网络安全架构设计及网络安全设备部署

合集下载
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
总体来说,网络安全解决方案涉及安全操作系 统技术、防火墙技术、病毒防护技术、入侵检 测技术、安全扫描技术、认证和数字签名技术、 VPN技术等多方面的安全技术。
一份好的网络安全解决方案,不仅仅要考 虑到技术,还要考虑到策略和管理。
技术是关键 策略是核心 管理是保证
在整个网络安全解决方案中,始终要体现 出这三个方面的关系。
外网接口 电源
2
3
5
6
8
9
0
?
安全网关SG1
路由器
INTERNET
路由器
NEsec300 FW
告警 内网接口
外网接口 电源
2
3
5
6
8
9
0
?
安全网关SG2
分支机构1
防火墙FW3
NEsec300 FW
告警
内网接口 外网接口 电源
2
3
5
6
8
9
0
?
安全认证服务器
安全管理器
路由器
NEsec300 FW
告警 内网接口
得到端口的信息。 方法一是: 若返回的RST数 TCP ACK扫描建立连接成功
据包的TTL值小于或等于64,
则端口开放,反之端口关闭
方法二是: 若返回的RST数
据包的WINDOW值非零,
则端口开放,反之端口关闭
TCP ACK扫描建立连接成功
NULL扫描
扫描主机将TCP数据包中的 ACK、FIN、RST、SYN、 URG、PSH(接收端将数据转 由应用处理)标志位置空后 (保留的RES1和RES2对扫 描的结果没有任何影响)发 送给目标主机。若目标端口 开放,目标主机将不返回任 何信息。
网络安全架构设计及网络安全设 备部署
主要内容
内网安全架构的设计与安全产品的部署 安全扫描技术 防火墙技术 入侵检测技术 IPSec VPN和SSL VPN技术
网络信息安全的基本问题
网络信息安全的基本问题
保密性 完整性 可用性 可控性 可审查性
最终要解决是使用者对基础设施的信心和 责任感的问题。
物理隔离器(K2)
政府系统办公业 务资源网(简称 “专网”)
其它网络安全设备
拨号检测系统 上网行为管理系统 DDOS防御网关 VPN网关 防病毒网关
安全扫描技术
扫描目的
查看目标网络中哪些主机是存活的(Alive) 查看存活的主机运行了哪些服务
WWW FTP EMAIL TELNET
端口扫描
关闭一个并没有建立的连接,会产生以下情况 对非连接FIN报文的回复
TCP标准 关闭的端口——返回RST报文 打开的端口——忽略
BSD操作系统 与TCP标准一致
其他操作系统 均返回RST报文
TCP ACK扫描
扫描主机向目标主机发送
ACK数据包。根据返回的
RST数据包有两种方法可以
路由器 防火墙FW 交换机
E-MAIL 服务器
WWW 应用服 数据库 服务器 务器 服务器
物理隔离器(K1)
网络入侵策略管理器 安全管理器 网络漏洞扫描器
网络入侵检测探头
办公厅办公业务网 (简称“内网”)
外网WEB服务器安全设计
INTERNET
路由器
安全管理器
防火墙FW
交换机
物理隔离器(K1)
办公厅办公业务网 (简称“内网”)
物理隔离器(K1)
安全管理器
办公厅办公业务网 (简称“内网”)
外网网络漏洞扫描系统设计
INTERNET
路由器
防火墙FW 交换机
E-MAIL 服务器
WWW 应用服 数据库 服务器 务器 服务器
物理隔离器(K1)
安全管理器
网络漏洞扫描器
办公厅办公业务网 (简称“内网”)
外网网络入侵检测系统设计
INTERNET
数据区……
类型域(type)用来指明该ICMP报文的类型 代码域(code)确定该包具体作用
IP扫描
常用的ICMP报文
名称 ICMP Destination Unreachable(目标不可达) ICMP Source Quench (源抑制) ICMP Redirection(重定向) ICMP Timestamp Request/Reply(时间戳) ICMP Address Mask Request/Reply(子网掩码) ICMP Echo Request/Reply(响应请求/应答)
服务处 室子网
直属人 事机构 处室子网
共享数据 库子网
分支机构1
INTERNET
分支机构2
电子政务网络风险及需求分析
领导层子网
业务处 室子网
公共处 室子网
服务处 室子网
直属人 事机构 处室子网
共享数据 库子网
分支机构工作 人员正试图在 领导层子网安
装木马
分支机构工作 人员正试图越 权访问业务子
网安装木马
非内部人员正试 图篡改公共网络 服务器的数据
INTERNET
此人正试图进 入网络监听并 窃取敏感信息
分支机构1
分支机构2
电子政务网络内网基础网络平台安全
领导层子网
业务处 室子网
公共处 室子网
服务处 室子网
直属人 事机构 处室子网
共享数据 库子网
防火墙FW1
防火墙FW2
交换机
NEsec300 FW
告警 内网接口
网络安全解决方案设计
INTERNET
路由器 防火墙
交换机

