内网安全架构设计和安全产品部署.ppt

网络安全架构设计和网络安全设备的部署 主讲：五邑大学计算机学院 容振邦 邮件：rongzhenbang@ 手机主要内容 内网安全架构的设计与安全产品的部署 安全扫描技术 防火墙技术 入侵检测技术 VPN技术 网络信息安全的基本问题 网络信息安全的基本问题 保密性 完整性 可用性 可控性 可审查性 拒绝否认性 最终要解决是使用者对基础设施的信心和责任感的问题。 网络与信息安全体系 要实施一个完整的网络与信息安全体系，至少应包括三类措施，并且三者缺一不可。 社会的法律政策、规章制度措施 技术措施 审计和管理措施 网络安全设计的基本原则 要使信息系统免受攻击，关键要建立起安全防御体系，从信息的保密性，拓展到信息的完整性、信息的可用性、信息的可控性、信息的不可否认性等。 在进行计算机网络安全设计、规划时，应遵循以下原则： 需求、风险、代价平衡分析的原则 综合性、整体性原则 一致性原则 易操作性原则 适应性、灵活性原则 多重保护原则 网络安全解决方案 网络安全解决方案的基本概念 网络安全解决方案可以看作是一张有关网络系统安全工程的图纸，图纸设计的好坏直接关系到工程质量的优劣。 总体来说，网络安全解决方案涉及安全操作系统技术、防火墙技术、病毒防护技术、入侵检测技术、安全扫描技术、认证和数字签名技术、VPN技术等多方面的安全技术。 一份好的网络安全解决方案，不仅仅要考虑到技术，还要考虑到策略和管理。 技术是关键 策略是核心 管理是保证 在整个网络安全解决方案中，始终要体现出这三个方面的关系。 网络安全解决方案设计 安全需求分析 网络系统的总体安全需求是建立在对网络安全层次分析基础上的。对于基于TCP / IP协议的网络系统来说，安全层次是与TCP/IP协议层次相对应的。 针对该企业网络的实际情况，可以将安全需求层次归纳为网络层安全和应用层安全两个技术层次，同时将在各层都涉及的安全管理部分单独作为一部分进行分析。 网络层需求分析 网络层安全需求是保护网络不受攻击，确保网络服务的可用性。 保证同Internet互联的边界安全 能够防范来自Internet的对提供服务的非法利用 防范来自Internet的网络入侵和攻击行为的发生 对于内部网络提供高于网络边界更高的安全保护 应用层需求分析 应用层的安全需求是针对用户和网络应用资源的，主要包括： 合法用户可以以指定的方式访问指定的信息； 合法用户不能以任何方式访问不允许其访问的信息； 非法用户不能访问任何信息； 用户对任何信息的访问都有记录。 应用层要解决的安全问题包括 非法用户利用应用系统的后门或漏洞，强行进入系统 用户身份假冒 非授权访问 数据窃取 数据篡改 数据重放攻击 抵赖 网络安全解决方案 电子政务网络拓扑概述 电子政务网络拓扑详细分析 电子政务网络风险及需求分析 电子政务网络内网基础网络平台安全 内网核心网络与各级子网间的安全设计 内网网络漏洞扫描系统设计 内网网络入侵检测系统设计 电子政务外网基础平台安全设计 外网网络漏洞扫描系统设计 外网网络入侵检测系统设计 外网WEB服务器安全设计 内网、外网和专网的隔离系统设计 其它网络安全设备 拨号检测系统 上网行为管理系统 DDOS防御网关 VPN网关 防病毒网关 安全扫描技术 扫描目的 查看目标网络中哪些主机是存活的（Alive） 查看存活的主机运行了哪些服务 WWW FTP EMAIL TELNET 查看主机提供的服务有无漏洞 IP扫描 IP扫描——Ping Sweeping Ping使用ICMP协议进行工作 IP扫描 ICMP协议负责差错的报告与控制。比如目标不可达，路由重定向等等 ICMP报文格式 类型域(type)用来指明该ICMP报文的类型 代码域(code)确定该包具体作用 IP扫描 常用的ICMP报文 Ping程序使用ICMP Echo Request/Reply报文 端口扫描 端口 Internet上主机间通讯总是通过端口发生的 端口是入侵的通道 端口分为TCP端口与UDP端口 因此，端口扫描可分类为 TCP扫描 UDP扫描 端口扫描 基本扫描 用Socket开发TCP应用 端口扫描 connect()函数 int connect( SOCKET s, const struct sockaddr FAR *name, int namelen ); 当connect返回0时，连接成功 基本的扫描方法即TCP Connect扫描 优点 实现简单 可以用普通用户权限执行 缺点 容易被防火墙检测，也会目标应用所记录 端口扫描 隐秘扫描 端口扫描 TCP的连接建立过程 端口扫描 SYN扫描 端口扫描 SYN扫描的实现 WinSock2接口Raw S