网络安全架构设计和网络安全设备的部署ppt课件

防火墙在此处的功能： 1、工作子网与外部子网的物理 隔离 2、访问控制 3、对工作子网做NAT地址转换 4、日志记录
内部子网与DMZ区的访问控制
内部WWW 一般子网 管理子网 重点子网 内部工作子网
WWW Mail DNS DMZ区域
发起访问 请求
合法请求则允 许对外访问
发起访问 请求
进行访 问规则 检查
传统安全防护思想——头疼医头，脚痛医脚
安全的 组织保障
密码机
TEMPEST
基本 安全机制
安全应用
Windows 安全
CA认证
防病毒
网络管理 物理隔离卡
安全 数据库
LAN/WAN 的安全
防火墙
个人机安全 保护
外网互连 安全
安全审计
UNIX 安全 操作系统 入侵检测
PKI
PMI
信息安全的基本概念
•信息安全的内涵和外延是什么？
数据完整性（S） 数据保密性（S） 备份与恢复（A）
信息安全体系架构
组织体系 Organization
集 服开 供 成 务发 应 商 商商 商
安全决策机构
安全执行机构 安全响应小组
安全组织架构
主管部门
管理体系 Managemen
t
安全策略方针 角色职责矩阵
安全通报机制 安全人员管理
教育培训计划 策略制定发布
实时检测
实时地监视、分析网络中所有的数据报文 发现并实时处理所捕获的数据报文
安全审计
对系统记录的网络事件进行统计分析 发现异常现象 得出系统的安全状态，找出所需要的证据
主动响应
主动切断连接或与防火墙联动，调用其他程序处理
入侵检测系统
工作原理：实时监控网络数据，与已知的攻击手段进行匹 配，从而发现网络或系统中是否有违反安全策略的行为和 遭到袭击的迹象。
进行访 问规则 检查
Internet 区域 发起访问请求
将访问记录 写进日志文 件
防火墙在此处的功能： 1、DMZ网段与外部子网的物理隔离 2、访问控制 3、对DMZ子网做MAP映射 4、日志记录
防火墙的不足
防火墙并非万能，防火墙不能完成的工作：
源于内部的攻击 不通过防火墙的连接 完全新的攻击手段 不能防病毒
禁止对工 作子网发 起连结请 求
边界路由器
Internet
Internet 区域
将访问记录 写进日志文 件
DMZ区域与外网的访问控制
内部WWW 一般子网 管理子网 重点子网 内部工作子网
WWW Mail DNS DMZ区域
发起访问 请求
合法请求则允 许对外访问
边界路由器
Internet
禁止对外 发起连结 请求
面对众多安全威胁该如何防范？
系统 漏洞
弱点 扫描
恶意 代码
窃听
误操 作
混合 攻击
网站 挂马
DoS 攻击 黑客 入侵
口令 暴解
后门
跨站 脚本
SQL 注入
系统 故障
自然 灾害
跨站 脚本
蠕虫 病毒
木马
轻则： 系统不稳定 网络或业务访问缓慢 成为攻击跳板 造成信誉影响 。。。
重则： 业务不可访问 网络中断、不可用 系统宕机 数据被窃取、篡改 造成经济损失 导致行政处罚或刑事责任 。。。
监听
企业服务上
级域
安全防护业体务审系计5
报数据库
入侵防御3
融合数据中 心数据库
防火墙11
交换机15
业务审计组4
监听
访问控制 中心交换机4
公众服务域
防火墙13 交换机13
数据区
传输加密 NSAE应用安全通信网关1
协同办公与重 大项目周期数
据库
交换机12
流量清洗 NSAE应用安全通信网关2
内部服务域
服务 信息发布门户
Web防火墙1 交换机组14
一体化安全政运务营外中网心区域
应用区
应用区
路由器2
路由器1
移动办公 应用
应用服务器
安全审计中心 应用门户
应用服务器
邮件应用
服务器 负载均衡
链路负载
防火墙5
均衡1
安全运维中心
防火墙1 病毒网关1
应用区 互联网区域
财务应用 应用服务
数据区
入侵检测4
漏扫引擎4
等保二
防病毒网关2
）
流控1
预警响应体系 互联网管控1
交换机1
等保二级域 数据区
入侵行为
入侵防御2
入侵防御1
防火墙6
深入检测 入侵检测1
精确阻断
防火墙2 交换机2
等保二级域
漏扫引擎1
等保二级域
漏洞发现 中心交换机2 防火墙4 中心交换机1
入侵检测2 交换机4
预警响应 业务审计1 防火墙3
等保二级域
