网络安全架构设计和网络安全设备的部署(课堂PPT)
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
总体来说,网络安全解决方案涉及安全操作系 统技术、防火墙技术、病毒防护技术、入侵检 测技术、安全扫描技术、认证和数字签名技术、 VPN技术等多方面的安全技术。
6
一份好的网络安全解决方案,不仅仅要考 虑到技术,还要考虑到策略和管理。
技术是关键 策略是核心 管理是保证
在整个网络安全解决方案中,始终要体现 出这三个方面的关系。
告警 内网接口
外网接口 电源
2
3
5
6
8
9
0
?
安全网关SG3
分支机构2
17
内网核心网络与各级子网间的安全设计
内部核心子网
安全管理器
NEsec300 FW
告警 内网接口 外网接口
电源
2
3
5
6
8
9
0
?
安全认证服务器
交换机
NEsec300 FW
告警 内网接口 外网接口 电源
2
3
5
6
8
9
0
?
安全网关SG1
路由器
服务处 室子网
直属人 事机构 处室子网
共享数据 库子网
INTERNET
分支机构1
分支机构2
15
电子政务网络风险及需求分析
领导层子网
业务处 室子网
公共处 室子网
服务处 室子网
直属人 事机构 处室子网
共享数据 库子网
分支机构工作 人员正试图在 领导层子网安
装木马
分支机构工作 人员正试图越 权访问业务子
电源
2
3
5
6
8
9
0
?
安全认证服务器
网络漏洞扫描器
交换机
NEsec300 FW
告警 内网接口 外网接口 电源
2
3
5
6
8
9
0
?
安全网关SG1
路由器
INTERNET
路由器
NEsec300 FW
告警 内网接口 外网接口
电源
2
3
5
6
8
9
0
?
安全网关SG2
分支机构1
NEsec300 FW
路由器
告警 内网接口 外网接口 电源
网安装木马
非内部人员正试 图篡改公共网络 服务器的数据
INTERNET
此人正试图进 入网络监听并 窃取敏感信息
分支机构1
分支机构2
16
电子政务网络内网基础网络平台安全
领导层子网
业务处 室子网
公共处 室子网
服务处 室子网
直属人 事机构 处室子网
共享数据 库子网
防火墙FW1
防火墙FW2
交换机
NEsec300 FW
合法用户可以以指定的方式访问指定的信息; 合法用户不能以任何方式访问不允许其访问的
信息; 非法用户不能访问任何信息; 用户对任何信息的访问都有记录。
11
应用层要解决的安全问题包括
非法用户利用应用系统的后门或漏洞,强 行进入系统
用户身份假冒 非授权访问 数据窃取 数据篡改 数据重放攻击 抵赖
7
网络安全解决方案设计
INTERNET
路由器 防火墙
交换机
…
服务器 服务器
…
工作站 工作站
…
工作站
工作站
网管计算机
8
安全需求分析
网络系统的总体安全需求是建立在对网络 安全层次分析基础上的。对于基于TCP / IP 协议的网络系统来说,安全层次是与 TCP/IP协议层次相对应的。
针对该企业网络的实际情况,可以将安全 需求层次归纳为网络层安全和应用层安全 两个技术层次,同时将在各层都涉及的安 全管理部分单独作为一部分进行分析。
INTERNET
路由器
NEsec300 FW
告警 内网接口 外网接口
电源
2
3
5
6
8
9
0
?
安全网关SG2
分支机构1
NEsec300 FW
9
网络层需求分析
网络层安全需求是保护网络不受攻击,确保 网络服务的可用性。
保证同Internet互联的边界安全 能够防范来自Internet的对提供服务的非法利用 防范来自Internet的网络入侵和攻击行为的发生 对于内部网络提供高于网络边界更高的安全保护
10
应用层需求分析
应用层的安全需求是针对用户和网络应用 资源的,主要包括:
INTERNET
路由器
NEsec300 FW
告警 内网接口 外网接口 电源
2
3
5
6
8
9
0
?
安全网关SG2
分支机构1
NEsec300 FW
路由器
告警 内网接口 外网接口
电源
2
3
5
6
8
9
0
?
安全网关SG3
分支机构2
18
内网网络漏洞扫描系统设计
内部核心子网
安全管理器
NEsec300 FW
告警 内网接口 外网接口
网络安全架构设计和 网络安全设备的部署
1
主要内容
内网安全架构的设计与安全产品的部署 安全扫描技术 防火墙技术 入侵检测技术 IPSec VPN和SSL VPN技术
2
网络信息安全的基本问题
网络信息安全的基本问题
保密性 完整性 可用性 可控性 可审查性
最终要解决是使用者对基础设施的信心和 责任感的问题。
2
3
5
6
8
9
0
?
