您的位置:360文档中心› 网络安全无处不在

网络安全无处不在

相关主题
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

问题3:内网桌面系统没 有采用统一的安全管理 系统
VPN接入
无线办公接入
统一日志管理
问题4:VPN接入系统缺乏统 问题5:无线办公安全接入 问题6:对设备和主机日
一的AAA认证、授权和审计, 缺乏统一的身份认证和授权 志缺乏统一的存储、分
没有强口令认证系统
机制
析和审计系统
内网安全管理解决方案
内网安全管理解决方案 桌面安全管理解决方案 日志安全审计解决方案
用户统一管理 认证
登陆AD后的生产应用
Cisco ACS网络设备安全管理
问题:部分分行使用了ACS管理网络设备并进行授权,但没 有强口令认证系统
ACS可以实现Cisco网络设备的认证、命令级 别的授权和审计功能,结合双因素认证系统实 现强口令认证
网络安全无处不在
网络安全方向 技术交流
赵楠 2009.07.16
议题
网络安全概述 网络安全系列解决方案
安全车轮
连续的多阶段过程 侧重于不断改进
安全
管理

改进
监视

响应
测试
网络安全部件
安全连接 边界安全
入侵监视
身份识别
安全管理
VPN
防火墙
入侵检测扫描
认证
互联网
政策
议题
网络安全概述 网络安全系列解决方案
和控制是重中之重; 4. 对互联网接入平台的建设采用标准化、层次化的安
全防护。
互联网接入平台解决方案
需求分析 解决方案 方案特点
外网接入控制区 外层防火墙区 DMZ区 内层防火墙区 信息管理区 内网区
网络拓扑
ISP1
IPS
ISP2
防DDoS设备 链路负载均衡
防病毒网关
防垃圾邮件网关
VPN 网关
WEB MAIL DNS
4、上网行为管理:提供高性能的互联网访问加速及上网行为控制功能, 具体包括身份认证、访问控制、URL过滤、流媒体控制、基于业务类型的 带宽控制和QoS。
互联网接入平台解决方案
需求分析 解决方案 方案特点
方案特点
1. 符合总体规范 2. 标准化设计思路 3. 模块化、层次化的安全防护 4. 可扩展性强 5. 可操作性强,可以分步实施
网络安全解决方案
互联网接入平台解决方案 内网安全管理解决方案 SSL VPN移动办公解决方 案
内网安全管理解决方案
需求分析 解决方案 方案特点
需求分析

网络设备管理
服务器管理
桌面管理
问题1:部分客户使用了ACS 管理网络设备并进行授权, 但没有强口令认证系统
问题2:生产服务器Unix 主机和Windows主机目前 还没有使用安全管理系统
VPN 网关
WEB MAIL DNS
1、功能:该区域主要用于放置对外提供服务的服务器和应用系统
2、设备部署:包括防病毒网关、WEB服务器、MAIL服务器、DNS服务器、 VPN网关等
3、防病毒网关:用于在网络层对病毒进行防护,比如典型的蠕虫病毒等, 不包括文件型病毒 4、VPN网关:用于对离线网点VPN接入和对外网移动办公接入的资源发布和 安全防护
5、漏洞管理系统:用于对用户和网络设备进行漏洞扫描和补丁分发
6、网络管理系统:用于对关键网络设备和服务器进行管理 7、内网安全管理系统:管理内网桌面安全
区域划分——内网区
内网区
上网行为管理
报表服 务器
内网
内网用户 分支用户
1、功能:内网区用于连接内网用户
2、设备部署:包括内网用户和代理服务器等
3、内网用户:局域网用户通过以太网接入,分支机构通过专线接入
AAA 防病毒 网络管理 漏洞管 内网安 系统 系统 系统 理系统 全管理
上网行为管理
报表服 务器
内网
内网用户 分支用户
区域划分——外网接入控制区
外网接入控制区
ISP1
IPS
ISP2
防DDoS设备 链路负载均衡
1、功能:该区域主要用于外网接入和控制和防攻击 2、设备部署:主要部署外网接入设备、链路负载均衡设备和防攻击设备
a) 隔离互联网和DMZ; b) 访问控制:IP包过滤,仅允许从互联网到DMZ公共服务器的访问
和经由内层防火墙到互联网访问的IP包进出; c) IP地址合法性检查,防止地址欺骗; d) 对网络访问和分组过滤规则情况进行审计; e) 对网络攻击情况进行审计
区域划分——DMZ区
DMZ区
防病毒网关
防垃圾邮件网关
5、防垃圾邮件网关:用于对邮件系统垃圾邮件的防护
区域划分——内层防火墙区
内层防火墙区
1、功能:该区域主要用于对DMZ区域和内网之间的流量做访问控制和分组过滤 2、设备部署:主要部署内层防火墙 3、外层防火墙:
a)隔离DMZ和内部网 b) 支持代理服务器从内部网到互联网和DMZ的单向访问 c) IP地址合法性检查,防止地址欺骗 d) 对网络访问进行监控审计 e) 对发生的攻击行为进行审计 f) 配置高速缓存加速访问、节约带宽资源
内网安全管理解决方案
双因素认证系统

网络设备管理 VPN接入
无线办公接入
双因素认证 TACACS+授权
认证转发
服务器 操作员
双因素认证
双因素认证
ACS Syslog日志
二次跳转
服务器安全管理系统 Syslog日志
服务器管理
802.1x认证
统一认证审计平台
用户自助服务
账户同步 Syslog日志
MS AD
网络安全解决方案
互联网接入平台解决方案 内网安全管理解决方案 SSL VPN移动办公解决方 案
互联网接入平台解决方案
需求分析 解决方案 方案特点
需求分析
1. 随着业务的发展,各部门都有上网的需求; 2. 目前大部分机关及其下属都是自行实现上网,没有
统一管理,存在很大的安全隐患; 3. 实现统一的互联网接入平台是大势所驱,安全接入
区域划分——信百度文库管理区
信息管理区
AAA 防病毒 网络管理 漏洞管 内网安 系统 系统 系统 理系统 全管理
1、功能:该区域主要放置网络管理系统 2、设备部署:包括网络版防病毒系统、AAA系统、漏洞管理系统、网络管 理系统、内网安全管理系统等 3、AAA系统:用于对用户访问应用进行认证、授权和审计 4、网络防病毒系统:用于对用户访问应用进行认证、授权和审计
3、防DDoS设备:防护DDoS攻击,保证接入平台的可用性 4、链路负载均衡设备:无缝监视多条链路的负载和可用性,对于出入的 流量进行负载均衡 5、IPS设备:自动识别网络攻击并记录,自动终结和防护攻击
区域划分——外层防火墙区
外层防火墙区
1、功能:该区域主要用于对来自外网的流量做访问控制和分组过滤 2、设备部署:主要部署外层防火墙 3、外层防火墙:
相关文档
最新文档