交换机n 运维管控1 交换机3
企业服务上报 数据服务器
交换机7
等保二级域
应用服务器
融合数据中 心Web应用
数据区
GIS应用服务器 三 级
Gis数据库 业 务
Gis数据库
区
Gis 数据
交换
GIS应用服务器
数据库
数据库 本地/异 地备份 服务器
重大项目管理
等保二级域
交换机6
等 保 二 交换机10 级
域
入侵检测3 防火墙组10 业务审计3
10.1.1.1 --- 10.1.1.10
• 每个客户端动态地在地址池中为VPN会话获取地址
• 客户端先得拨号（163/169）得到一个公网地址 ，
然后和公司的防火墙设备利用PPTP/L2TP协议进行VPN的建立
• 建立VPN 的用户可以访问公司内部网络的所有资源，
就象在内部网中一样
• 客户端不需要附加软件的安装，简单方便
远程局域 网络
单个 用户
分支机构 VPN
Gateway
ISP Modems
Internet
总部
VPN Gateway
总部 网络
VPN 可以省去专线租用费用或者长距离电话费用，大大降低成本 VPN 可以充分利用 internet 公网资源，快速地建立起公司的广域连接
传统VPN联网方式
VPN设备
公共网络
VPN设备 办事处/SOHO
VPN通道
VPN设备
公司总部
VPN client
内部网
VPN 解决方案
合作伙伴
虚拟私有网
Internet
远程访问
分支机构
基于PPTP/L2TP的拨号VPN
1.1.1.1 2.2.2.2
3.3.3.3
• 在Internal 端网络定义远程地址池
Dial-Up NAT Pool 10.1.1.0/24
使用方式：作为防火墙后的第二道防线。
入侵检测系统
网络安全架构设计和网络 安全设备的部署
ppt课件
1
合理分域，准确定级
• 信息系统等级保护以系统所处理信息的最高重要程度来确定 安全等级 • 在合理划分安全域边界安全可控的情况下，各安全域可根据 信息的最高重要程度单独定级，实施“分域分级防护”的策略， 从而降低系统建设成本和管理风险 • 信息系统安全域之间的边界应划分明确，安全域与安全域之 间的所有数据通信都应安全可控 • 对于不同等级的安全域间通信，应实施有效的访问控制策略 和机制，控制高密级信息由高等级安全域流向低等级安全域。
机密性 完整性 •什么样的系统是安全的？ 可用性 •信息安全保障的目标是什么？
可控性 不可抵赖性 可审计性
信息系统等级保护标准
GB/T 17859系列标准
技术要求
物理安全
网络安全
主机安全
应用安全
数据安全
物理位置的选择（G） 物理访问控制（G）
防盗窃和破坏（G） 防雷/火/水（G） 防静电（G） 温湿度控制（G） 电力供应（A） 电磁防护（S）
网络审计 业务审计
终端审计 运维审计
接
入
漏
准
病
数据审计 合规审计
入
侵
洞
入
毒
安
检
管
管
监
采集存储 统
巡检管理
服务商管理
统计查询
组织人员管理
应急管理
响应处置
运行体系 Operation
风险评估 优化加固
安全整改 日常维护
安全巡检 安全报告
项目管理 驻场运维
环境安全 应急恢复
IT层次架构与安全体系架构的结合
域 融合数据
中心前置
增冗余 链路
管委会政 务网用户
RTX服务器 BVM服务器 CA服务器 档案服务器
网络安全防护产品
防火墙、防水墙 WEB防火墙、网页防篡改 入侵检测、入侵防御、防病毒 统一威胁管理UTM 身份鉴别、虚拟专网 加解密、文档加密、数据签名 物理隔离网闸、终端安全与上网行为管理 内网安全、审计与取证、漏洞扫描、补丁分发 安全管理平台 灾难备份产品
入侵检测系统IDS
入侵预防系统也像入侵侦查系统一样，专门深入网路数据 内部，查找它所认识的攻击代码特征，过滤有害数据流， 丢弃有害数据包，并进行记载，以便事后分析。除此之外 ，更重要的是，大多数入侵预防系统同时结合考虑应用程 序或网路传输中的异常情况，来辅助识别入侵和攻击。
比如，用户或用户程序违反安全条例、数据包在不应该出 现的时段出现、作业系统或应用程序弱点的空子正在被利 用等等现象。入侵预防系统虽然也考虑已知病毒特征，但 是它并不仅仅依赖于已知病毒特征。
防火墙的局限性
