网络安全规划.pptVIP

网络安全规划 学习目标 学习完本课程，您应该能够： 课程内容 基本原则 控制策略 安全组网 安全防御 管理审计 网络安全规划的基本原则 网络安全是一个复杂的体系结构 网络安全是一个相对的概念 网络安全部署通常会带来副作用 课控制策略－－认证授权（WLAN接入）程内容 在WLAN中，当无法从物理上控制访问者的来源时，务必要使用相应的鉴权及认证手段进行识别服务： 在AP上禁止ESSID广播 MAC过滤 对接入用户进行802.1x身份认证 使用加密无线信道 控制策略－－认证授权（以太网接入） 对于来源不可靠的以太网接入使用802.1x认证 配合CAMS进行。支持防代理上网，提供运营商带宽安全 使用EAD（端点准入防御）技术，隔离可能危险用户 控制策略－－认证授权（RADIUSAAA） 通过RADIUS实现AAA认证，可以对各种接入用户统一集中进行认证和授权 采用HWTACACS协议代替RADIUS 实现对验证报文主体全部进行加密 支持对路由器上的配置实现分级授权使用 控制策略－－认证授权（移动客户） 移动用户客户端SECPoint的远程接入验证 传统用户名＋密码方式 双因素认证 SecKEY PKI/CA体系验证方式 控制策略－－业务隔离（以太网接入） 普通二层以太网网络中采用VLAN进行隔离。 小区以太网接入应用中在接入层交换机上配置Isolate-user-VLAN，禁止接入用户之间互访。 建议在接入交换机接入端口配置广播抑制门限 控制策略－－业务隔离（ACL VPN） 采用访问控制列表ACL进行L1层～L4层隔离 对于大型网络中可以使用 MPLS VPN 技术，实现在一张基础网络下多种业务间的复杂隔离需求。 控制策略－－网络设备访问权限 所有的网络设备必须配置super密码，telnet的口令及密码，并定期修改。 考虑使用SSH方式登录，保证远程登录设备安全。同时禁止telnet服务。 控制策略－－路由安全 路由欺骗防止 如果RIP和OSPF等动态路由协议在某些接口上（通常是以太网口）启动协议的目的仅仅是为了发布路由，而无需建立邻居，则务必将这些接口设置为silent- interface 对于OSPF等在接口上支持MD5验证的路由协议，不建议配置MD5验证 安全组网－－安全传输 安全传输 当数据在网络传输的过程中无法确保安全时通常需要使用一定的安全技术。 加密技术 IPSec 应用为IP协议组提供了网络层的安全能力，发送主机对IP报文进行加密，目的端点对源端点进行身份验证。可以确保报文的完整性和隐秘性。 WLAN的报文传输过程可以使用WEP、WAP等加密手段确保报文的安全传送。采用WAP可以支持更长的加密密钥、避免采用静态加密密钥 安全组网－－VPN 报文在传输的过程中将其封装在隧道里，使其对沿途经过的设备不可见，从而保证其安全性。常用对安全性要求不高的简单环境。 L2TP、GRE利用同IPSEC安全协议配合，实现安全保密的VPN 安全防御－－网络防护 面对安全威胁响应的时间越来越短 安全防御－－网络防护 （续） 当内部网络与外部网络相连时，需要对内部网络进行必要的网络防护措施。 即使在不需要与外网相连的情况下，也需要对内部网络中异常重要的服务器进行防护。 网络防护主要通过防火墙设备来实施。 安全防御－－模型 安全防御－－包过滤防火墙 容易实施，几乎所有网络设备都支持ACL特性 应用于接口或者安全区域，分出入方向 采用ACL进行物理层到传输层的控制。 配置包过滤防火墙进行网络病毒防范 安全防御－－ASPF ASPF状态防火墙 同包过滤防火墙共用时，应注意在相同出接口或入接口上应用 使用NAT时，可以不需要再启用ASPF NAT也是基于状态的，对出方向的报文建立状态表。起到单向访问控制作用 安全防御－－拒绝服务和扫描 拒绝服务类攻击 扫描类攻击 畸形报文攻击 管理审计－－日志 日志记录 日志记录可以准确的记下设备运行过程中发生的各种软件异常信息，链路异常信息，对设备的各种命令操作等。 日志记录可以在事后对各类故障进行分析，便于事后进行追踪，改善网络的安全部署策略。 日志记录的类别 设备运行时务必设置记录日志，如果条件允许，尽量将需要将日志信息发送到特定的日志主机。 为了减少日志信息量，应该只记录重要的告警信息。 务必记录对设备所有的操作信息。 总结 从五个方面讨论了网络安全规划的注意事项： 基本原则 控制策略 安全组网 安全防御 管理审计 * * 明确网络安全规划的基本原则 掌握网络安全的配置要点 Modem 接入 ADSL 接入 LAN 接入 WLAN 接入 认证服务器 1 2 3 4 密文 明文 加密 密钥 Internet 出差员工 总部 合作伙伴 波及全