网络架构安全设计
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
远程连接的用户-对于远程接入用 户通常采用VPN结合用户认证授权 的方式进行边界防护
5
同级别安全域之间的边界
远程接入边界的安全
IP地址规划
据IP编址特点,为所设计的网络中的节点、网络 设备分配合适的IP地址
应与网络层次规划、路由协议规划、流量规划等 结合起来考虑
IP地址规划应采用自顶向下的方法
7
VLAN设计
将网内设备的逻辑地划分成一个个网段从而实现 虚拟工作组
通过VLAN隔离技术,可以把一个网络系统中众 多的网络设备分成若干个虚拟的工作组
安全作用
建立VLAN之间的访问机制,阻止蠕虫和恶意病毒 的广泛传播
建立VLAN区域安全和资源保护,将受限制的应用 程序和资源置于更为安全的VLAN中
6
IP地址分配的方式
静态地址分配
给网络中每台计算机、网络设备分配一个固定的、 静态不变的IP地址
提供网络服务的网络设备,如WEB服务器、邮件 服务器、FTP服务器等服务器,一般为其分配静态 IP地址
动态地址分配
在计算机连接到网路时,每次为其临时分配一个IP 地址
NAT地址分配
将私网地址和公网地址转换使用
掌握网络架构的安全需求分析 掌握网络架构的安全设计过程
20
网络架构安全实例
特别安全防护
采用当前最先进的边界防护技术,必要时可以采用物理隔离安全机制,实 现特别安全要求的边界安全防护
13
边界安全防护技术
防火墙 负载均衡 IDS/IPS UTM 隔离网闸 抗拒绝服务攻击 ……
14
内部网络与互联网边界防护
需要考虑的问题
是否需要对外提供服务,提供什么服务
ຫໍສະໝຸດ Baidu
IP数量,如何使用IP(NAT或直接服务)
可以提高网络的健全性、稳定 性
考虑因素
接入互联网时,同时采用不同 电信运营商线路,相互备份且 互不影响
核心层、汇聚层的设备和重要
的接入层设备均应双机热备
……
……
……
保证网络带宽和网络设备的业 务处理能力具备冗余空间,满 足业务高峰期和业务发展需要
19
知识域:网络架构安全
知识子域:网络架构安全实践
路由器 防火墙 防病毒网关 隔离网闸 ……
边界安全设备
其他外部网络
DMZ区 Web服务器
16
内部办公网络
内部网络与分支机构边界防护
需要考虑的问题
连接的方式(VPN或直接网络访问) 病毒传播问题
采取的防护措施
VPN 防火墙 防病毒网关 ……
外部网络
边界安全设备
边界安全设备
DMZ区
内部办公网络
Web服务器
其他分支机构
17
内部网络重要部门边界防护
需要考虑的问题
防护的程度和标准
病毒传播问题
非法访问问题
采取的防护措施
VLAN划分
防火墙
防病毒网关
……
OA服务器
……
部门1 VLAN1
18
VLAN交换机 边界安全设备
……
……
重要部门 VLANn
网络冗余配置
作用
防止单点故障
的日志主机上 对交换机配置文件进行脱机安全备份,并且限制对
配置文件的访问
10
路由器的安全配置要点
在路由器上安装最新版本的操作系统,定期更新 对应的操作系统补丁
防止欺骗性路由更新,配置路由协议鉴别 路由器的配置保持下线备份,对它的访问进行限
制 明确禁止未经授权的访问 防止网络数据窃听,适当部署加密保护技术 禁用不需要的服务和组件,禁用有风险的接口服
务 打开日志功能,配置日志服务器进行日志收集和
分析
11
网络边界访问控制
网络边界的概念
具有不同安全级别的网络之间的分界线都可以定义为网络 边界
网络常见边界:
内部网络与外部网络之间 组织机构各部门之间 重要部门与其他部门之间 组织机构总部与分支机构之间
12
边界安全防护机制
基本安全防护
采用常规的边界防护机制,如基本的登录/连接控制等,实现基本的信息系 统边界安全防护,采用路由器或者三层交换机。
安全域的划分方法
按信息资产划分 按业务类型划分 按地域划分 按组织架构划分
4
网络安全域防护
同级别安全域