防火墙不能防止通向站点的后门。 防火墙一般不提供对内部的保护。 防火墙无法防范数据驱动型的攻击。 防火墙本身的防攻击能力不够，容易成为被攻击
的首要目标。 防火墙不能根据网络被恶意使用和攻击的情况动
态调整自己的策略。
什么是 VPN
VPN (Virtual Private Network) 是通过 internet 公共网络在局域 网络之间或单点之间安全地传递数据的技术
入侵检测的概念和作用
入侵检测即通过从网络系统中的若干关键节点收集并 分析信息，监控网络中是否有违反安全策略的行为或 者是否存在入侵行为。
它能够提供安全审计、监视、攻击识别和反攻击等多 项功能，对内部攻击、外部攻击和误操作进行实时监 控，在网络安全技术中起到了不可替代的作用。
入侵检测系统的作用
组织、人员、制度、运行
信息内容和数据
外
应用系统
部 环
境
网络和系统
物理设备和环境
网络和系统层 示意 服务器
网络 客户端 用户
组织体系 管理体系
技术体系
运行体系
人员和组织
策略、制度和规范
信息内容和数据安全
应用系统安全
服务器
网络
网络和系统安全
客户端
用户
设备 物理安全 环境 运行安全
外部环境
实施企业的安全防护/预警体系
结构安全（G） 访问控制（G） 安全审计（G） 边界完整性检查（S） 入侵防范（G） 恶意代码防范（G） 网络设备防护（G）
身份鉴别（S） 安全标记（S） 访问控制（S） 可信路径（S） 安全审计（G） 剩余信息保护（S） 入侵防范（G） 恶意代码防范（G） 资源控制（A）
身份鉴别（S） 安全标记（S） 访问控制（S） 可信路径（S） 安全审计（G） 剩余信息保护（S） 通信完整性（S） 通信保密性（S） 抗抵赖（G） 软件容错（A） 资源控制（A）
防火墙安全策略
内部工作子网与外网的访问控制
内部WWW 一般子网 管理子网 重点子网 内部工作子网
WWW Mail DNS DMZ区域
发起访问 请求
合法请求则允 许对外访问
边界路由器
Internet
Internet 区域
进行访 合法请求 问 规 则 则允许对 检查 外访问
发起访问请求
将访问记录 写进日志文 件
Internet
冗余链路
机房1
通过政务网连接市
灾备中心，实现异 灾备中心
地数据备份
政务外网
机房2
Internet 首信专线
互联网区域 原链路
融合 数据 中心
前置
交换机16
路由器3 链路负载均衡2
等保二级域 前置区
防火墙12
VPN网关1
抗DDoS监测1 等保二级域
抗DDoS管理中心
安全监控中心 抗DDoS清洗1
安全技术管理 安全操作规范
公安/保密 CN CERT 测评机构
安全设备管理 安全环境管理
技术体系 Technology
风险监控 事件管理
态势感知 业务监控
基础设施 边界安全
脆弱管理 性能监控
拓扑监控 设备监控
边传环 界输境 安安安 全全全
工作台管理
KPI管理
资产管理
工单管理
IT系统
计算环境 安全支撑设施
合规审计融合数据中
心Web应用
等保二级域
防火墙9
接入安全 中心交换机3
应用区
交换机11
服务器负载 均衡组2协同办公
Web防火墙2
防火墙8
漏扫引擎3 单臂
防火墙7
安全中心区 等保二级域
前置区
1.专线 连接管 委会和 托管机
房
2.等保 二级、 三级和 管理采 用波分
复用
业务审计2
用户区 漏扫引擎2 等保二级域
应用服务
经济分析 数据库
财务数据库
数据库
管 委 会 办 公 用 户
用户区 管理区
安全监控 采集器1
融合数据中心 数据库服务器
交换机9
运维管控2
等 交换机8 保
二
级
3.原有 链路利
旧
4.租赁 模式新
政务外网区域 安全管 病毒控 CA身份设备控 漏扫控 数字 终端 配置 理中心 制中心 认证 制台 制中心 签名 管理 核查
SSL VPN
SSL VPN是解决远程用户访问敏感公司数据最简单最安全 的解决技术。与复杂的IPSec VPN相比，SSL通过简单易 用的方法实现信息远程连通。
任何安装浏览器的机器都可以使用SSL VPN， 这是因为 SSL 内嵌在浏览器中，它不需要象传统IPSec VPN一样必 须为每一台客户机安装客户端软件。