CISM网络体系安全.ppt

中国信息安全测评中心 中启航国际信息技术（北京）有限公司 讲师：陈阳怀 OSI安全体系结构定义了系统应当提供的五类安全服务，以及提供这些服务的八类安全机制；某种安全服务可以通过一种或多种安全机制提供，某种安全机制可用于提供一种或多种安全服务。 鉴别； 访问控制； 数据机密性； 数据完整性； 抗抵赖； 加密； 数字签名； 访问控制； 数据完整性； 鉴别； 流量填充（用于对抗通信流量分析，在加密时才是有效的）； 路由控制（可以指定路由选择说明，回避某些特定的链路或子网）； 公证（notarization）； 所有设备均可接收信号。 通过中心点传输。 单一故障点。 比星型拓扑的复原能力更强。 信号绕环传输。 单一故障点。 信号沿相反方向传输。 比单环的复原能力更强。 容错能力强 实施成本高 在容错能力与成本之间寻求平衡 唯一性 连续性 扩展性 机密性 数据完整性 身份鉴别 防重放攻击 不可否认性 控制广播流量 控制组播流量 学习并选择网络路径 逻辑编址 流量访问控制 连接各种广域网 防止对交换机的未经授权的访问 配置系统口令和AAA鉴别、授权服务。 防止非法接入用户及设备和mac地址欺骗攻击 配置NAC和交换机端口安全功能。 防止针对生成树协议的攻击 配置交换机生成树安全功能（BPDU guard、root guard、loopguard等）。 Vlan acl、PVLAN技术实现vlan间和vlan内部流量访问控制。 配置网管安全：使用ssh、https或vpn进行网管。 防止对路由器的未经授权的访问--配置系统口令和AAA服务 防止对网络的未经授权的访问--配置NAC和AAA服务 防止网络数据窃听--部署加密技术（ssh、https、ipsec vpn等） 防止欺骗性路由更新--配置路由协议鉴别 路由器网络服务安全--配置路由器安全加固 访问控制列表（ACL）和过滤--配置访问列表防御常见攻击 日志和管理--配置日志服务器和网管服务器进行日志收集和分析 阻止来自不可信网络的攻击 阻止非法通信（不符合协议原理的） 控制进出网络的信息流向和数据包，过滤不安全的服务； 隐藏内部IP地址及网络结构的细节（NAT)； 提供VPN功能； 提供日志和审计功能。 路由模式 透明模式 混合模式 路由模式 透明模式 混合模式 大多数的防火墙一般同时保留了透明模式和路由模式，根据用户网络情况及用户需求，在使用时由用户进行选择。 与用户物理位置无关的vlan规划 Local VLANs 内的用户都终止于一个共同的物理边界。 知识子域：网络安全域与边界安全 * 安全域与边界 利用交换机、路由器、防火墙实现安全边界 问题 不能实现VLAN间的路由（三层转发） 所有端口在同一个广播域 不能控制组播和广播流量 二层交换机组网 优点 硬件转发性能 每个端口一个独立的冲突域 能够基于MAC控制流量转发（二层转发） 能够防御流量嗅探 安全性比hub有所提升 Routing Table NET INT Metric 1 2 4 S0 S0 E0 1 0 0 1.0 4.0 1.3 E0 4.3 S0 2.2 E0 2.1 S0 4.1 4.2 1.1 1.2 Routing Table NET INT Metric 1 2 4 E0 S0 S0 0 0 1 对物理网络进行逻辑编址. 需要人工配置学习网络路径. 对流量进行三层转发（路由） 网络层功能（三层协议） 路由器工作在网络层 路由器组网 每个接口是一个独立的广播域 能够控制广播域之间的广播和组播流量（默认不转发） 能够使用ACL控制不同网段之间的流量转发 能够启用各种IP安全服务 (AAA,Ipsec，ssh、https等） 提供三层安全性 问题 成本高 三层转发（路由）延迟大 多层交换机 组合二、三、四层硬件交换功能 低成本、高扩展 丰富三层安全功能和服务 提供与路由器类似的安全性 更多专用安全功能 分层园区网模型 先进的网络设备结合专业的网络设计才能够提供更优的性能和安全 交换机安全特性 * 路由器安全特性 * 小 结 交换机功能与安全 路由器功能与安全 * 知识子域：防火墙、IDS安全 * 防火墙功能与安全 IDS/IPS功能与安全 防火墙技术--什么是防火墙？ 在IP网段之间（内部/外部网络、不同信息级别）提供安全连接的设备； 用于实现和执行网络之间通信的安全策略 主要实现不同ip网段之间的四层安全检查（会话连接） Internet 公司网站 防火墙 防火墙技术—为什么需要防火墙? 防火墙的功能 静态包过滤防火墙 主要基于ip包头、tcp/udp头信息进行过滤，控制功能过于简单，静态策略容易成