《网络安全技术与践》第四篇网络安全设计.ppt

* * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * 项目三 校园网安全设计 技能目标： 掌握校园网络安全分析方法 掌握校园网络安全设计技术 项目三 校园网安全设计 【项目背景】 A学校在上世纪末构建了校园网，由于学校网络用户数量快速增加，网络信息交互的数据成倍增长，应用系统也在逐渐增多，导致校园网已无法满足学院日益发展的需求。具体表现在网络结构越来越复杂，难于管理；校园网经常出现访问延迟现象，有时甚至无法正常访问；服务器系统有时会遭到不明身份用户的攻击。为了保证校园网络安全、高效的运行，实现对校园网更加有效的监控、维护和管理，学院拟投入资金，对校园网进行升级和优化。当然，校园网的安全设计是校园网升级改造的重要内容。 项目三 校园网安全设计 【需求分析】 根据对A学校网络安全现状的调研和分析，结合高校校园网的特点，以及学校长期发展目标对网络安全的需求，可新增相关网络安全设备和网络安全管理系统，提升学院网络的整体管理水平和安全等级。比如：针对网络攻击和病毒、木马、垃圾邮件等不良信息的传播，可增加UTM设备，并开启防火墙、病毒网关和垃圾邮件过滤等功能，最大限度地减少网络攻击和不良信息对校园网的影响；结合内网安全防范要求，增加内网安全管理系统，增强内网安全防护的能力；为规范和有效审核学生上网行为，可配置上网行为管理系统，实现对校园网用户上网行为的监管；要解决校园网络结构复杂，难于管理的问题，可通过配置网络运维管理系统来增强对校园网的运维管理能力；随着学校教学教改的项目增多，对校园网Web应用提出了更高的要求，可安装Web应用防御系统改善Web应用系统安全状况。 项目三 校园网安全设计 【预备知识】 知识1 校园网的安全背景 知识2 校园网的安全问题 知识1 校园网的安全背景 一、校园网的功能 信息交互 教学服务 网上管理 科研服务 知识1 校园网的安全背景 二、校园网的安全特点 校园网的网络组成结构复杂。 用户类型多，学生群体活跃。 应用系统多，功能复杂。 网络环境开放。 网络安全投入少，管理不足。 盗版资源泛滥，导致系统的安全性很低。 知识2 校园网的安全问题 一、校园网面临的安全问题 物理层。物理层主要面临四方面的安全问题：环境安全，设备安全，线路安全，容灾备份。 数据链路层。数据链路层上最常见的攻击手段是数据监听。 网络层。网络层是TCP/IP协议模型的核心，在网络层运行着许多协议，由于初期设计时没有考虑到安全方面的问题，这些协议大都存在着安全隐患。 传输层。传输层面临的问题主要是大量的针对TCP/UDP协议的攻击。针对TCP的攻击主要是利用TCP的三次握手机制，如SYNFlooding攻击、ACK Flooding攻击等；而针对UDP的攻击主要是进行流量攻击，利用UDP通信的不可靠性以达到拒绝服务的目的。 应用层。应用层面临的问题主要是针对应用程序的设计漏洞进行攻击。如对应用协议漏洞的攻击、对系统漏洞的攻击、对操作系统平台的攻击等。 知识2 校园网的安全问题 二、校园网安全需求 校园网的安全一定是全方位的安全。首先，在网络 出口、数据中心、服务器等重点区域要做到安全过滤； 其次，不管接入设备，还是骨干设备，设备本身需要具 备强大的安全防护能力，并且安全策略部署不能影响到 网络的性能，不能造成网络单点故障；其三，要充分考 虑全局统一的安全要求，要能够从接入控制，到网络安 全事件的深度探测，与现有的安全设备能够实现有机的 联动；要有对安全事件触发源的准确定位能力，具有身 份隔离与修复措施，形成一个由内至外的整体网络的安 全构架。 知识2 校园网的安全问题 二、校园网安全需求 一般而言，校园网的安全要注意重视如下几个安全要点 ： 校园网应禁止外部非校园网用户未经许可访问内部数据，实现内部网络和重要服务器数据的安全防护。 校园网内部各部门、个人之间网络访问进行控制，各部门、个人之间在未经授权的情况下，不能相互访问，要实现网络的逻辑或物理隔离。 加强网络监控，要实现对涉及重要服务器数据的攻击行为的纪录与分析。 要加强网络病毒的防范。 要加强安全管理，对校园网内部访问进行规范化管理。 知识2 校园网的安全问题 二、校园网安全需求 校园网安全设计应该实现以下安全目标： 建立一套完备可