同级别安全域之间的边界-同级别安 全域之间的安全防护主要是安全隔 离和可信互访
不同级别安全域
不同级别安全域之间的边界-实际 设计实施时又分为高等级安全域和 低等级安全域的边界和防护
远程连接用户
网络架构安全设计
知识域:网络架构安全
知识子域:网络架构安全基础
理解网络架构安全的含义及主要工作 理解网络安全域划分应考虑的主要因素 理解IP地址分配的方法 理解VLAN划分的作用与策略 理解路由交换设备安全配置常见的要求 理解网络边界访问控制策略的类型 理解网络冗余配置应考虑的因素
带宽问题
互联网病毒传播问题
采取的防护措施
路由器 防火墙
边界安全设备
流量管理
防病毒网关
UTM ……
DMZ区 Web服务器
15
Internet 内部办公网络
内部网络与外部网络边界防护
需要考虑的问题
相互的服务提供及数据交换情况(在保证应用的情况下 隔离)
病毒传播问题
采取的防护措施
8
VLAN划分方法
一个交换机上可以划分出多个VLAN 多个交换机并在一起共同划分出若干个VLAN 某些计算机可以同时处于多个VLAN中
9
路由交换设备的安全配置
交换机安全配置要点
安装最新版本的操作系统,定期更新交换机操作系 统补丁
关闭空闲的物理端口 带外管理交换机 明确禁止未经授权的访问 配置必要的网路服务,关闭不必要的网络服务 打开日志功能,并且将日志文件专门放到一台安全
较严格安全防护
采用较严格的安全防护机制,如较严格的登录/连接控制,普通功能的防火 墙、防病毒网关、入侵防御、信息过滤、边界完整性检查等
严格安全防护
根据当前信息安全对抗技术的发展,采用严格的安全防护机制,如严格的 登录/连接机制, 高安全功能的防火墙、防病毒网关、入侵防御、信息过 滤、边界完整性检查等
2
网络架构安全的内容
合理划分网络安全区域 规划网络IP地址 设计VLAN 安全配置路由交换设备 网络边界访问控制策略 网络冗余配置
3
网络安全域划分的目的与方法
定义
安全域是遵守相同安全策略的用户和系统的集合
安全域划分的目的
把大规模负责系统安全问题化解为更小区域的安全 保护问题
网络抗渗透的有效防护方式,安全域边界是灾难发 生时的抑制点
5
同级别安全域之间的边界
远程接入边界的安全
IP地址规划
据IP编址特点,为所设计的网络中的节点、网络 设备分配合适的IP地址
应与网络层次规划、路由协议规划、流量规划等 结合起来考虑
IP地址规划应采用自顶向下的方法
7
VLAN设计
将网内设备的逻辑地划分成一个个网段从而实现 虚拟工作组
通过VLAN隔离技术,可以把一个网络系统中众 多的网络设备分成若干个虚拟的工作组
安全作用
建立VLAN之间的访问机制,阻止蠕虫和恶意病毒 的广泛传播
建立VLAN区域安全和资源保护,将受限制的应用 程序和资源置于更为安全的VLAN中
6
IP地址分配的方式
静态地址分配
给网络中每台计算机、网络设备分配一个固定的、 静态不变的IP地址
提供网络服务的网络设备,如WEB服务器、邮件 服务器、FTP服务器等服务器,一般为其分配静态 IP地址
动态地址分配
在计算机连接到网路时,每次为其临时分配一个IP 地址
NAT地址分配
将私网地址和公网地址转换使用
掌握网络架构的安全需求分析 掌握网络架构的安全设计过程
20
网络架构安全实例
特别安全防护
采用当前最先进的边界防护技术,必要时可以采用物理隔离安全机制,实 现特别安全要求的边界安全防护
13
边界安全防护技术
防火墙 负载均衡 IDS/IPS UTM 隔离网闸 抗拒绝服务攻击 ……
14
内部网络与互联网边界防护
需要考虑的问题
是否需要对外提供服务,提供什么服务
ຫໍສະໝຸດ Baidu
IP数量,如何使用IP(NAT或直接服务)
可以提高网络的健全性、稳定 性
考虑因素
接入互联网时,同时采用不同 电信运营商线路,相互备份且 互不影响
核心层、汇聚层的设备和重要
的接入层设备均应双机热备
……
……
……
保证网络带宽和网络设备的业 务处理能力具备冗余空间,满 足业务高峰期和业务发展需要
19
知识域:网络架构安全
