网络安全方案分析.pptVIP

典型网络安全方案设计;校园网络安全方案设计;;;;;;;;;;;;;;;;;;;;;;;;;;;;; 传感器利用策略来控制其所监测的内容，并对监测到的事件做出响应。设置步骤如下： （1）单击主界面上的“策略”按钮，切换到策略编辑器界面，如图10-24所示，单击工具栏上的“编辑锁定”按钮，如图10-25所示。; 再单击工具栏上的“派生策略”按钮在弹出的窗口中输入新策略的名称，如图10-26所示，单击“确定”按钮。;（3）策略应用。选择需要下发的策略，单击“应用策略”按钮，如下图10-28所示;;任务11.2 企业网络安全方案设计;;;11.2.2 企业网总体设计 1.企业网总体设计拓扑图;企业网络总体拓扑结构如图11-29所示，其部门的IP地址规划如表11-4所示。设备IP地址规划如表11-5所示。;;11.2.3 防火墙系统设计 1.防火墙的部署 在防火墙的部署方式上，类似于区域分割的三角方式，是指将网络分为内部网络（军事化区域）、外部网络和DMZ区域。例如，将Web服务器、邮件服务器、DNS服务器、前台查询计算机等放置在DMZ区域，而内部的文件服务器、数据库服务器等关键应用都放置在内部网络中，从而使它们受到良好的保护，如图11-30所示。;;;11.2.4 虚拟专用网设计 1. VPN系统部署 VPN系统部署的详细拓扑结构如图11-31所示。;;;;;11.2.5 入侵检测系统设计 本方案实现入侵检测系统与防火墙的联动，从而使防火墙可以根据网络运行的状况来动态设置防火墙规则，其部署的方拓扑结构如图11-32所示。;;;;;任务11.3 政府网络安全方案设计;;;;;;;;;;;2．体系结构 本方案基于安全性、稳定性、实用性、高效性、扩展性的设计原则，使用锐捷网络的防火墙RG-WALL160M、VPN网关RG-WALL V160S、入侵检测系统RG-IDS500S和核心交换机RG-S3760E进行构建安全网络，通过各个安全设备在同一网络环境下的全局联动，使网络中的每个设备都在发挥着安全防护作用，从而构成多种设备协同工作的全新安全体系。 地税分局外网网络安全体系结构图如图11-34下所示：;;;;;;2）防火墙系统部署 本方案采用层叠方式部署防火墙，在这个外网设置RG-WALL 160M和RG-WALL V160S两个防火墙，两台防火墙构成一个隔离子网，并将DMZ区域放置在两台防火墙之间，如图11-35所示。;; 3）防火墙方案安全策略 RG-WALL全面支持WEB访问方式，配置防火墙，其防火墙配置Web的主界面如图11-36所示：;;;;2）VPN系统设计 VPN系统结构如图11-37所示：;; 3）VPN系统部署 某地税分局部署1台RG-WALL V1160S VPN安全网关，下属单位和企业用户均通过Internet远程接入内部网络（地税分局外网），通过建立的VPN加密隧道，安全访问地税分局网内的各应用系统（包括B/S和C/S的应用），如：网上报税系统等。 （1）地税分局VPN系统部署 地税分局VPN系统部署使用在线方式部署在核心交换机与出口防火墙之间，如图4-5所示：;; （2）下属单位VPN系统部署 对于下属单位，采用RG-WALL V160S VPN安全网关部署在网络的边界，如图11-39所示，与某地税分局的VPN安全网关建立VPN连接，同时充当防火墙保护本地局域网。RG-WALL V160S VPN安全网关功能相同，所以某地税分局安全网关的各种功能，下属单位部署的安全网关同样具备。; （3）企业接入VPN系统 企业用户只需要在远程接入的PC上安装采用IE浏览器，使用SSL协议和USB KEY（里面存放了CA认证证书）作为身份认证方式接入，即可与地税分局的VPN安全网关建立安全连接，提高安全性保证身份不可仿冒，如图11-40所示。USB KEY让安全级别更上一层楼。对于网络维护人员而言，无需部署和维护客户端软件，极大降低了管理和维护VPN网络的工作量。;;;;; 1）系统网络架构 CA系统能提供完善的功能，包括：证书签发、证书生命周期管理、证书吊销列表（CRL）查询服务、目录查询服务、CA管理、密钥管理和日志审计等全面的功能。 采用CA系统将建设一个CA中心，?CA系统的所有模块安装在同一台服务器上。 CA系统网络架构如图11-41所示：;;;;;; 2）IDS部署 本方案选用RG-IDS500S作为入侵检测系统设备，采用的是基于网络的入侵检测系统的旁路工作方式部署RG-IDS，直接接在中心交换机上，如图11-42所示，用来检测数据包，从中来发现攻击行为或者可疑行为。IDS 设备可以监控网络中流量的情况，并针对异常的流量发起预警。IDS 汇报上来的信息包含源、目的IP，但这些信息对