网络与信息安全防护课件.ppt

背靠背配置 确定防火墙结构（技术点拨） 堡垒主机 三向配置 Web Server 局域网 局域网 外围网络 Internet 局域网 外围网络 防火墙产品选择 防火墙产品的选择分为三个阶段： 1. 根据实际的企业防火墙结构确立所需防火墙产品的数目。 在单级防火墙结构和多级防火墙结构中所需的防火墙数 量是不同的，且后期的产品类型和型号选择也有所差异； 2. 确定防火墙结构中防火墙的类型。防火墙分为软件防火 墙和硬件防火墙两种类型，这两种类型的防火墙所需的 设备种类、性能、价格、易用性、通用性、扩展性等都 有所差异，需要根据企业的实际的财力、管理能力及前 期所确立的防火墙结构进行选择。另外，在多级防火墙 结构中，不排除同时采用软件防火墙和硬件防火墙的可 能性； 防火墙产品选择 3. 针对防火墙结构中不同位置的防火墙选择产品型号。产 品型号的选择需要针对设备厂家、型号、性能、价格、 市场占有率、可扩展性等多方面做资料搜寻与对比。另 外，在多级防火墙结构中，如果同时采用了软件防火墙 和硬件防火墙，那么在产品型号的选择中需要针对防火 墙在防火墙结构中的不同位置及不同类型分别选择产品 型号。 防火墙产品选择 防火墙产品选择的方法： ? 在 Internet 上搜索所有防火墙生产厂家，通过网页信息 介绍初步了解各个型号的性格、价格； ? 向各个网络设备销售商索要相应的产品广告宣传单，了 解各种型号产品目前的市场占有率； ? 向设备生产厂家咨询各行业网络解决方案以及设备的具 体报价，登录各公司网站获取网络解决方案，了解不同 厂家在针对不同网络规模时所采取的解决方案； ? 对各个厂家的产品性能分析报告进行分析比较，分析各 厂商同种类型产品的性能和价格比。 防火墙产品选择 硬件防火墙产品选择的要点： ? LAN 端口类型和数量 ? 协议支持 ? 访问控制配置 ? 自身的安全性 ? 防御功能 ? 连接性能 ? 管理功能 ? 记录和报表功能 ? 灵活的可扩展性和可升级性 ? 协同工作能力 ? 品牌知名度 案例：源地址路由 要求： ? 用户有两个 VLAN; ? VLAN100 ： 、 24 ? 从电信线路出去访问外网； ? Vlan200 ： 、 24 ? 从铁通线路出去访问外网。 要求： ? 内网网段 能够访问互联网， ? 外网能够通过转换后的合法地址访问 DMZ 内 WEB 服务器上的 Web 服务。 ? 将内网网段（ ）转换成防 火墙外网口地址 ? 将 DMZ 区内 WEB 服务器（ ） 转换成合法地址： 1 案例：路由模式的配置 案例：配置防火墙为 PPTP 拨号服务器 00/24 要求： 外出的公司用户在连接到互联网之后， 通过拨号 VPN 来访问内网。 配置网桥模式 要求： ? 如果将 DMZ 口的 WEB 服务器直接配置成跟 外网口在同一个网段的 IP 地址，必须将防火 墙的外网口和 DMZ 口放到同一个网桥内。 ? 如果外网口和其他网口启用网桥，建议只 在外网口上配置 IP 地址，其他接口配置为 ； ? 将内网私有地址 /24 转换成 45 任务三 入侵检测系统选型与部署 任务要求： 1. 根据企业需求选择入侵检测系统的类型； 2. 通过市场调查与资料查阅，列举出流行的入侵检 测系统产品，并从性能、价格等方面进行对比分 析，做出入侵检测系统产品功能分析方案，与用 户进行沟通，选择合适的产品； 3. 根据企业的网络结构与网络安全架构做出入侵检 测系统部署方案。 入侵检测系统的选型 1. IDS(Intrusion Detection System, 入侵检测系统 ) 可以检 测并响应网络攻击事件，从物理的角度来看，它充当着 报警系统的角色。它主要有两种类型： ? HIDS(Host-based IDS , 基于主机的 IDS ） ? NIDS(Network-based IDS, 基于网络的 IDS ） 2. 通过信息搜集，对比两种 IDS 所保护的对象，从结构特 点、性能优缺点等方面对比其差异； 3. 分析企业安全需求，为其所需保护的对象选择 IDS 类型。 入侵检测系统的部署 ? 明确入侵检测的功能是对入侵行为的发现； ? 入侵检测系统必须对所需保护的网络对象的网络 活动的进行实时监控才能达到其保护功能； ? 根据所保护对象的不同和入侵检测系统类型的不 同在相应的网络位置做部署； ? 明确入侵检测系统是实现入侵检测的一系列软件 与硬件的有机组合。 平面 内网 Internet ? 是网络上的一个监听设备 ? 通过网络适配器捕获数据包并分析数据 包 ? 根据判断方法分为基于知识的数据模式 判断和基于行为的行为判断方法 技术点拨：基于网络的 IDS 平面 内网 Internet ? HIDS 是配置在被保护的主机上的，用来