CISP0204协议及网络架构安全解说.ppt

服务集标识符 物理地址过滤 有线对等加密 Wi-Fi保护接入 国家标准WAPI 端口访问控制技术 虚拟专用网络 * 无线局域网安全配置 基本的过滤路由器 经典的双路由器划分DMZ 状态防火墙DMZ设计 现代三接口防火墙设计 多防火墙设计 * 网络安全设备部署-防火墙的部署 结构简单的防火墙部署方式，适用于无对外提供服务的简单网络，通常由路由器实现 依靠基本ACL进行安全防护，需要设置大量端口策略，过严格策略影响应用，简单策略容易被欺骗及穿透 内部网络 基本的ACL 外部网络 * 防火墙部署-基本过滤路由 早期的防火墙部署方式，公共服务器与内部网络的其余部分分开实现双层过滤，根据需要设置不同的安全访问策略 较基本过滤路由方式安全性得到较大提高，使用ACL进行控制仍然无法彻底保证安全 内部网络 详细的ACL 公共服务器 基本的ACL 外部网络 * 防火墙部署-双路由过滤 所有流量都经过防火墙进行，由防火墙根据策略进行控制 防火墙除ACL外，实现状态检测等功能，增强安全防护能力 多接口防火墙可将内部网络、公共服务器互相隔离，可设置更细致策略。 内部网络 公共服务器 状态过滤 基本的ACL 外部网络 * 防火墙部署-多接口防火墙 多接口防火墙的扩展，使用多防火墙实现精细化控制，适用安全域较多，控制策略复杂的情况 解决多接口防火墙策略过于复杂的问题，便于维护 访问量较大的情况下，提高效率 公