网络工程设计关键技术.doc

  1. 1、本文档共16页,可阅读全部内容。
  2. 2、有哪些信誉好的足球投注网站(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
  3. 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
  4. 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
网络工程设计关键技术网络工程设计关键技术

网络安全设计技术分析 摘 要 以Internet为代表的信息化浪潮席卷全球,信息网络技术的应用日益普及和深入,伴随着网络技术的高速发展,各种各样的安全问题也相继出现,校园网被“黑”或被病毒破坏的事件屡有发生,造成了极坏的社会影响和巨大的经济损失,网络安全日益成为人们关注的焦点。一个好的网络安全设计往往是多种方法适当综合的结果。网络安全设计技术包括IDS网络安全设计、IPS网络安全设计、ACL网络安全设计、VPN网络安全设计等。 关键词 防火墙;DMZ设计;网络安全设计 1 网络安全体系与技术 1.1 IATF网络安全体系结构 IATF(信息保障技术框架)标准是美国国家安全局(NSA)组织世界安全专家制定的。它从整体和过程的角度看待信息安全问题,代表理论是“深度保护战略”。IATF标准强调人、技术和操作3个核心原则,关注4个信息安全保障领域,即保护网络和基础设施、保护边界、保护计算环境和保护支撑基础设施。IATF最重要的设计思想:在网络中进行不同等级的区域划分与网络边界保护。 1.2 TCP/IP各层安全技术 网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改和泄漏,系统能连续、可靠地正常运行,网络服务不中断。在TCP/IP体系结构中,各个层次的安全措施有所不同,常用安全技术如表1-1所示。 表1-1 TCP/IP各个层次常用安全保护技术 网络层次硬件安全保护技术软件安全保护技术应用层较少,如数据加密机文件加密、数字签名、安全认证、安全补丁、AAA、病毒防护、防火墙传输层SSL加密机、防火墙软件SSL、TLS、防火墙网络层防火墙、IDS、IPS、VPN网关、ACL、NAT软件防火墙、软件VPN网关、安全认证接口层链路加密网卡、链路加密机MAC地址绑定、VLAN划分物理隔离、线路屏蔽、设备屏蔽、设备冗余极少1.3 网络信息加密技术 信息加密技术是利用数学或物理手段,对电子信息在传输过程中和存储体内进行保护,以防止泄漏的技术。加密系统是一个复杂的系统,它包括4个组件:软件组件:负责各功能子???统的协调和用户交互;加密算法:根据一定规则对输入信息进行加密处理;协议:加密系统和运行环境需要;加密密钥:用户加密/解密信息所需的钥匙。常用加密算法有对称加密;非对称加密;Hash(哈希)加密。加密系统在网络中有3个基本的应用:存储、传输和认证。因此,在选择加密系统应该考虑到网络的业务流程和业务的主要安全威胁,并综合考虑产品的实现、性价比、部署后产生的影响等因素。例如根据业务要求选择加密系统;硬件加密系统和软件加密系统的选择;加密系统本身的安全性。 2 防火墙和DMZ设计 2.1 防火墙的类型和功能 所谓防火墙指的是一个有软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障。防火墙技术,最初是针对 Internet 网络不安全因素所采取的一种保护措施。顾名思义,防火墙就是用来阻挡外部不安全因素影响的内部网络屏障,其目的就是防止外部网络用户未经授权的访问。它是一种计算机硬件和软件的结合,使Internet与Internet之间建立起一个安全网关(Security Gateway),从而保护内部网免受非法用户的侵入,防火墙主要由服务访问政策、验证工具、包过滤和应用网关4个部分组成,防火墙就是一个位于计算机和它所连接的网络之间的软件或硬件(其中硬件防火墙用的很少只有国防部等地才用,因为它价格昂贵)。该计算机流入流出的所有网络通信均要经过此防火墙。 按照防火墙的应用形式,可分为硬件防火墙和软件防火墙。硬件防火墙可以是一台独立的硬件设备(如Cisco PIX);也可以在一台路由器上,经过配置成为一台具有安全功能的防火墙。软件防火墙是运行在服务器主机上的一个软件(如ISA Server)。硬件防火墙在功能和性能上都优于软件防火墙,但是成本较高。 防火墙具有以下功能:所有内部网络和外部网络之间的数据交换,都可以而且必须经过防火墙。只有符合防火墙安全策略的数据,才可以自由出入防火墙。防火墙受到攻击后,应能稳定有效地工作。应当记录和统计网络的使用情况。有效地过滤、筛选和屏蔽有害服务和数据包。能隔离网络中的某些网段,防止一个网段的故障传播到整个网络。 2.2 DMZ的功能和安全策略 2.2.1 DMZ(隔离区/非军事区)的基本结构和功能 DMZ设立在非安全系统与安全系统之间的缓冲区。DMZ的目的是将敏感的内部网络和提供外部访问服务的网络分离开,为网络提供深度防御。 2.2.2 DMZ访问安全策略 DMZ的设计基本原则:设计最小权限,例如定义允许访问的网络资源和网络的安全级别;确定可信用户和可信任区域;明确各个网络之间的

文档评论(0)

ganqludp + 关注
实名认证
内容提供者

该用户很懒,什么也没介绍

1亿VIP精品文档

相关文档