8、网络安全规划.pdf

网网 络络 安安 全全 规规 划划 李高丰 前进中的华迪公司前进中的华迪公司 四川华迪信息技术有限公司四川华迪信息技术有限公司 学习目标学习目标 学习完本课程，您应该能够： 明确网络安全规划的基本原则明确网络安全规划的基本原则 掌握网络安全的配置要点掌握网络安全的配置要点 课程内容课程内容 基本原则基本原则 控制策略控制策略 安全组网安全组网 安全防御安全防御 管理审计管理审计 网络安全规划的基本原则网络安全规划的基本原则 网络安全是网络安全是一个复杂的体系结构个复杂的体系结构 网络安全是一个相对的概念 网络安全部署通常会带来副作用 在网络的安全和性能之间找到恰当 的平衡点的平衡点！ 课程内容课程内容 基本原则基本原则 控制策略控制策略 安全组网安全组网 安全防御安全防御 管理审计管理审计 控制策略－－认证授权（控制策略－－认证授权（WLANWLAN接入）接入） 在在WLAN 中中，当无法从物当无法从物理上控制访问者的来源控制访问者的来源 时，务必要使用相应的鉴权及认证手段进行识别 服务服务： 在AP上禁止ESSID广播 MAC过滤 对接入用户进行802.1x身份认证 使用加密无线信道 控制策略－－认证授权（以太网接入）控制策略－－认证授权（以太网接入） 对于来源不可靠的以太网接入使用对于来源不可靠的以太网接入使用802802.11xx认证认证 配合CAMS进行。支持防代理上网，提供运营商带宽安全 使用使用EAD （端点准入防御端点准入防御）技术技术，隔离隔离可能危险用户能危险用户 控制策略－－认证授权（控制策略－－认证授权（RADIUSAAARADIUSAAA ）） 通过RADIUS实现AAA认证，可以对各种接入用户 统一集中进行认证和授权 采用采用HWTACCACSCS协议代替协议代替RADIUSUS 实现对验证报文主体全部进行加密 支持对路由器上的配置实现分级授权使用支持对路由器上的配置实现分级授权使用 认证服务器认证服务器 控制策略－－认证授权（移动客户）控制策略－－认证授权（移动客户） 移动用户客户端移动用户客户端SECPointSECPoint的远程接入验证的远程接入验证 传统用户名传统用户名＋＋密码方式密码方式 双因素认证 SecKEY PKI/CA体系验证方式 控制策略－－业务隔离（以太网接入）控制策略－－业务隔离（以太网接入） 普通二层以太网网络中采用普通二层以太网网络中采用VLANVLAN进行隔离进行隔离。 小区以太网接入应用中在接入层交换机上配置 Isolate-user-VLAN，禁止接入用户之间互访。 建议在接入交换机接入端口配置广播抑制门限建议在接入交换机接入端口配置广播抑制门限 1 22 33 44 控制策略－－业务隔离（控制策略－－业务隔离（ACL VPNACL VPN ）） 采用访问控制列表ACL进行L1层～L4层隔离 对于大型网络中可以使用 MPLS VPN 技术，实现在 一张基础网络下多种业务间的复杂隔离需求张基础网络下多种业务间的复杂隔离需求。。 控制策略－－网络设备访问权限控