--网络攻防含常见的几种企业网络安全解决方案、黑客入侵过程

蓝狐之防火墙课件：第一课.网络安全体系结构.ppt :

集成化安全体系-网络安全解决方案

Q 边界安全-防火墙-思科：PIX、ASA、防火墙服务模块（FWSM）-安装

在cisco Catalyst 6500 系列交换机或cisco 7600系列路由器内

入侵防范-网络IDS

Q 安全连接-虚拟专用网

身份识别-Cisco VPN Concentrators, Cisco IOS Routers, PIX Firewalls

c 准入控制-确保拒绝不符合策略的设备接入，将其放入隔离区以修

订复，或仅允许其有限地访问资源

1 行为管理-吏用专业上网行为管理网关：SINFOR AC

9~ '

集成化安全产品-H3C SecPath UTM、Cisco ASA5500系列（PIX 防

身份识别:

• 访问控制服务器（ACS ）的作用相当于负责地点安全的准入卡和门卫，它可以为流量和用户提供集中的身份认证，授权和记账（AAA ）

•身份识别是安全基础设施的关键组成部分。基于身份识别的网络服务让系统可以根据各种参数（例如用户名，IP地址和MAC地址）识别用户的身份，进而为其提供特定的访问权限•身份识别方面的重要趋势包括访问权限的精确度不断提高和动态，主动地分配访问权限的能力

网络准入控制（NAC）:

每当一个终端设备登陆网络，它就有可能影响网络的安全水平。不符

略的服务器和台式机（使用过期的防病毒，未安装补丁的OS等）很普遍，难以发

现，实际上很难对其加以控制。每次它们与网络相连都会提高网络环境的危险NAC

备接入，将其放入隔离区以修复，或仅允许其有限地访问资源

•

不符簡宾全篥略的终嫡试圏建盒连接

分支机构或园区Z隔离/修复控制感柴I

保护终端

亠

亠

亠

士

亠

士

访问控制：

网站访问与发帖文件传输Email收发

聊天P2P

报股等计:

风险智能报表

内容检索

带宽管理:

多线路及流控

监控审计: 日志审查Key

集成化安全产品:

Email/Webmail 上网安聊天及各种行为

查杀木马、病毒

防DOS/ARP欺骗

防火墙与杀毒网关

上网行为管理：

•互联网正逐步成为重要的生产资料，组织业务正逐渐向互联网转型；互联网是一把双刃剑”，缺乏管理的互联网已经带来诸多问题

• 1.带宽滥用、上网速度慢

BT、迅雷等P2P下载

PPLive等在线流媒体

各种业务无关网络行为带宽无法划分与分配

• 2.工作效率下降、影响组织竞争力

上班时间网络聊天、炒股、网游、看新闻等行为泛滥；

办公室成了免费的网吧；

以前通过考勤考核迟到早退，现在人在办公室却不在工作

专业上网行为管理网关：SINFOR AC

据中心对比报表应用类型流控

终端检查与准审计

Key

过滤脚本、插件

URL及发贴行为

SSL加密行为

统一

Mt 防管理严鬲

♦ H3C SecPath UTM （ United Threat Management ，统一威胁管理）

采用高性能的多核、多线

程安全平台，保

障全部安全功能开启时不降低性能，

产品具有极高的性价比。

在提供传统防

火墙、VPN 功能基础上，同时提供病毒防护、

URL 过滤、漏洞攻击防护、垃圾邮件防护、

P2P/IM 应用层流量控制和用户行为审计等安全功能

。

♦ Cisco ASA

恵科下一世防火系列・楚合名种趨強安全功畫于一身:

■fesUlf 市场镇先的貝nli-趣龍

I L 思科上用厶内容安全和控制c 匚曲、空全服醤植协

面向企业的思斜丄WH E5CI0亲列0」容安主版

St 合楚大灵HffiVPN

远程接2沪Z :企业的生产率、部寒与安全同题 利用思科 V 2 F T 00亲列建立“円1连損

思科池4、亍刁00累列SSL/IP WEC VPN 版产品简介

丰SB0IPSA©卷狗功琵

思科4高级检测和肪御工AJ 尸）模块 面问企业的黒科AS& 5^00系列IPS 版

虽祓信報、厂右郃署的PIXE&火堵技朮

在整个机构中部署防火墙

面冋企业的思科ASH 55E 基列防火塩版

格思科ASLA 孔皿作为一种卓趙的防火増解决方秦

H3C secPath

SecPath U2OO —CA

U2OO —S

SecPoTh

U2DO —M

SecPaXh U2OO-A

SccPa-th U200-CS SccPaXh U2OO-CM

思科自防御网络安全方案

•思科建议方案：

部署边界安全、安全区域划分、安全检测、部署终端安全

（准入控制、终端安全防护 CSA :保

证对于网络内主机的入网健康检查）、安全认证及授权、安全管理 （思科安全管理器 CSM,可以监控，配 置和管理总

部和分支所有安全设备，包括防火墙，

VPN 和IPS 等；思科安全响应系统 MARS

）

黑客入侵过程

--------------- m唇入1®行拋悭型阴----------------------

导容；、.彳灵一股的主亚怛盘汁=踩点-描一）至点-斫jt A ■^-》麵取*5?.限-、提升丰又眼.-》旷大疤|5|

-二圭转后■门-》话降曰吉. 览几十丸的行沖整缺“

務源1T *；•〕旨利用已胰的密玛会试登录其乞主机或甘亘-亡鹿有

器零蛊理融适觸谿覧磐蛊藹券徐蚩勢逼乎怒烹网E辱苴它戦農方式。还也括近乖一箜利用踩点兰天宰転的匸咐呂HF•务器-比许用L快取域幸11己录文件内容* 览扌羊就可3了解到阿站的详细网编命布绪村* 另申卜网绵.服务商可果克询停到公司地址.及人迪內咅B邮件- 电话竽等- 收聂单•险注册的工吨禺警丞垂佶「旦。育叭坦一步脚壬比扫描旺主丑*