安全网关SG3
分支机构2
19
内网网络入侵检测系统设计
内部核心子网
安全管理器
NEsec300 FW
告警 内网接口 外网接口
电源
2
3
5
6
8
9
0
?
安全认证服务器
网络入侵检测探头
NEsec300 FW
告警 内网接口 外网接口
电源
2
3
5
6
8
9
0
?
交换机
网络入侵策略管理器 安全网关SG1
路由器
3
网络与信息安全体系
要实施一个完整的网络与信息安全体系, 至少应包括三类措施,并且三者缺一不可。
社会的法律政策、规章制度措施 技术措施 审计和管理措施
4
网络安全设计的基本原则
要使信息系统免受攻击,关键要建立起安全防御 体系,从信息的保密性,拓展到信息的完整性、 信息的可用性、信息的可控性、信息的不可否认 性等。
在进行计算机网络安全设计、规划时,应遵循以 下原则:
需求、风险、代价平衡分析的原则 综合性、整体性原则 一致性原则 易操作性原则 适应性、灵活性原则 多重保护原则
5
网络安全解决方案
网络安全解决方案的基本概念
网络安全解决方案可以看作是一张有关网络系 统安全工程的图纸,图纸设计的好坏直接关系 到工程质量的优劣。
告警 内网接口
外网接口 电源
2
3
5
6
8
9
0
?
安全网关SG1
路由器
INTERNET
路由器
NEsec300 FW
告警 内网接口
外网接口 电源
2
3
5
6
8
9
0
?
安全网关SG2
分支机构1
防火墙FW3
NEsec300 FW
告警
内网接口 外网接口 电源
2
3
5
6
8
9
0
?
安全认证服务器
安全管理器
路由器
NEsec300 FW
12
网络安全解决方案
互联网
防病毒 入侵检测 安全审计 身份认证
身份认证服务器
路由器
防火墙
中心交换机
…
服务器
服务器
DMZ区
…
百度文库
工作站
工作站
…
工作站 内部网络
工作站
网管计算机
13
电子政务网络拓扑概述
内部核心子网
INTERNET
分支机构1
分支机构2
14
电子政务网络拓扑详细分析
领导层子网
业务处 室子网
公共处 室子网
6
一份好的网络安全解决方案,不仅仅要考 虑到技术,还要考虑到策略和管理。
技术是关键 策略是核心 管理是保证
在整个网络安全解决方案中,始终要体现 出这三个方面的关系。
告警 内网接口
外网接口 电源
2
3
5
6
8
9
0
?
安全网关SG3
分支机构2
17
内网核心网络与各级子网间的安全设计
内部核心子网
安全管理器
NEsec300 FW
告警 内网接口 外网接口
电源
2
3
5
6
8
9
0
?
安全认证服务器
交换机
NEsec300 FW
告警 内网接口 外网接口 电源
2
3
5
6
8
9
0
?
安全网关SG1
路由器
服务处 室子网
直属人 事机构 处室子网
共享数据 库子网
INTERNET
分支机构1
分支机构2
15
电子政务网络风险及需求分析
领导层子网
业务处 室子网
公共处 室子网
服务处 室子网
直属人 事机构 处室子网
共享数据 库子网
分支机构工作 人员正试图在 领导层子网安
装木马
分支机构工作 人员正试图越 权访问业务子
电源
2
3
5
6
8
9
0
?
安全认证服务器
网络漏洞扫描器
交换机
NEsec300 FW
告警 内网接口 外网接口 电源
2
3
5
6
8
9
0
?
安全网关SG1
路由器
INTERNET
路由器
NEsec300 FW
告警 内网接口 外网接口
电源
2
3
5
6
8
9
0
?
