网络安全方案设计概述PPT课件(46页)
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
3
网络安全技术使用教程
11.1.2网络安全方案设计的原则
1.系统性原则
网络安全系统的建设需要有系统性和适应性,而且不能因为网 络技术的发展、网络信息系统的攻防技术的深化和演变、系统升级和 配置的变化而导致在系统的整个生命周期内的安全保障能力和抵御风 险的能力降低。
2.技术先进性原则
技术先进性是网络安全系统设计必须考虑的原则之一,只有选 用先进、成熟的安全技术和设备,并在方案实施时采用先进可靠的工 艺和技术,才能提高整个网络系统运行的可靠性和稳定性。
4
网络安全技术使用教程
11.1.2网络安全方案设计的原则
3.管理可控性原则
网络系统的所有安全设备(包括管理、维护和配置)都应该自 主可控,网络系统安全设备的采购也必须有严格的手续和相应机构的 认证或许可标记,另外,安全设备的供应商也须具备相应的资质并具 有可信度。
4.适度安全性原则
网络系统安全方案应该充分考虑被保护对象的价值与保护成本 之间的平衡性,在允许的风险范围内应该尽量减少安全服务的规模和 复杂性,使之具有可操作性,避免超出用户所能理解的范围,从而造 成方案的执行困难,甚至无法执行。
防火墙在局域网中一般安装在局域网与路由器之间;在托管服 务器机房中一般安装在服务器与托管机房局域网之间。
7
网络安全技术使用教程
11.2.1技术解决方案
1)局域网防火墙的主要作用
( 1 ) 实 现 单 向 访 问 , 允 许 局 域 网 用 户 访 问 Internet 资 源 , 但 是 严 格 限 制 Internet用户对局域网资源的访问;
(2) 通过防火墙,将整个局域网划分Internet,DMZ区,内网访问区这三 个逻辑上分开的区域,有利于对整个网络进行管理;
(3)局域网所有工作站和服务器处于防火墙地整体防护之下,只要通过防 火墙设置的修改,就能有限绝大部分防止来自Internet上的攻击,网 络管理员只需要关注DMZ区对外提供服务的相关应用的安全漏洞;
如果检测到攻击,IPS会在这种攻击扩散到网络的其它地方之前 阻止这个恶意的通信。
10
网络安全技术使用教程
11.2.1技术解决方案
3.网络防病毒软件控制中心以及客户端软件
网络防病毒软件主要安装在防病毒服务器以及各个客户端计算 机上。 1)防病毒服务器的主要作用 (1) 作为防病毒软件的控制中心,及时通过Internet更新病毒库,并 强制局域网中已开机的客户端计算机及时更新病毒库软件; (2)记录各个客户端计算机的病毒库升级情况; (3)记录局域网中计算机病毒出现的时间、类型以及后续处理措施。 2)防病毒客户端软件的作用 (1) 对本机的内存、文件的读写进行监控,根据预定的处理方法处理 带毒文件; (2) 监控邮件收发软件,根据预定处理方法处理带毒邮件。
网络安全方案设计的目标是实现动态安全,不会因为随着时间 的推移和环境的变化而使得系统变得不安全,所以不仅需要考虑当 前的状况,还要考虑到未来的需求,能为今后的网络升级准备好升 级的接口。
没有一个网络是绝对安全的,即只有相对安全。而且现在相对 安全的方案可能因为时间和空间的不断变化而出现安全问题,因此 在设计方案时必须注意到这一点,并在方案中也应该告诉用户,只 能做到避免风险,消除风险的根源,降低由于风险所带来的损失, 而不能做到消灭风险。
6.测评认证原则
安全方案的设计必须通过国家有关部门的评审,采用的安全产 品和保密设备需经过国家主管部门的认可。
7.系统可伸缩性原则
企业的网络系统会随着网络和应用技术的发展而发生变化,同 时信息安全技术也在发展,因此,网络安全系统的建设必须考虑系统 的可升级性和可伸缩性。重要和关键的安全设备不因网络的变化而更 换或废弃。
ቤተ መጻሕፍቲ ባይዱ
6
网络安全技术使用教程
11.2.1技术解决方案
1.防火墙
防火墙是指设置在不同网络(如可信任的企业内部网和不可信 的公共网)或网络安全域之间的一系列部件的组合。它是不同网络或 网络安全域之间信息的唯一出入口,能根据企业的安全政策控制(允 许、拒绝、监测)出入网络的信息流,且本身具有较强的抗攻击能力。 它是提供信息安全服务,实现网络和信息安全的基础设施。
5
网络安全技术使用教程
11.1.2网络安全方案设计的原则
5.技术和管理相结合原则
网络系统安全建设是一个复杂的系统工程,它包括产品、过程 和人的因素,因此它的安全解决方案必须在考虑技术解决方案的同时 充分考虑管理、法律和法规方面的制约和调控作用。单靠技术或单靠 管理都不可能真正解决安全问题,而必须坚持技术和管理相结合的原 则。
网络安全技术实用教程
第11章 网络安全方案设计
主要内容
1
11.1网络安全方案概述
2
11.2网络安全方案的框架
3
11.3某企业网络安全解决案例
2
网络安全技术使用教程
11.1.1 网络安全方案设计的目标
在设计网络安全方案时,一定要实地考察网络系统的环境,对 当前可能遇到的安全风险和威胁做一个合理的量化和评估,只有这 样才能设计出一份可观的解决方案。好的方案是一个网络工程项目 中很重要的部分,也是网络工程实施的基础和前提。
(2) 通过过滤规则,对远程更新的时间、来源(通过IP地址)进行限制。
9
网络安全技术使用教程
11.2.1技术解决方案
2.入侵检测与入侵防御
入侵检测(IDS)与入侵防御(IPS)设备一般局域网DMZ区以及 托管服务器机房服务器区。 1)入侵检测的作用 (1)作为旁路设备,监控网络中的信息,统计并记录网络中的异常主 机以及异常连接; (2)中断异常连接; (3)通过联动机制,向防火墙发送指令,在限定的时间内对特定的IP 地址实施封堵。 2)入侵防御的作用
(4)通过防火墙的过滤规则,实现端口级控制,限制局域网用户对 Internet的访问;
(5)进行流量控制,确保重要业务对流量的要求; (6)通过过滤规则,以时间为控制要素,限制大流量网络应用在上班时 间的使用。
8
网络安全技术使用教程
11.2.1技术解决方案
2)托管服务器机房防火墙的主要作用
(1) 通过防火墙的过滤规则,限制Internet用户对WWW服务器的访问, 将访问权限控制在最小的限度,在这种情况下,网络管理员可以忽略 服务器系统的安全漏洞,只需要关注WWW应用服务软件的安全漏洞;