RCSI-chap4.2-构建安全的园区网络项目介绍-v2.1.pptVIP

构建安全的园区网络——项目介绍 学习目标 通过本章的学习，希望您能够： 了解网络安全建设的需求 掌握如何规划一个安全的园区网络 熟悉网络安全项目的实施步骤 本章内容 了解项目的背景和环境介绍 了解项目的需求 对项目需求进行分析 确定解决问题所需使用的技术 掌握实施项目的步骤 课程议题 项目背景介绍 网络安全综合项目背景 需求分析 需求分析（续） 网络安全综合案例拓扑 编址规划 项目实施步骤 课程回顾 了解项目的背景和环境介绍 了解项目的需求 对项目需求进行分析 确定解决问题所需使用的技术 掌握实施项目的步骤 锐捷网络大学 某企业总部位于北京，并且在上海拥有办事处。总部通过一台防火墙接入Internet，上海办事处通过一台VPN网关接入Internet。公司总部和办事处网络都使用私有编址方案。总部网络内有一台提供对外服务的FTP服务器，这个服务器需要被Internet上的用户访问到。 由于公司业务上的需要，总部和办事处之间需要共享业务信息，并且由于总部和办事处之间需要交互一些敏感的数据信息，所以这些信息在跨跃不安全的Internet上进行传输时需要保证数据的机密性。此外，公司还经常有出差在外进行移动办公的人员，这些移动办公人员也都需要接入到总部网络以获取业务信息。 此外，为了更加提高网络的安全性，总部网络需要一种机制能够检测到网络中出现的安全威胁，以便及时地对威胁进行控制、阻断或隔离。 需求1：总部网络和办事处网络使用私有编址方案，但是需要访问Internet资源。 分析1：要将使用私有编址方案的接入到Internet，可以在防火墙和VPN网关上采用安全NAT。 需求2：总部网络中的FTP需要对外提供服务。 分析2：为了使内部FTP服务器能够对外提供服务，需要在总部防火墙上使用IP映射将FTP服务器发布到Internet中。 需求3：总部和办事处网路需要共享信息，并且要保证数据传输的安全性。 分析3：在总部网络和办事处网络之间构建安全的IPsec隧道，通过IPsec隧道传输的数据都将被进行加密处理。 需求4：移动办公人员需要接入到总部网络获取信息。 分析4：移动办公网络接入到Internet后，可以使用远程接入IPsec技术通过IPsec隧道接入到总部网络。 需求5：总部网络内部需要能够检测安全威胁。 分析5：在网络内部（防火墙后面）部署IDS可以对网络内部的数据进行监听和检测，并对检测到的威胁进行告警。 /24 Router F1/1 /24 Router F1/0 /24 VPNB WAN /24 VPNB LAN /24 VPNA WAN /24 VPNA LAN /24 FW WAN /24 FW LAN 00/24 FTP_Server /24 PC5(IDS Console) 4/24 PC4(Attacker) 0/24(Public) 192.168.3.x/24(Private) PC3(IPsec Client) /24 PC2 /24 PC1 IP地址 设备/接口 配置总部防火墙的安全NAT 配置总部防火墙的IP映射，进行服务器发布 配置总部网络与分支办事处网络的LAN-to-LAN IPsec VPN 配置远程接入用户到总部网络的Remote-Access IPsec VPN 配置交换机的端口镜像 配置IDS系统 在Internet中发起到达内部网络的攻击，查看IDS告警 在防火墙上阻断相应攻击 该页为PPT正文部分 议题：为本页PPT的总结性语句，尽量使用概括性的少数文字表述。 使用30磅黑体，黑色，加阴影。 正文：分为标题和正文两部分。 占位符位于PPT白色部分最中央； 标题分为一级标题和二级标题 一级标题字数不要太多，长度不要超过两行； 一级标题使用21磅黑体，加阴影，暗红色；左对齐，项目编号统一；行距1.5； 二级标题使用18磅华文细黑，加阴影，蓝色；行距1.3； 同级标题表示前后步骤时，项目符号采用编号表示； 正文使用16磅华文细黑，黑色。 单页只有一行文字或图片的注释文字使用18磅华文细黑，加阴影，蓝色；行距1.3； 提问时间PPT，本页为本章PPT的结束页，本页出现课程进入提问与回答阶段。 “QA”大小、形状与位置不得改变 第二页PPT为本章教学目标，用于使学员理解教学目的，以达成学习目标。 “教学目标”使用30磅黑体，黑色，加阴影； 正文占位符位于PPT空白部分最中央； 一级标题使用21磅黑体，暗红色，加阴影；左对齐，项目编号统一；行距1.5； 二级标题使用18磅华文细黑，黑色，加阴影；左对齐，项目编号统一；行距1.3。 二级标题中句末都不带标点符号 页面中图片大小、位