(精)网络安全防护技术.pptVIP

任务引入 面对一个庞大、复杂的企业信息系统，单独对每项信息资产确定保护方法是非常复杂的工作，常由于疏忽或错误导致安全漏洞。但是将整个系统当成一个安全等级来防护，也难免造成没有防范层次和防范重点，对风险尤其是内部风险的控制能力不足 较好的处理方式是进行安全域的划分，制订资产划分的规则，将信息资产归入不同安全域中，每个安全域内部都有着基本相同的安全特性 任务分析 相关知识 网络边界的基本概念 划分边界的依据 边界安全防护机制 边界防护技术 网络边界的基本概念 网络边界的概念 具有不同安全级别的网络之间的分界线都可以定义为网络边界 企业网络常见边界 企业内部网络与外部网络 企业部门之间 重要部门与其他部门之间 分公司与分公司（或总部）之间 划分边界的依据 目的 实现大规模复杂信息系统安全等级保护 作用 把一个大规模复杂系统的安全问题，化解为更小区域的安全保护问题 依据 边界安全防护机制2-1 基本安全防护 采用常规的边界防护机制，如基本的登录/连接控制等，实现基本的信息系统边界安全防护 较严格安全防护 采用较严格的安全防护机制，如较严格的登录/连接控制，普通功能的防火墙、防病毒网关、入侵防范、信息过滤、边界完整性检查等 边界安全防护机制2-2 严格安全防护 根据当前信息安全对抗技术的发展，采用严格的安全防护机制，如严格的登录/连接机制， 高安全功能的防火墙、防病毒网关、入侵防范、信息过滤、边界完整性检查等 特别安全防护 采用当前最先进的边界防护技术，必要时可以采用物理隔离安全机制，实现特别安全要求的边界安全防护 边界安全防护——防火墙技术2-1 原理 采用包过滤或应用代理技术，通过访问控制列表ACL过滤数据 边界安全防护——防火墙技术2-2 作用 控制进出网络的信息流向和信息包 提供使用和流量的日志和审计 隐藏内部IP地址及网络结构的细节 缺点 不能对应用层识别 边界安全防护——多重安全网关技术 UTM介绍 统一威胁管理(Unified Threat Management，简称UTM) ， 2004年9月，IDC首度提出“统一威胁管理”的概念，即将防病毒、入侵检测和防火墙安全设备划归统一威胁管理新类别 特点 一个更高，更强，更可靠的墙。 通过高质量的检测技术来降低误报 有高可靠，高性能的硬件平台支撑 边界安全防护——数据交换网技术 特点 数据存储更快速 数据存储更安全 降低大容量存储设备的采购成本 作用 增加磁盘的存取(access)速度 防止数据因磁盘的故障而失落 有效的利用磁盘空间 实施过程 1.1 规划设计企业网络 1.2 设置边界防火墙安全 1.1 规划设计企业网络2-1 训练目的 理解部署一个企业网络规划的步骤和方法 能通过分析网络需求和应用需求规划出一个典型的边界规划方案 训练步骤 网络环境现场采集 划分安全区域 企业内部网络与Internet网络边界部署 1.1 规划设计企业网络2-2 训练目的 理解部署一个企业网络规划的步骤和方法 能通过分析网络需求和应用需求规划出一个典型的边界规划方案 训练步骤 部门内部网络边界部署 重要部门网络边界部署 企业网络整体边界部署 1.2 设置边界防火墙安全3-1 训练目的 掌握网络边界的概念、划分依据及边界防护技术 掌握设计企业网络边界的步骤和方法，能够具备独立设计企业网络规划、正确配置边界防火墙的能力 掌握防火墙基本配置方法，并能够更好的理解防火墙在边界防护中起到的作用 训练步骤 搭建邮件和WEB服务器 划分安全域（受信任区域和非受信任区域） 1.2 设置边界防火墙安全3-2 训练目的 掌握网络边界的概念、划分依据及边界防护技术 掌握设计企业网络边界的步骤和方法，能够具备独立设计企业网络规划、正确配置边界防火墙的能力 掌握防火墙基本配置方法，并能够更好的理解防火墙在边界防护中起到的作用 训练步骤 发布受信任区域的邮件和Web服务器 制订过滤规则 1.2 设置边界防火墙安全3-3 训练目的 掌握网络边界的概念、划分依据及边界防护技术 掌握设计企业网络边界的步骤和方法，能够具备独立设计企业网络规划、正确配置边界防火墙的能力 掌握防火墙基本配置方法，并能够更好的理解防火墙在边界防护中起到的作用 训练步骤 验证过滤规则 网络安全防护技术 情境三：企业网络安全防护 任务一：企业网络边界安全规划 任务目标 掌握网络边界的概念、划分依据及边界防护技术 能分析网络和应用需求规划出边界规划方案 能够设计企业网络规划、正确配置边界防火墙 能够理解防火墙在边界防护中起到的作用 …… …… …… 身份认证、访问控制、内容安全、监控审计 根据安全防护需求确定安全技术与产品 选择安全措施保护安全域边界 DMZ 通过对系统资产和业务流分析划分安全域 划分系统安全域 相关知识 实施方法 安全