《任务九企业网络边界安全规划.ppt》由会员分享,可在线阅读,更多相关《任务九企业网络边界安全规划.ppt(40页珍藏版)》请在三一文库上搜索。
1、任务九:企业网络边界安全规划,计算机安全维护,内容简介,一、任务内容 二、背景知识 三、风险分析 四、步骤介绍 五、任务小结,一、任务内容,二、 背景知识,1、网络边界的基本概念 2、划分边界的依据 3、边界安全防护机制 4、边界防护技术,1、网络边界的基本概念,网络边界的概念 具有不同安全级别的网络之间的分界线都可以定义为网络边界 。 企业网络常见边界 企业内部网络与外部网络 企业部门之间 重要部门与其他部门之间 分公司与分公司(或总部)之间,2、划分边界的依据,目的 实现大规模复杂信息系统安全等级保护 。 作用 把一个大规模复杂系统的安全问题,化解为更小区域的安全保护问题 。 依据,3、边
2、界安全防护机制,基本安全防护 采用常规的边界防护机制,如基本的登录/连接控制等,实现基本的信息系统边界安全防护。 较严格安全防护 采用较严格的安全防护机制,如较严格的登录/连接控制,普通功能的防火墙、防病毒网关、入侵防范、信息过滤、边界完整性检查等。 严格安全防护 根据当前信息安全对抗技术的发展,采用严格的安全防护机制,如严格的登录/连接机制, 高安全功能的防火墙、防病毒网关、入侵防范、信息过滤、边界完整性检查等。 特别安全防护 采用当前最先进的边界防护技术,必要时可以采用物理隔离安全机制,实现特别安全要求的边界安全防护。,本节重点介绍: 防火墙技术 多重安全网关技术 网闸技术 数据交换网技术
3、,3、边界安全防护机制,原理 采用包过滤或应用代理技术,通过访问控制列表ACL过滤数据。 作用 控制进出网络的信息流向和信息包。 提供使用和流量的日志和审计。 隐藏内部IP地址及网络结构的细节。 缺点 不能对应用层识别,4、边界安全防护防火墙技术,UTM介绍 统一威胁管理(Unified Threat Management), 2004年9月,IDC首度提出“统一威胁管理”的概念,即将防病毒、入侵检测和防火墙安全设备划归统一威胁管理(Unified Threat Management,简称UTM)新类别。 特点 1、一个更高,更强,更可靠的墙。 2、通过高质量的检测技术来降低误报。 3、有高可
4、靠,高性能的硬件平台支撑。,4、边界安全防护多重安全网关技术,4、边界安全防护数据交换网技术,特点 数据存储更快速 数据存储更安全 降低大容量存储设备的采购成本 作用 增加磁盘的存取(access)速度 防止数据因磁盘的故障而失落 有效的利用磁盘空间,三、风险分析,四、步骤介绍,1、典型企业网络边界规划 2、配置边界防火墙,1、典型企业网络边界规划,步骤流程: 1.步骤准备 2.划分区域 3.企业内部网络与Internet网络边界部署 4.部门内部网络边界部署 5.重要部门网络边界部署 6.企业网络整体边界部署 7. 小结,1.步骤准备,主要是完成对用户网络环境现场采集的过程,需要采集的信息包
5、含: 1)当前网络拓扑结构 2)当前网络环境存在的问题(用户角度) 3)用户的应用需求 4)用户的网络安全需求 5)其他网络规划要求 6)用户投资预算等,1.步骤准备,2.划分区域,划分区域要考虑: 1)确定安全资产 2)定义安全策略和安全级别 3)划分不同的安全区域,3.企业内部网络与Internet网络边界部署,网络区域边界部署上结合应用需求我们需要考虑 : 1)Web服务器需要对外提供服务,Internet网络用户能够访问该服务器资源; 2)内部办公网络不对外提供服务,Internet网络用户不能访问内部服务器或信息点; 3)Web服务器和内部办公网络需要防范Internet网络攻击;
6、4)Web服务器和内部办公网络需要防范病毒传播等。,4.部门内部网络边界部署,内网边界部署上,我们应该考虑以下因素: 1)各部门之间的涉密信息保护; 2)各部门之间有一定的共享资源; 3)需要防范网络病毒蔓延等。,5.重要部门网络边界部署,对如财务部等重要部门,要进行特别防护,如对其进行隔离网闸的部署,6.企业网络整体边界部署,这样就形成了企业内部网络边界部署,7. 小结,本例针对一个企业网络环境给出了一个比较典型的边界部署规划,重点在于让学生理解部署一个企业网络规划的步骤和方法。事实上,每种方案都有各自的特点,在实际应用中,常常需要我们在编写方案时还需要考虑企业网络环境现状、网络建设投资情况
7、等等因素,以便有针对性的设计和完善现有网络体系,真正实现网络安全、经济实用、便捷管理的设计目标。,2、边界防火墙安全配置,步骤流程: 1.步骤准备 2.安全域划分 3.发布受信任区域的邮件及Web服务 4.对发布的服务器实施基本保护 5.深度过滤规则验证 6.小结,1.步骤准备,(1)安装邮件服务器,1.步骤准备,(2)安装Web服务器,2.安全域划分,(1)在防火墙的Web管理页面,选择“策略配置”“安全选项”把“包过滤缺省允许”的勾取消。,2.安全域划分,(2)在防火墙的Web管理页面,选择“策略配置”“安全规则 ”添加一条“包过滤规则”,3.发布受信任区域的邮件及Web服务,(1)在防火
8、墙的Web管理页面,选择“资源定义”“服务器地址”单击添加按钮,3.发布受信任区域的邮件及Web服务,(2)在防火墙的Web管理页面,选择“策略配置”“安全规则 ”添加一条“IP映射规则”,3.发布受信任区域的邮件及Web服务,(3)在防火墙的Web管理页面,选择“策略配置”“安全规则 ”添加 “包过滤规则”,4.对发布的服务器实施基本保护,(1)在防火墙的Web管理页面,选择“资源定义”“深度过滤”“URL组以及关键字组”单击添加按钮,4.对发布的服务器实施基本保护,(2)在防火墙的Web管理页面,选择“资源定义”“深度过滤”“过滤策略”单击添加按钮,4.对发布的服务器实施基本保护,(3)在
9、防火墙的Web管理页面,选择“策略配置”“安全规则 ”添加 “包过滤规则”,配置访问Web服务器是启用深度过滤规则。,4.对发布的服务器实施基本保护,(3)防火墙的Web管理页面,选择“策略配置”“安全规则 ”添加 “包过滤规则”,配置POP3服务启用深度过滤规则。,4.对发布的服务器实施基本保护,(3)防火墙的Web管理页面,选择“策略配置”“安全规则 ”添加 “包过滤规则”,配置Smtp服务启用深度过滤规则。,5.深度过滤规则验证,(1)不被信任区域主机访问Web页面:,5.深度过滤规则验证,(2)发送正常邮件验证,5.深度过滤规则验证,(3)发送含过滤关键字的邮件验证,6. 小结,通过对防火墙实例化操作,使学生能够掌握防火墙基本配置方法,并能够更好的理解防火墙在边界防护中起到的作用。,五、任务小结,通过背景知识的学习,能够掌握网络边界的概念、划分依据及边界防护技术。 通过设计一个企业网络边界部署和防火墙配置的实例,使学生能够掌握设计企业网络边界的流程和方法,能够具备独立设计企业网络规划、正确配置边界防火墙的能力。,