网络架构安全设计.pdf

网络架构安全设计 知识域：网络架构安全 知识子域：网络架构安全基础  理解网络架构安全的含义及主要工作  理解网络安全域划分应考虑的主要因素  理解IP地址分配的方法  理解VLAN划分的作用与策略  理解路由交换设备安全配置常见的要求  理解网络边界访问控制策略的类型  理解网络冗余配置应考虑的因素 2 网络架构安全的内容 合理划分网络安全区域 规划网络IP地址 设计VLAN 安全配置路由交换设备 网络边界访问控制策略 网络冗余配置 3 网络安全域划分的目的与方法 定义  安全域是遵守相同安全策略的用户和系统的集合 安全域划分的目的  把大规模负责系统安全问题化解为更小区域的安全 保护问题  网络抗渗透的有效防护方式，安全域边界是灾难发 生时的抑制点 安全域的划分方法  按信息资产划分  按业务类型划分  按地域划分  按组织架构划分 4 网络安全域防护 同级别安全域 同级别安全域之间的边界-同级别安 全域之间的安全防护主要是安全隔 离和可信互访 不同级别安全域 不同级别安全域之间的边界－实际 同级别安全域之间的边界 设计实施时又分为高等级安全域和 低等级安全域的边界和防护 远程连接用户 远程连接的用户－对于远程接入用 户通常采用VPN结合用户认证授权 的方式进行边界防护 远程接入边界的安全 5 IP地址规划 据IP编址特点，为所设计的网络中的节点、网络 设备分配合适的IP地址 应与网络层次规划、路由协议规划、流量规划等 结合起来考虑 IP地址规划应采用自顶向下的方法 6 IP地址分配的方式 静态地址分配  给网络中每台计算机、网络设备分配一个固定的、 静态不变的IP地址  提供网络服务的网络设备，如WEB服务器、邮件 服务器、FTP服务器等服务器，一般为其分配静态 IP地址 动态地址分配  在计算机连接到网路时，每次为其临时分配一个IP 地址 NAT地址分配  将私网地址和公网地址转换使用 7 VLAN设计 将网内设备的逻辑地划分成一个个网段从而实现 虚拟工作组 通过VLAN隔离技术，可以把一个网络系统中众 多的网络设备分成若干个虚拟的工作组 安全作用  建立VLAN之间的访问机制，阻止蠕虫和恶意病毒 的广泛传播  建立VLAN 区域安全和资源保护，将受限制的应用 程序和资源置于更为安全的VLAN中 8 VLAN划分方法 一个交换机上可以划分出多个VLAN 多个交换机并在一起共同划分出若干个VLAN 某些计算机可以同时处于多个VLAN中 9 路由交换设备的安全配置 交换机安全配置要点  安装最新版本的操作系统，定期更新交换机操作系 统补丁  关闭空闲的物理端口  带外管理交换机  明确禁止未经授权的访