计算机网络设计第2版.pptVIP

第*页共136页7.3网络安全设计技术[案例]VPN在企业网络中的应用第*页共136页7.3网络安全设计技术[案例]VPN在企业网络中的应用第*页共136页7.4网络物理隔离设计第*页共136页7.4网络物理隔离设计7.4.1网络隔离的技术特点我国《计算机信息系统国际联网保密管理规定》规定：涉及国家秘密的计算机信息系统，不得直接或间接地与国际互联网或其他公共信息网络相连接，必须实行物理隔离。第*页共136页7.4网络物理隔离设计1．网络隔离技术的发展隔离技术物理隔离（物理隔离卡或物理隔离交换机）协议隔离（安全网闸）网络物理隔离卡确保了计算机在同一时间只能访问一个网络，两个网络在同一时间内不会有任何连接。网络物理隔离卡解决了网络的攻击问题，缺点是信息交流仍然不便。第*页共136页7.4网络物理隔离设计[案例]网络安全技术的发展第*页共136页7.3网络安全设计技术（3）IDS系统安装在网络主机区域。可以将IDS安装在主机区域，从而监测位于同一交换机上的其他主机是否存在攻击现象。如IDS部署在内部各个网段，可以监测来自内部的网络攻击行为。（4）网络核心层。网络核心层带宽非常高，不适宜布置IDS。第*页共136页7.3网络安全设计技术4.IDS存在的问题（1）误报/漏报率高。（2）没有主动防御能力。（3）缺乏准确定位和处理机制。第*页共136页7.3网络安全设计技术[案例]IDS在网络中的应用第*页共136页7.3网络安全设计技术[案例]IDS在网络中的应用第*页共136页7.3网络安全设计技术7.3.2IPS网络安全设计1．IPS（入侵防御系统）的功能IPS不但能检测入侵的发生，而且能实时终止入侵行为。IPS一般部署在网络的进出口处，当它检测到攻击企图后，它会自动地将攻击包丢掉或采取措施将攻击源阻断。第*页共136页7.3网络安全设计技术[案例]IPS产品外观第*页共136页7.3网络安全设计技术[案例]IPS工作原理第*页共136页7.3网络安全设计技术2．IPS的性能参数IPS的吞吐率与延时重要的性能参数。不同厂家IPS支持的协议数量、默认功能开启程度、检测精细度、承受攻击的时间等指标差异极大，获取性能指标的前提条件有很大不同。高性能的IPS往往伴随着高成本。第*页共136页7.3网络安全设计技术3．IPS在网络中的部署IDS设备在网络中采用旁路式连接；IPS在网络中采用串接式连接。串接工作模式保证所有网络数据都必须经过IPS设备，IPS检测数据流中的恶意代码，核对策略，在未转发到服务器之前，将信息包或数据流阻截。IPS是网关型设备，最好串接在网络出口处，IPS经常部署在网关出口的防火墙和路由器之间，监控和保护内部网络。第*页共136页7.3网络安全设计技术[P179图7-8]IPS在网络中的位置第*页共136页7.3网络安全设计技术[案例]IPS在网络中的应用第*页共136页7.3网络安全设计技术4.IPS存在的问题（1）单点故障。（2）性能瓶颈。（3）误报和漏报。（4）规则动态更新。（5）总体拥有成本（TOC）较高。第*页共136页7.3网络安全设计技术[案例]统一威胁隔离系统（UTM）第*页共136页7.3网络安全设计技术7.3.3ACL网络安全技术1.ACL（访问控制列表）工作原理ACL是网络设备处理数据包转发的一组规则。ACL采用包过滤技术，在路由器中读取第三层和第四层数据包包头中的信息，如源地址、目的地址、源端口、目的端口等，然后根据网络工程师预先定义好的ACL规则，对数据包进行过滤，从而达到访问控制的目的。第*页共136页7.3网络安全设计技术[案例]ACL处理流程第*页共136页7.3网络安全设计技术2.ACL配置的基本原则（1）最小权限原则。只满足ACL部分条件的数据包不允许通过。（2）最靠近受控对象原则。标准ACL尽可能放置在靠近目的地址的地方；扩展ACL尽量放置在靠近源地址的地方。（3）立即终止原则。（4）默认丢弃原则。如果数据包与所有ACL行都不匹配，将被丢弃。第*页共136页7.3网络安全设计技术（5）单一性原则。一个接口在一个方向上只能有一个ACL。（6）默认设置原则。路由器或三层交换机在没有配置ACL的情况下，默认允许所有数据包通过。防火墙在在没有配置