服务器 服务器

工作站 工作站

工作站
工作站
网管计算机
安全需求分析
网络系统的总体安全需求是建立在对网络 安全层次分析基础上的。对于基于TCP / IP 协议的网络系统来说,安全层次是与 TCP/IP协议层次相对应的。
针对该企业网络的实际情况,可以将安全 需求层次归纳为网络层安全和应用层安全 两个技术层次,同时将在各层都涉及的安 全管理部分单独作为一部分进行分析。
网络安全解决方案
互联网
防病毒 入侵检测 安全审计 身份认证
身份认证服务器
路由器
防火墙
中心交换机

服务器
服务器
DMZ区

工作站
工作站

工作站 内部网络
工作站
网管计算机
电子政务网络拓扑概述
内部核心子网
INTERNET
分支机构1
分支机构2
电子政务网络拓扑详细分析
领导层子网
业务处 室子网
公共处 室子网
在进行计算机网络安全设计、规划时,应遵循以 下原则:
需求、风险、代价平衡分析的原则 综合性、整体性原则 一致性原则 易操作性原则 适应性、灵活性原则 多重保护原则
网络安全解决方案
网络安全解决方案的基本概念
网络安全解决方案可以看作是一张有关网络系 统安全工程的图纸,图纸设计的好坏直接关系 到工程质量的优劣。
接受ACK报文段
端口扫描
SYN扫描
客户机
服务器
发送SYN seq=x
如果接收到RST,表明 服务器端口不可连接
如果接收到SYN+ACK, 表明服务器端口可连接
SYN+ACK RST
如果服务器端口未打开, 则返回RST
如果服务器端口打开, 则返回SYN+ACK
端口扫描
SYN扫描的实现
WinSock2接口Raw Sock方式,允许自定义IP包
E-MAIL 服务器
WWW 服务器
应用服 数据库 务器 服务器
Web网站监测& 自动修复系统
物理隔离器(K2)
政府系统办公 业务资源网 (简称“专 网”)
内网、外网和专网的隔离系统设计
INTERNET
路由器
安全管理器
防火墙FW
交换机
物理隔离器(K1)
办公厅办公业务网 (简称“内网”)
E-MAIL WWW 应用服 数据库 服务器 服务器 务器 服务器
SockRaw = socket(AF_INET , SOCK_RAW , IPPROTO_IP);
TCP包头标志位
0
源端口
16
31
目的端口
序列号
确认号
保留 保留
Urgent ACK PUSH RESET SYN
FIN
HLEN
保留 poin标t 志位
窗口
校验和
紧急指针
选项
填充
数据
端口扫描
SYN扫描的优缺点
网络层需求分析
网络层安全需求是保护网络不受攻击,确保 网络服务的可用性。
保证同Internet互联的边界安全 能够防范来自Internet的对提供服务的非法利用 防范来自Internet的网络入侵和攻击行为的发生 对于内部网络提供高于网络边界更高的安全保护
应用层需求分析
应用层的安全需求是针对用户和网络应用 资源的,主要包括:
若目标主机返回RST信息, 则表示端口关闭。
外网接口 电源
2
3
5
6
8
9
0
?
安全网关SG3
分支机构2
内网核心网络与各级子网间的安全设计
内部核心子网
安全管理器
NEsec300 FW
告警 内网接口 外网接口
电源
2
3
5
6
8
9
0
?
安全认证服务器
交换机
NEsec300 FW
告警 内网接口 外网接口 电源
2
3
5
6
8
9
0
?
安全网关SG1
路由器
INTERNET
路由器
NEsec300 FW
告警 内网接口 外网接口 电源
2
3
5
6
8
9
0
?
安全网关SG2
分支机构1
NEsec300 FW
路由器
告警 内网接口 外网接口
电源
2
3
5
6
8
9
0
?
安全网关SG3
分支机构2
内网网络漏洞扫描系统设计
内部核心子网
安全管理器
NEsec300 FW
告警 内网接口 外网接口
电源
2Baidu Nhomakorabea
3
5
6
网络与信息安全体系
