第节网络安全基础分析.ppt

网络安全防护建议(1) 经常关注安全信息发布 Microsoft、Sun、hp、ibm等公司的安全公告 安全焦点 绿盟网站 网络安全防护建议(2) 经常性检查重要服务器、网络设备是否存在安全漏洞 微软安全基线检测工具 Nmap X-scan 流光 ISS-SCANNER等其他商业安全工具 Windows平台利用Msconfig检查启动项目 网络安全防护建议(3) 根据安全公告、扫描结果及时打补丁或升级软件 利用签名工具对系统重要文件进行签名，经常检查有无变化，防止木马植入 关闭服务器或网络设备上不必要的功能或服务 制定切实可行的安全策略，形成制度并强制执行 内容总结 网络安全简介 TCP/IP网络安全分析 网络安全概念和手段介绍 安全建议 网络安全展望 网络安全发展方向－追求实效 安全理念 主动防御 安全工具 高性能 高安全 高可靠 安全管理 注重制度建设和安全人才培养 内容总结 网络安全简介 TCP/IP网络安全分析 网络安全概念和手段介绍 安全建议 网络安全展望 简化方案 联通 电信 服务器区 办公区 SecPath U200-A H3C S5120 H3C WX3024 H3C MSR 30-40 WA2620-AGN 包括无线覆盖 WA2620-AGN WA2620-AGN 包括无线覆盖 包括无线覆盖 谢谢！ * * * 复杂双网隔离计算机 内网硬盘 外网网线 内网网线 公共部件 控制卡 远端设备 使用控制卡上的翻译功能将硬盘分为逻辑上独立的部分 充分使用UTP中的8芯，减少一根网线 物理隔离网闸的基本原理 采用数据“摆渡”的方式实现两个网络之间的信息交换 在任意时刻，物理隔离设备只能与一个网络的主机系统建立非TCP/IP协议的数据连接，即当它与外部网络相连接时，它与内部网络的主机是断开的，反之亦然。 任何形式的数据包、信息传输命令和TCP/IP协议都不可能穿透物理隔离设备。物理隔离设备在网络的第7层讲数据还原为原始数据文件，然后以“摆渡文件”形式传递原始数据。 物理隔离实现基本原理（1） 物理隔离实现基本原理（2） 内外网模块连接相应网络实现数据的接收及预处理等操作； 交换模块采用专用的高速隔离电子开关实现与内外网模块的数据交换，保证任意时刻内外网间没有链路层连接； 数据只能以专用数据块方式静态地在内外网间通过网闸进行“摆渡”，传送到网闸另一侧； 集成多种安全技术手段，采用强制安全策略，对数据内容进行安全检测，保障数据安全、可靠的交换。 物理隔离技术的应用 涉密网和非涉密网之间 物理隔离技术的优缺点 优点： 中断直接连接 强大的检查机制 最高的安全性 缺点： 对协议不透明，对每一种协议都要一种具体的实现 效率低 交换机安全模块 MAC绑定 QOS设置 多VLAN划分 日志 其他… 路由器安全功能 访问控制链表 基于源地址/目标地址/协议端口号 路径的完整性 防止IP假冒和拒绝服务（Anti-spoofing/DDOS） 检查源地址： ip verify unicast reverse-path 过滤RFC1918 地址空间的所有IP包； 关闭源路由： no ip source-route 路由协议的过滤与认证 Flood 管理 日志 其他抗攻击功能 VPN通过一个私有的通道来创建一个安全的私有连接，将远程用户、公司分支机构、公司的业务伙伴等跟企业网连接起来，形成一个扩展的公司企业网 提供高性能、低价位的因特网接入 VPN是企业网在公共网络上的延伸 VPN简介 网上数据泄漏的风险 Internet 内部网 恶意修改通道终点到：假冒网关 外部段 （公共因特网） ISP接入设备 原始终点为：安全网关 数据在到达终点之前要经过许多路由器，明文传输的报文很容易在路由器上被查看和修改 监听者可以在其中任一段链路上监听数据 逐段加密不能防范在路由器上查看报文，因为路由器需要解密报文选择路由信息，然后再重新加密发送 恶意的ISP可以修改通道的终点到一台假冒的网关 远程访问 搭线监听 攻击者 ISP ISP窃听 正确通道 VPN功能 数据机密性保护 数据完整性保护 数据源身份认证 重放攻击保护 远程访问 Internet 内部网 合作伙伴 分支机构 虚拟私有网 虚拟私有网 虚拟私有网 VPN是企业网在因特网上的延伸 VPN的典型应用 现有的VPN 解决方案 基于 IPSec 的VPN解决方案 基于第二层的VPN解决方案 非 IPSec 的网络层VPN解决方案 非 IPSec 的应用层解决方案 基于IPSec 的VPN 解决方案 在通信协议分层中，网络层是可能实现端到端安全通信的最低层，它为所有应用层数据提供透明的安全保护，用户无需修改应用层协议。