4、边界安全防护.ppt

内容简介 一、任务内容 二、背景知识 三、风险分析 四、步骤介绍 五、任务小结 一、任务内容 二、 背景知识 1、网络边界的基本概念 2、划分边界的依据 3、边界安全防护机制 4、边界防护技术 2、划分边界的依据 3、边界安全防护机制 基本安全防护 采用常规的边界防护机制，如基本的登录/连接控制等，实现基本的信息系统边界安全防护。 较严格安全防护 采用较严格的安全防护机制，如较严格的登录/连接控制，普通功能的防火墙、防病毒网关、入侵防范、信息过滤、边界完整性检查等。 严格安全防护 根据当前信息安全对抗技术的发展，采用严格的安全防护机制，如严格的登录/连接机制， 高安全功能的防火墙、防病毒网关、入侵防范、信息过滤、边界完整性检查等。 特别安全防护 采用当前最先进的边界防护技术，必要时可以采用物理隔离安全机制，实现特别安全要求的边界安全防护。 3、边界安全防护机制 本节重点介绍： 防火墙技术 多重安全网关技术 网闸技术 数据交换网技术 4、边界安全防护——防火墙技术 原理 采用包过滤或应用代理技术，通过访问控制列表ACL过滤数据。 作用 控制进出网络的信息流向和信息包。 提供使用和流量的日志和审计。 隐藏内部IP地址及网络结构的细节。 缺点 不能对应用层识别 4、边界安全防护——多重安全网关技术 UTM介绍 统一威胁管理(Unified Threat Management)， 2004年9月，IDC首度提出“统一威胁管理”的概念，即将防病毒、入侵检测和防火墙安全设备划归统一威胁管理(Unified Threat Management，简称UTM)新类别。 特点 1、一个更高，更强，更可靠的墙。 2、通过高质量的检测技术来降低误报。 3、有高可靠，高性能的硬件平台支撑。 4、边界安全防护——数据交换网技术 特点 数据存储更快速 数据存储更安全 降低大容量存储设备的采购成本 作用 增加磁盘的存取(access)速度 防止数据因磁盘的故障而失落 有效的利用磁盘空间 三、风险分析 四、步骤介绍 1、典型企业网络边界规划 2、配置边界防火墙 1、典型企业网络边界规划 步骤流程： 1.步骤准备 2.划分区域 3.企业内部网络与Internet网络边界部署 4.部门内部网络边界部署 5.重要部门网络边界部署 6.企业网络整体边界部署 7. 小结 1.步骤准备 主要是完成对用户网络环境现场采集的过程，需要采集的信息包含：1）当前网络拓扑结构2）当前网络环境存在的问题（用户角度）3）用户的应用需求4）用户的网络安全需求5）其他网络规划要求6）用户投资预算等 1.步骤准备 2.划分区域 划分区域要考虑： 1）确定安全资产 2）定义安全策略和安全级别 3）划分不同的安全区域 3.企业内部网络与Internet网络边界部署 网络区域边界部署上结合应用需求我们需要考虑 ： 1）Web服务器需要对外提供服务，Internet网络用户能够访问该服务器资源； 2）内部办公网络不对外提供服务，Internet网络用户不能访问内部服务器或信息点； 3）Web服务器和内部办公网络需要防范Internet网络攻击； 4）Web服务器和内部办公网络需要防范病毒传播等。 4.部门内部网络边界部署 内网边界部署上，我们应该考虑以下因素： 1）各部门之间的涉密信息保护； 2）各部门之间有一定的共享资源； 3）需要防范网络病毒蔓延等。 5.重要部门网络边界部署 对如财务部等重要部门，要进行特别防护，如对其进行隔离网闸的部署 6.企业网络整体边界部署 这样就形成了企业内部网络边界部署 7. 小结 本例针对一个企业网络环境给出了一个比较典型的边界部署规划，重点在于让学生理解部署一个企业网络规划的步骤和方法。事实上，每种方案都有各自的特点，在实际应用中，常常需要我们在编写方案时还需要考虑企业网络环境现状、网络建设投资情况等等因素，以便有针对性的设计和完善现有网络体系，真正实现网络安全、经济实用、便捷管理的设计目标。 2、边界防火墙安全配置 步骤流程： 1.步骤准备 2.安全域划分 3.发布受信任区域的邮件及Web服务 4.对发布的服务器实施基本保护 5.深度过滤规则验证 6.小结 1.步骤准备 （1）安装邮件服务器 1.步骤准备 （2）安装Web服务器 2.安全域划分 （1）在防火墙的Web管理页面，选择“策略配置”——“安全选项”把“包过滤缺省允许”的勾取消。 2.安全域划分 （2）在防火墙的Web管理页面，选择“策略配置”——“安全