--网络攻防含常见的几种企业网络安全解决方案、黑客入侵过程
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
蓝狐之防火墙课件:第一课.网络安全体系结构.ppt :
集成化安全体系-网络安全解决方案
Q 边界安全-防火墙-思科:PIX、ASA、防火墙服务模块(FWSM)-安装
在cisco Catalyst 6500 系列交换机或cisco 7600系列路由器内
入侵防范-网络IDS
Q 安全连接-虚拟专用网
身份识别-Cisco VPN Concentrators, Cisco IOS Routers, PIX Firewalls
c 准入控制-确保拒绝不符合策略的设备接入,将其放入隔离区以修
订复,或仅允许其有限地访问资源
1 行为管理-吏用专业上网行为管理网关:SINFOR AC
9~ '
集成化安全产品-H3C SecPath UTM、Cisco ASA5500系列(PIX 防
身份识别:
• 访问控制服务器(ACS )的作用相当于负责地点安全的准入卡和门卫,它可以为流量和用户提供集中的身份认证,授权和记账(AAA )
•身份识别是安全基础设施的关键组成部分。基于身份识别的网络服务让系统可以根据各种参数(例如用户名,IP地址和MAC地址)识别用户的身份,进而为其提供特定的访问权限•身份识别方面的重要趋势包括访问权限的精确度不断提高和动态,主动地分配访问权限的能力
网络准入控制(NAC):
每当一个终端设备登陆网络,它就有可能影响网络的安全水平。不符
略的服务器和台式机(使用过期的防病毒,未安装补丁的OS等)很普遍,难以发
现,实际上很难对其加以控制。每次它们与网络相连都会提高网络环境的危险NAC
备接入,将其放入隔离区以修复,或仅允许其有限地访问资源
•
不符簡宾全篥略的终嫡试圏建盒连接
分支机构或园区Z隔离/修复控制感柴I
保护终端
亠
亠
亠
士
亠
士
访问控制:
网站访问与发帖文件传输Email收发
聊天P2P
报股等计:
风险智能报表
内容检索
带宽管理:
多线路及流控
监控审计: 日志审查Key
集成化安全产品:
Email/Webmail 上网安聊天及各种行为
查杀木马、病毒
防DOS/ARP欺骗
防火墙与杀毒网关
上网行为管理:
•互联网正逐步成为重要的生产资料,组织业务正逐渐向互联网转型;互联网是一把双刃剑”,缺乏管理的互联网已经带来诸多问题
• 1.带宽滥用、上网速度慢
BT、迅雷等P2P下载
PPLive等在线流媒体
各种业务无关网络行为带宽无法划分与分配
• 2.工作效率下降、影响组织竞争力
上班时间网络聊天、炒股、网游、看新闻等行为泛滥;
办公室成了免费的网吧;
以前通过考勤考核迟到早退,现在人在办公室却不在工作
专业上网行为管理网关:SINFOR AC
据中心对比报表应用类型流控
终端检查与准审计
Key
过滤脚本、插件
URL及发贴行为
SSL加密行为
统一
Mt 防管理严鬲
♦ H3C SecPath UTM ( United Threat Management ,统一威胁管理)
采用高性能的多核、多线
程安全平台,保
障全部安全功能开启时不降低性能,
产品具有极高的性价比。
在提供传统防
火墙、VPN 功能基础上,同时提供病毒防护、
URL 过滤、漏洞攻击防护、垃圾邮件防护、
P2P/IM 应用层流量控制和用户行为审计等安全功能
。
♦ Cisco ASA
恵科下一世防火系列・楚合名种趨強安全功畫于一身:
■fesUlf 市场镇先的貝nli-趣龍
I L 思科上用厶内容安全和控制c 匚曲、空全服醤植协
面向企业的思斜丄WH E5CI0亲列0」容安主版
St 合楚大灵HffiVPN
远程接2沪Z :企业的生产率、部寒与安全同题 利用思科 V 2 F T 00亲列建立“円1连損
思科池4、亍刁00累列SSL/IP WEC VPN 版产品简介
丰SB0IPSA©卷狗功琵
思科4高级检测和肪御工AJ 尸)模块 面问企业的黒科AS& 5^00系列IPS 版
虽祓信報、厂右郃署的PIXE&火堵技朮
在整个机构中部署防火墙
面冋企业的思科ASH 55E 基列防火塩版
格思科ASLA 孔皿作为一种卓趙的防火増解决方秦
H3C secPath
SecPath U2OO —CA
U2OO —S
SecPoTh
U2DO —M
SecPaXh U2OO-A
SccPa-th U200-CS SccPaXh U2OO-CM
思科自防御网络安全方案
•思科建议方案:
部署边界安全、安全区域划分、安全检测、部署终端安全
(准入控制、终端安全防护 CSA :保
证对于网络内主机的入网健康检查)、安全认证及授权、安全管理 (思科安全管理器 CSM,可以监控,配 置和管理总
部和分支所有安全设备,包括防火墙,
VPN 和IPS 等;思科安全响应系统 MARS
)
黑客入侵过程
--------------- m唇入1®行拋悭型阴----------------------
导容;、.彳灵一股的主亚怛盘汁=踩点-描一)至点-斫jt A ■^-》麵取*5?.限-、提升丰又眼.-》旷大疤|5|
-二圭转后■门-》话降曰吉. 览几十丸的行沖整缺“
務源1T *;•〕旨利用已胰的密玛会试登录其乞主机或甘亘-亡鹿有
器零蛊理融适觸谿覧磐蛊藹券徐蚩勢逼乎怒烹网E辱苴它戦農方式。还也括近乖一箜利用踩点兰天宰転的匸咐呂HF•务器-比许用L快取域幸11己录文件内容* 览扌羊就可3了解到阿站的详细网编命布绪村* 另申卜网绵.服务商可果克询停到公司地址.及人迪內咅B邮件- 电话竽等- 收聂单•险注册的工吨禺警丞垂佶「旦。育叭坦一步脚壬比扫描旺主丑*