- 1、本文档共10页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
网络安全与攻防教研室主讲人张鑫计算机网络安全
项目背景
………………o
项目分析
……o
项目需求
………o
项目规划
……o
第1章网络安全规划
1.1项目背景
□企业网络概况:
网络覆盖整个厂区,机房位于智能大厦3层(共15层)
“星形+树形”拓扑结构。
接入用户数量500个,通过路由器接入Internet。
会议室、展厅部署无线漫游网络。
已部署Web、文件、打印、邮件、活动目录等服务器。
网络服务器系统平台为WindowsServer2003/2008。
分支机构通过VPN远程接入总部局域网。
项目背景
生产区
会议室
路由器
Internet接入区
无线访间点
网管区
网普技换机ciscohaas无线网控制器
1000M
100M
核心交换机l
服务器区
展示厅
办公区
防火墙
ISP
1.2项目分析
■1.2.1安全设备分布
1.2.2网络设备安全现状
■1.2.3服务器部署现状
■1.2.4客户端计算机
1.2.5无线局域网安全现状
1.2.1安全设备分布
a1.防火墙
网络防火墙部署在网络边缘,既可以作为Internet接入设备,又可以防护局域网安全。在会议室、展厅等公共环境接入局域网处部署网络防火墙,可以有效隔离公共环境中可能存在的安全风险。
□2.IPS
■IPS部署在Internet接入区的路由器和核心交换机之间,用于扫描所
有来自Internet的信息,以便及时发现网络攻击和制定解决方案。
■3.IDS
IDS部署在安全需求最高的服务器区,用于实时侦测服务器区交换机转发的所有信息。
3.CiscoSecurityMARS
MARS直接连接在核心交换机上,用于收集经过核心交换机的所有数据信息,自动生成状态日志,供管理员调阅。
1.2.2网络设备安全现状
1.交换机和路由器安全配置
交换机安全配置包括VLAN划分、Enable密码、Telnet密码、流量控制、远程监控、802.1x安全认证等。路由器安全配置包括静态路由、访问控制列表、NAT等。
□2.办公设备安全配置
通过为不同的用户群体分配不同的访问权限,避免其对打印机、传真机等办公设备的滥用。
1.2.3服务器部署现状
网络服务器包括域控制器、DHCP服务器、文件服务器、打印服务器、传真服务器、网络办公平台、数据库服务器等,其中有多种网络服务合用一台服务器,通过单独的交换机高速连接至核心交换机,完全采用链路冗余技术双线连接,确保连
接的可靠性。
1.2.4客户端计算机
客户端以Windows系统为主,主要安全措施包括设置登录密码、启用个人防火墙、安装杀毒软件、启用WindowsUpdate等。通过部署组策略、WSUS服务器、防病毒服务器、NAP系统等可以大大提升客户端计算机的安全性。
1.2.5无线局域网安全现状
a1.WEP密钥的发布问题
802.11本身并未规定密钥如何分发,一般手动设置,并长期固定使用4个可选密钥之一,不仅繁琐而且安全性低。
2.WEP用户身份认证方法的缺陷
■-WEP加密采用开放式认证系统,入侵者可以通过抓住加密前后的询问消息,加以简单的数学运算就可得到共享密钥,进入WLAN。
■3.SSID和MAC地址过滤
■SSID本身就是明文信息,很容易被获取,而MAC地址是可以被伪造的,所以这两种方式都不够安全性。
a4.WEP加密机制的天生脆弱性
■WEP加密机制的天生脆弱性是受网络攻击的最主要原因。
1.3项目需求
□1.3.1网络安全需求
隔离来自Internet的所有网络风险。■通过汇聚交换机部署内部网络安全。
划分VLAN做到部门间信息安全。
通过加密和身份验证做到无线网络安全。
■实时监控设备运行状态,及时发现安全隐患。
■1.3.2网络访问安全需求
客户端更新需要集中管理。
网络病毒不得不防。
■网络访问控制需求。
远程访问安全的保护。
1.4项目规划
■1.4.1服务器安全规划
■1.4.2客户端安全规划
■1.4.3网络设备安全规划
■1.4.4无线设备安全规划
■1.4.5安全设备规划
■1.4.6局域网接入安全规划
1.4.7Internet接入安全规划
■1.4.8远程接入安全规划
■1.4.9网络可靠性规划
1.4.1服务器安全规划
1.服务器硬件安全
(1)增加内存和硬盘容量。(2)定期为服务器除尘。
(3)控制机房温度和湿度。
2.操作系统安全
(1)采用高安全性操作系统。(2)减少系统漏洞。
(3)
您可能关注的文档
- 《青少年管弦乐队指南》.pptx
- 《小班儿歌欣赏活动:我有一双小小手》PPT课件.pptx
- 【精品】12SPSS数据分析:问题提出与实例导学(.pptx
- 【智篆商业】2024春夏淘宝天猫运动户外行业趋势白皮书.pptx
- 4月23日世界读书日主题班会PPT.pptx
- 2023ESC心衰指南心力衰竭管理与变迁PPT.pptx
- 2023安全生产开工第一课培训内容PPT.pptx
- 2024全面从严治党专题党课:发扬彻底的自我革命精神 深入推进全面从严治党 PPT课件.pptx
- DCS控制系统培训讲义艾默生.pptx
- Maffucci综合征病人的护理课件.pptx
- 《GB/T 32151.42-2024温室气体排放核算与报告要求 第42部分:铜冶炼企业》.pdf
- GB/T 32151.42-2024温室气体排放核算与报告要求 第42部分:铜冶炼企业.pdf
- GB/T 38048.6-2024表面清洁器具 第6部分:家用和类似用途湿式硬地面清洁器具 性能测试方法.pdf
- 中国国家标准 GB/T 38048.6-2024表面清洁器具 第6部分:家用和类似用途湿式硬地面清洁器具 性能测试方法.pdf
- 《GB/T 38048.6-2024表面清洁器具 第6部分:家用和类似用途湿式硬地面清洁器具 性能测试方法》.pdf
- 《GB/T 18238.2-2024网络安全技术 杂凑函数 第2部分:采用分组密码的杂凑函数》.pdf
- GB/T 18238.2-2024网络安全技术 杂凑函数 第2部分:采用分组密码的杂凑函数.pdf
- 《GB/T 17215.686-2024电测量数据交换 DLMS/COSEM组件 第86部分:社区网络高速PLCISO/IEC 12139-1配置》.pdf
- GB/T 13542.4-2024电气绝缘用薄膜 第4部分:聚酯薄膜.pdf
- 《GB/T 13542.4-2024电气绝缘用薄膜 第4部分:聚酯薄膜》.pdf
文档评论(0)