件防火墙。 包过滤防火墙产品: 以以色列Checkpoint防火墙、 美国Cisco公司PIX防火墙。 代理型防火墙产品: 美国NAI公司Gauntlet防火墙。 软件防火墙 个人级软件防火墙: 瑞星防火墙产品。 企业级软件防火墙: 微软公司ISA Server CheckPoint公司FW等。 硬件防火墙 大多数企业级防火墙都基于PC架构。 硬件防火墙产品: 美国思科公司:Cisco PIX 美国杰科公司:NetScreen 中国天融信公司:网络卫士 中国华为公司防火墙等 华为1800F硬件防火墙 包过滤防火墙 包过滤防火墙的弱点: 过滤的依据只是网络层和传输层的有限信息,安全要求不可能充分满足。 随着过滤规则的增加,性能会受到很大影响。 缺少审计和报警机制。 代理型防火墙 代理型防火墙是工作在应用层。 优点: 可以对网络中任何一层的数据进行筛选和保护。 缺点: 速度较慢,当网关吞吐量较高时,容易成为内网与外网之间的瓶颈。 代理服务器工作流程 PIX防火墙配置案例 DMZ网络安全设计 DMZ DMZ的功能与安全策略 DMZ区域内通常放置一些不含机密信息的公用服务器,如Web、Email、FTP等服务器。 DMZ并不是网络组成的必要部分。 DMZ网络访问控制策略:基本原则 设计最小权限,定义允许访问的网络资源和网络的安全级别。 确定可信用户和可信任区域。 明确网络之间的访问关系,制定访问控制策略。 DMZ网络拓扑结构 堡垒主机防火墙结构 单防火墙DMZ网络结构 双防火墙DMZ网络结构 IDS和IPS网络安全设计 IDS入侵检测技术 IDS部署 IPS 入侵检测原理 入侵检测系统 入侵检测过程 入侵检测系统本质上是一种“嗅探设备”。 信息收集、信息预处理、数据检测分析和响应等。 IDS在网络设计中的部署 IDS存在的问题 误报/漏报率高 没有主动防御能力 缺乏准确定位和处理机制 性能普遍不足 IDS系统产品选择 最大处理流量(以pps为单位衡量) 产品的扩展性 是否通过了国家权威机构的评测 IPS入侵防御技术 IPS是一种主动、积极的入侵防御系统,IPS不但能检测入侵的发生,并且能实时终止入侵行为

文档评论(0)

kfcel5889 + 关注
实名认证
文档贡献者

该用户很懒,什么也没介绍

1亿VIP精品文档

相关文档