安全网关SG2
分支机构1
NEsec300 FW
路由器
告警 内网接口 外网接口 电源
网安装木马
非内部人员正试 图篡改公共网络 服务器的数据
INTERNET
此人正试图进 入网络监听并 窃取敏感信息
分支机构1
分支机构2
16
电子政务网络内网基础网络平台安全
领导层子网
业务处 室子网
公共处 室子网
服务处 室子网
直属人 事机构 处室子网
共享数据 库子网
防火墙FW1
防火墙FW2
交换机
NEsec300 FW
合法用户可以以指定的方式访问指定的信息; 合法用户不能以任何方式访问不允许其访问的
信息; 非法用户不能访问任何信息; 用户对任何信息的访问都有记录。
11
应用层要解决的安全问题包括
非法用户利用应用系统的后门或漏洞,强 行进入系统
用户身份假冒 非授权访问 数据窃取 数据篡改 数据重放攻击 抵赖
7
网络安全解决方案设计
INTERNET
路由器 防火墙
交换机
…
服务器 服务器
…
工作站 工作站
…
工作站
工作站
网管计算机
8
安全需求分析
网络系统的总体安全需求是建立在对网络 安全层次分析基础上的。对于基于TCP / IP 协议的网络系统来说,安全层次是与 TCP/IP协议层次相对应的。
针对该企业网络的实际情况,可以将安全 需求层次归纳为网络层安全和应用层安全 两个技术层次,同时将在各层都涉及的安 全管理部分单独作为一部分进行分析。
INTERNET
路由器
NEsec300 FW
告警 内网接口 外网接口
电源
2
3
5
6
8
9
0
?
安全网关SG2
分支机构1
NEsec300 FW
9
网络层需求分析
网络层安全需求是保护网络不受攻击,确保 网络服务的可用性。
保证同Internet互联的边界安全 能够防范来自Internet的对提供服务的非法利用 防范来自Internet的网络入侵和攻击行为的发生 对于内部网络提供高于网络边界更高的安全保护
10
应用层需求分析
应用层的安全需求是针对用户和网络应用 资源的,主要包括:
INTERNET
路由器
NEsec300 FW
告警 内网接口 外网接口 电源
2
3
5
6
8
9
0
?
安全网关SG2
分支机构1
NEsec300 FW
路由器
告警 内网接口 外网接口
电源
2
3
5
6
8
9
0
?
安全网关SG3
分支机构2
18
内网网络漏洞扫描系统设计
内部核心子网
安全管理器
NEsec300 FW
告警 内网接口 外网接口
网络安全架构设计和 网络安全设备的部署
1
主要内容
内网安全架构的设计与安全产品的部署 安全扫描技术 防火墙技术 入侵检测技术 IPSec VPN和SSL VPN技术
2
网络信息安全的基本问题
网络信息安全的基本问题
保密性 完整性 可用性 可控性 可审查性
最终要解决是使用者对基础设施的信心和 责任感的问题。
2
3
5
6
8
9
0
?
安全网关SG3
分支机构2
19
内网网络入侵检测系统设计
内部核心子网
安全管理器
NEsec300 FW
告警 内网接口 外网接口
电源
2
3
5
6
8
9
0
?
安全认证服务器
网络入侵检测探头
NEsec300 FW
告警 内网接口 外网接口
电源
2
3
5
6
8
9
0
?
交换机
网络入侵策略管理器 安全网关SG1
路由器
3
网络与信息安全体系
要实施一个完整的网络与信息安全体系, 至少应包括三类措施,并且三者缺一不可。
社会的法律政策、规章制度措施 技术措施 审计和管理措施
4
网络安全设计的基本原则
要使信息系统免受攻击,关键要建立起安全防御 体系,从信息的保密性,拓展到信息的完整性、 信息的可用性、信息的可控性、信息的不可否认 性等。
在进行计算机网络安全设计、规划时,应遵循以 下原则:
需求、风险、代价平衡分析的原则 综合性、整体性原则 一致性原则 易操作性原则 适应性、灵活性原则 多重保护原则
5
网络安全解决方案
网络安全解决方案的基本概念
网络安全解决方案可以看作是一张有关网络系 统安全工程的图纸,图纸设计的好坏直接关系 到工程质量的优劣。
告警 内网接口
外网接口 电源
2
3
5
6
8
9
0
?
安全网关SG1
路由器
INTERNET
路由器
NEsec300 FW
告警 内网接口
外网接口 电源
2
3
5
6
8
9
0
?
安全网关SG2
分支机构1
防火墙FW3
NEsec300 FW
告警
内网接口 外网接口 电源
2
3
5
6
8
9
0
?
安全认证服务器
安全管理器
路由器
NEsec300 FW
12
网络安全解决方案
互联网
防病毒 入侵检测 安全审计 身份认证
身份认证服务器
路由器
防火墙
中心交换机
…
服务器
服务器
DMZ区
…
百度文库
工作站
工作站
…
工作站 内部网络
工作站
网管计算机
13
电子政务网络拓扑概述
内部核心子网
INTERNET
分支机构1
分支机构2
14
电子政务网络拓扑详细分析
领导层子网
业务处 室子网
公共处 室子网