网站大量收购闲置独家精品文档,联系QQ:2885784924

部署多dmz区的安全企业网络.doc

  1. 1、本文档共12页,可阅读全部内容。
  2. 2、有哪些信誉好的足球投注网站(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
  3. 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
  4. 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
部署多dmz区的安全企业网络

实验题目 部署多DMZ区的安全企业网络 实验任务 实验目的 ? ??? 企业数据库做为企业网络重点保护的资源,它保存着大量的企业所独有的机密数据,是企业所要保护的主要对象。然而一些企业由于业务需要(它们需要通过服务网络使其信息被公众访问),在严格保护企业数据库的同时,仍要向Internet发布部分数据信息,也就是说,数据库对公共是开放的(即使是部分或有相当严格的权限限制)。 ??? 一些中小企业利用传统的三宿主防火墙(DMZ屏蔽子网内部的防火墙)构建企业网络结构如图3-1所示: 图3-1 ??? 防火墙分别和三个独立的网络相连(因此需要三个网卡),这三个网络如下所述: 外部网络——Internet或者公司分部 DMZ屏蔽子网 受保护的局域网 ??? 该网络结构存在的风险之一就是防火墙对DMZ提供单层防护。也就是说,如果黑客突破了该层防护,整个DMZ都会暴露在黑客面前,尤其是数据库服务器将面临巨大的威胁。 ??? 部署多DMZ区的安全企业网络,就是针对上述问题提出的一种最有效的深层防御措施,通过设置多重防火墙(或支持多重防御的防火墙)实现多重防御。并且要对企业网络进行多样的安全加固,包括建立VPN通道、不同区域IDS部署以及利用蜜罐实现黑客追踪取证。 ??? 本实验注重培养学生科学分析、实践操作和应用创新能力,强化学生掌握企业网络结构的体系构成和各种网络安全设备的配置、部署与联动操作。学生还可以在此基础上提出更合理的网络安全解决方案,进行安全加固。 实验需求 ? ??? 部署双DMZ区的企业网络结构,数据库服务器由两个防火墙(或支持双重防御的单个防火墙)来提供防护。一个防火墙可以监控内网、DMZ和Internet之间的通信,另外一个防火墙可以监控DMZ和DMZ2之间的通信,如图3-2所示。 图3-2 ??? 部署需求如下: ??? (1)区域划分需求 ??? 双防火墙划分四个网络区域:内网(受保护的局域网)、DMZ(直接对外信息发布的服务区域)、DMZ2(间接对外发布的、受保护的服务区域)和公网(Internet)。 ??? (2)信息流向需求 公网能够与DMZ通信(请求发起者); DMZ能够与DMZ2通信; 公网不能够直接与DMZ2通信; 内网能够与公网通信; 内网能够与DMZ通信; 其它信息流向均禁止。 ??? (3)VPN需求 ??? 允许Internet用户通过VPN连接到内网区域。VPN服务既可集成至第一重防御防火墙中,也可以由连接在公网路由器与企业内网间的VPN网关提供(独立的VPN网关)。 ??? (4)网络监测需求 公网路由器与第一重防御防火墙间部署网络流量监测器,对数据流量进行监测、网络协议进行分析,访问站点进行统计。 DMZ部署IDS,其策略以检测针对Web、FTP等DMZ提供的服务攻击为主。 DMZ2部署IDS,其策略以检测针对数据库的攻击为主。 ??? (5)入侵取证需求 ??? 公网路由器与第一重防御防火墙间部署蜜罐系统,具有一定程度的入侵搜集、捕获与取证能力。 实验学时 ? 4×5学时 实验要求 ? ??? (1)允许在图3-2基础之上使用其它网络设备,如独立的VPN网关、代理服务器等。 ??? (2)实验中可以不考虑公网路由的部署。 ??? (3)DMZ2中的数据库服务器可以安装开源MySQL数据库。 ??? (4)Web服务器使用服务器脚本(如ASP、JSP、PHP、Perl等)访问数据库服务器。 ??? (5)填写实验报告,提交实验报告及相关实验设计文档。 设计思想 ? 图3-3 ??? 利用两个支持单DMZ区的防火墙搭建四区域的网络结构,实现双重防御。使用第一重防火墙搭建传统的(包含单个DMZ屏蔽子网)的网络结构,划分内网、DMZ和公网三个区域。使用第二重防火墙搭建DMZ2,划分DMZ与DMZ2两个区域。第二重防火墙的公网接口接入到一重防御的DMZ区中,第二重防火墙的DMZ区接口接入到二重防御DMZ2区中。 ??? 在公网路由器与第一重防火墙之间部署ethereal网络流量监测器和Honeyd蜜罐主机,其中网络流量监测器负责监测外部访问企业的数据流量,分析访问协议,统计访问站点等,Honeyd蜜罐主机通过仿真企业Web服务器实现入侵搜集、捕获与取证。 ??? 公网用户通过一重防火墙(支持IPSec VPN网关功能)可与内网建立VPN隧道,进行安全通信。 ??? 在第一重防火墙DMZ区部署Web服务器(用于Web信息发布)、Snort IDS(监控检测DMZ区网络访问行为)。 ??? 在DMZ2中部署SQL数据库服务器,DMZ区Web服务器通过后台服务器脚本访问数据库服务器,进行数据查询操作。同时,在该区部署Snort IDS(监控检测DMZ2区数据库访问行为)。 技术分析 ? 1

文档评论(0)

shenlan118 + 关注
实名认证
内容提供者

该用户很懒,什么也没介绍

1亿VIP精品文档

相关文档