知识子域:网络架构安全实践
路由器 防火墙 防病毒网关 隔离网闸 ……
边界安全设备
其他外部网络
DMZ区 Web服务器
16
内部办公网络
内部网络与分支机构边界防护
需要考虑的问题
连接的方式(VPN或直接网络访问) 病毒传播问题
采取的防护措施
VPN 防火墙 防病毒网关 ……
外部网络
边界安全设备
边界安全设备
DMZ区
内部办公网络
Web服务器
其他分支机构
17
内部网络重要部门边界防护
需要考虑的问题
防护的程度和标准
病毒传播问题
非法访问问题
采取的防护措施
VLAN划分
防火墙
防病毒网关
……
OA服务器
……
部门1 VLAN1
18
VLAN交换机 边界安全设备
……
……
重要部门 VLANn
网络冗余配置
作用
防止单点故障
的日志主机上 对交换机配置文件进行脱机安全备份,并且限制对
配置文件的访问
10
路由器的安全配置要点
在路由器上安装最新版本的操作系统,定期更新 对应的操作系统补丁
防止欺骗性路由更新,配置路由协议鉴别 路由器的配置保持下线备份,对它的访问进行限
制 明确禁止未经授权的访问 防止网络数据窃听,适当部署加密保护技术 禁用不需要的服务和组件,禁用有风险的接口服
务 打开日志功能,配置日志服务器进行日志收集和
分析
11
网络边界访问控制
网络边界的概念
具有不同安全级别的网络之间的分界线都可以定义为网络 边界
网络常见边界:
内部网络与外部网络之间 组织机构各部门之间 重要部门与其他部门之间 组织机构总部与分支机构之间
12
边界安全防护机制
基本安全防护
采用常规的边界防护机制,如基本的登录/连接控制等,实现基本的信息系 统边界安全防护,采用路由器或者三层交换机。
安全域的划分方法
按信息资产划分 按业务类型划分 按地域划分 按组织架构划分
4
网络安全域防护
同级别安全域
同级别安全域之间的边界-同级别安 全域之间的安全防护主要是安全隔 离和可信互访
不同级别安全域
不同级别安全域之间的边界-实际 设计实施时又分为高等级安全域和 低等级安全域的边界和防护
远程连接用户
网络架构安全设计
知识域:网络架构安全
知识子域:网络架构安全基础
理解网络架构安全的含义及主要工作 理解网络安全域划分应考虑的主要因素 理解IP地址分配的方法 理解VLAN划分的作用与策略 理解路由交换设备安全配置常见的要求 理解网络边界访问控制策略的类型 理解网络冗余配置应考虑的因素
带宽问题
互联网病毒传播问题
采取的防护措施
路由器 防火墙
边界安全设备
流量管理
防病毒网关
UTM ……
DMZ区 Web服务器
15
Internet 内部办公网络
内部网络与外部网络边界防护
需要考虑的问题
相互的服务提供及数据交换情况(在保证应用的情况下 隔离)
病毒传播问题
采取的防护措施
8
VLAN划分方法
一个交换机上可以划分出多个VLAN 多个交换机并在一起共同划分出若干个VLAN 某些计算机可以同时处于多个VLAN中
9
路由交换设备的安全配置
交换机安全配置要点
安装最新版本的操作系统,定期更新交换机操作系 统补丁
关闭空闲的物理端口 带外管理交换机 明确禁止未经授权的访问 配置必要的网路服务,关闭不必要的网络服务 打开日志功能,并且将日志文件专门放到一台安全
较严格安全防护
采用较严格的安全防护机制,如较严格的登录/连接控制,普通功能的防火 墙、防病毒网关、入侵防御、信息过滤、边界完整性检查等
严格安全防护
根据当前信息安全对抗技术的发展,采用严格的安全防护机制,如严格的 登录/连接机制, 高安全功能的防火墙、防病毒网关、入侵防御、信息过 滤、边界完整性检查等
2
网络架构安全的内容
合理划分网络安全区域 规划网络IP地址 设计VLAN 安全配置路由交换设备 网络边界访问控制策略 网络冗余配置
3
网络安全域划分的目的与方法
定义
安全域是遵守相同安全策略的用户和系统的集合
安全域划分的目的
把大规模负责系统安全问题化解为更小区域的安全 保护问题
网络抗渗透的有效防护方式,安全域边界是灾难发 生时的抑制点