计算机网络安全课件(沈鑫剡)第10章

©2006工程兵工程学院计算机教研室计算机网络安全第10章安全网络设计实例计算机网络安全第10章安全网络设计实例安全网络概述；安全网络设计和分析。安全网络是能够保障信息安全目标实施的网络系统，是一个能够保证授权用户实现访问权限内网络资源访问过程的网络系统，是一个能够抵御并反制黑客任何攻击的网络。安全网络设计实例计算机网络安全10.1安全网络概述安全网络设计目标；安全网络主要构件；网络资源；安全网络设计步骤。给出设计一个安全网络的基本原则、过程和方法。安全网络设计实例计算机网络安全安全网络设计目标能够有效防御来自内部和外部的攻击；能够对网络资源的访问过程实施有效控制；能够对用户行为进行有效监控；能够对网络运行状态进行实时监测；能够对网络性能变化过程和原因进行跟踪、分析；能够安全传输机密信息。安全网络设计实例计算机网络安全安全网络主要构件接入控制和认证构件；分组过滤和速率限制构件；防火墙；入侵防御系统；VPN接入构件；认证、管理和控制服务器。安全网络设计实例计算机网络安全网络资源网络设备；网络操作信息；链路带宽；主机系统；在网络中传输的信息；用户私密信息。安全网络设计实例计算机网络安全安全网络设计步骤确定需要保护的网络资源；分析可能遭受的攻击类型；风险评估；设计网络安全策略；实现网络安全策略；分析和改进网络安全策略。安全网络设计实例计算机网络安全安全网络设计和分析安全网络系统结构；网络安全策略；网络安全策略实现机制。通过一个具体的、具有实用价值的安全网络的设计和分析过程，了解安全网络设计的基本原则、方法和过程。安全网络设计实例计算机网络安全200.1.4.1200.1.5.1接入终端193.1.2.0/24193.1.3.1123非信任区193.1.2.254200.1.2.1LAN2非军事区193.1.2.5Web服务器Internet193.1.2.6邮件服务器193.1.3.2防火墙200.1.1.1200.1.3.1网络管理工作站网络入侵防御系统交换机主机入侵防御系统数据库服务器重要终端管理服务器FTP服务器200.1.9.5VPN隧道1S1S2S3S4S5S6Web服务器12.13.4.5安全网络系统结构安全网络结构安全网络设计实例计算机网络安全网络分成内网、外网和非军事区三部分，非军事区提供公共服务；交换机等接入设备完成对接入用户的认证；安全工作主要针对内部网络资源展开，由防火墙负责控制内部网不同VLAN之间的信息传输过程，限制外网终端对内部网络资源的访问，允许授权终端通过建立第2层隧道接入内部网络；网络入侵防御系统对进出重要终端和服务器的信息流进行检测；主机入侵防御系统对访问重要终端和重要服务器中资源的过程实施严密监控；网络管理系统及时反馈网络运行情况给管理员。安全网络系统结构安全网络设计实例计算机网络安全网络安全策略允许内部网络终端发起对Internet的访问，但只能访问外部网络中的Web和FTP服务器；允许内部网络终端发起对非军事区中的Web和E-MAIL服务器的访问；允许外部网络（非信任区）终端发起对非军事区中的Web和E-MAIL服务器的访问；只允许内部网络终端访问内部网络中的服务器，但允许内部员工通过第2层隧道经外部网络访问内部网络中的FTP服务器；内部网络终端接入内部网络时须经身份认证；内部网络终端的平均传输速率和峰值传输速率限制为3Mbps和5Mbps；不允许以交互方式访问内部网络的数据库服务器；能够监测对内部网络数据库服务器发起的攻击；内部网络使用本地IP地址，非军事区服务器使用全球IP地址，内部网络结构对外部网络终端是不可见的。安全网络设计实例计算机网络安全网络安全策略实现机制交换机采用基于MAC地址的接入控制机制；一旦终端通过认证，终端的MAC地址被添加到访问控制列表，交换机允许正常转发通过该端口接收到的以MACA为源MAC地址的MAC帧；交换机采用本地认证机制，不采用统一的认证服务器。EAPOL（EAP响应（CHAP））EAPOL（EAP响应（用户A））EAPOL（EAP请求（CHAP））EAPOL（EAP请求（身份））用户AS5EAPOL（EAP成功）EAPOL-Start源MAC地址＝MACA允许转发平均速率=3Mbps，峰值速率=5Mbps交换机接入控制过程安全网络设计实例计算机网络安全防火墙访问控制机制防火墙访问控制策略分两部分，一是控制内网各个VLAN之间的信息传输过程，限制外网终端对内网资源的访问过程。二是定义授权终端通过第2层隧道接入内部网络的方法；访问控制策略定义三种信息：信息传输方向、源和目的终端范围，以服务方式确定消息交换过程。网络安全策略实现机制安全网络设计实例计算机网络安全防火墙作为远程接入控制设备，配置内部网络本地IP地址池，用户名和口令等用户认证信息；建立终端和防火墙之间的第2层隧道，基于第2层隧道完成终端的身份认证和本地IP地址分配；为了实现第2层隧道的安全传输，隧道两端建立双向的的安全关联；防火墙添加指明通往终端的传输路径的路由项。网络安全策略实现机制第二层隧道PPP连接认证身份、分配本地IP地址防火墙端口3193.1.3.1全球IP地址12.34.56.78终端通过VPN接入内部网络过程安全网络设计实例计算机网络安全数据传输过程中，防火墙就是一个互连点对点链路和以太网的路由器；终端通过点对点链路和防火墙相连，因此，终端采用的链路层协议是PPP；由于点对点链路是第2层隧道，因此，PPP帧必须被封装成第2层隧道报文，由于隧道两端之间采取安全传输机制，进行IPSec的封装过程。网络安全策略实现机制第二层隧道防火墙端口3200.1.11.1端口1200.1.9.0/24FTP服务器200.1.9.5目的网络转发端口下一跳通信链路200.1.9.0/24端口1直接以太网200.1.11.1/32端口3直接第2层隧道防火墙路由表VPN数据传输过程安全网络设计实例计算机网络安全主机入侵防御系统监测服务器安全状态；检测进出服务器的信息流；控制服务器中资源的访问过程；限制进程调用过程。网络入侵防御系统监测进出重要终端和服务器的异常信息流；对进出重要终端和服务器的信息流进行攻击特征匹配；监测是否发生对重要终端和服务器的拒绝服务攻击；监测是否发生端口扫描侦察；监测进出重要终端和服务器的信息流是否符合交互式特性。网络安全策略实现机制