要实施一个完整的网络与信息安全体系, 至少应包括三类措施,并且三者缺一不可。
社会的法律政策、规章制度措施 技术措施 审计和管理措施
网络安全设计的基本原则
要使信息系统免受攻击,关键要建立起安全防御 体系,从信息的保密性,拓展到信息的完整性、 信息的可用性、信息的可控性、信息的不可否认 性等。
类型 3 4 5 13/14 17/18 8/0
Ping程序使用ICMP Echo Request/Reply报文
端口扫描
端口
Internet上主机间通讯总是通过端口发生的
端口是入侵的通道 端口分为TCP端口与UDP端口 因此,端口扫描可分类为
TCP扫描 UDP扫描
端口扫描
基本扫描
优点
实现简单 可以用普通用户权限执行
缺点
容易被防火墙检测,也会目标应用所记录
端口扫描
隐秘扫描
服务器端
connect
客户端
端口扫描
TCP的连接建立过程
客户机 发送SYN
seq=x
接收SYN+ACK 发送 ACK ack = y+1
服务器
接收SYN报文 发送SYN seq = y,ACK ack = x+1
优点:
一般不会被目标主机所记录
缺点:
运行Raw Socket时必须拥有管理员权限
端口扫描
FIN扫描
关闭TCP连接的过程
客户机 发送FIN
seq=x
接收FIN+ACK 发送 ACK ack = y+1
服务器
接收FIN 报文 发送FIN seq = y,ACK ack = x+1
接受ACK报文段
2
3
5
6
8
9
0
?
安全网关SG3
分支机构2
内网网络入侵检测系统设计
内部核心子网
安全管理器
NEsec300 FW
告警 内网接口 外网接口
电源
2
3
5
6
8
9
0
?
安全认证服务器
网络入侵检测探头
NEsec300 FW
告警 内网接口 外网接口
电源
2
3
5
6
8
9
0
?
交换机
网络入侵策略管理器 安全网关SG1
路由器
INTERNET
查看主机提供的服务有无漏洞
IP扫描
IP扫描——Ping Sweeping
Ping使用ICMP协议进行工作
IP扫描
ICMP协议负责差错的报告与控制。比如目标不 可达,路由重定向等等
MAC帧头 IP包头 ICMP包头
数据
ICMP报文格式
0
8
16
类型
代码
31 校验和
其他字段(不同的类型可能不一样)
用Socket开发TCP应用
服务器端
客户端
端口扫描
connect()函数
int connect( SOCKET s, const struct sockaddr FAR *name, int namelen );
当connect返回0时,连接成功
基本的扫描方法即TCP Connect扫描
合法用户可以以指定的方式访问指定的信息; 合法用户不能以任何方式访问不允许其访问的
信息; 非法用户不能访问任何信息; 用户对任何信息的访问都有记录。
应用层要解决的安全问题包括
非法用户利用应用系统的后门或漏洞,强 行进入系统
用户身份假冒 非授权访问 数据窃取 数据篡改 数据重放攻击 抵赖
8
9
0
?
安全认证服务器
网络漏洞扫描器
交换机
NEsec300 FW
告警 内网接口 外网接口 电源
2
3
5
6
8
9
0
?
安全网关SG1
路由器
INTERNET
路由器
NEsec300 FW
告警 内网接口 外网接口
电源
2
3
5
6
8
9
0
?
安全网关SG2
分支机构1
NEsec300 FW
路由器
告警 内网接口 外网接口 电源
路由器
NEsec300 FW
告警 内网接口 外网接口
电源
2
3
5
6
8
9
0
?
安全网关SG2
分支机构1
NEsec300 FW
路由器
告警 内网接口 外网接口
电源
2
3
5
6
8
9
0
?
安全网关SG3
分支机构2
电子政务外网基础平台安全设计
INTERNET
路由器
防火墙FW 交换机
E-MAIL 服务器
WWW 应用服 数据库 服务器 务器 服务器
相关文档
最新文档