网络安全架构设计和网络安全设备的部署PPT学习课件

网络安全架构设计和网络安全设备的部署1合理分域，准确定级•信息系统等级保护以系统所处理信息的最高重要程度来确定安全等级•在合理划分安全域边界安全可控的情况下，各安全域可根据信息的最高重要程度单独定级，实施“分域分级防护”的策略，从而降低系统建设成本和管理风险•信息系统安全域之间的边界应划分明确，安全域与安全域之间的所有数据通信都应安全可控•对于不同等级的安全域间通信，应实施有效的访问控制策略和机制，控制高密级信息由高等级安全域流向低等级安全域。面对众多安全威胁该如何防范？口令暴解窃听SQL注入跨站脚本恶意代码误操作系统漏洞系统故障蠕虫病毒黑客入侵混合攻击自然灾害跨站脚本网站挂马弱点扫描木马DoS攻击轻则：系统不稳定网络或业务访问缓慢成为攻击跳板造成信誉影响。。。重则：业务不可访问网络中断、不可用系统宕机数据被窃取、篡改造成经济损失导致行政处罚或刑事责任。。。后门传统安全防护思想——头疼医头，脚痛医脚安全的组织保障密码机物理隔离卡基本安全机制LAN/WAN的安全TEMPEST外网互连安全网络管理防火墙安全应用安全数据库CA认证个人机安全保护安全审计Windows安全UNIX安全操作系统PKI入侵检测防病毒PMI•信息安全的内涵和外延是什么？•什么样的系统是安全的？•信息安全保障的目标是什么？信息安全的基本概念机密性完整性可用性不可抵赖性可控性可审计性信息系统等级保护标准GB/T17859系列标准物理安全网络安全主机安全应用安全数据安全身份鉴别（S）安全标记（S）访问控制（S）可信路径（S）安全审计（G）剩余信息保护（S）物理位置的选择（G）物理访问控制（G）防盗窃和破坏（G）防雷/火/水（G）温湿度控制（G）电力供应（A）数据完整性（S）数据保密性（S）备份与恢复（A）防静电（G）电磁防护（S）入侵防范（G）资源控制（A）恶意代码防范（G）结构安全（G）访问控制（G）安全审计（G）边界完整性检查（S）入侵防范（G）恶意代码防范（G）网络设备防护（G）身份鉴别（S）剩余信息保护（S）安全标记（S）访问控制（S）可信路径（S）安全审计（G）通信完整性（S）通信保密性（S）抗抵赖（G）软件容错（A）资源控制（A）技术要求项目管理安全整改安全巡检环境安全风险评估管理体系Management组织体系Organization优化加固驻场运维日常维护安全报告应急恢复运行体系Operation技术体系Technology风险监控事件管理脆弱管理性能监控态势感知业务监控拓扑监控设备监控网络审计业务审计数据审计采集存储终端审计运维审计合规审计统计查询边界安全传输安全环境安全接入安全入侵检测漏洞管理准入管理基础设施边界安全计算环境安全支撑设施IT系统工作台管理巡检管理工单管理KPI管理组织人员管理资产管理服务商管理应急管理统计查询响应处置安全策略方针角色职责矩阵安全通报机制安全人员管理教育培训计划策略制定发布安全技术管理安全操作规范安全设备管理安全环境管理安全组织架构主管部门公安/保密CNCERT测评机构集成商服务商开发商供应商安全决策机构安全执行机构安全响应小组病毒监测信息安全体系架构服务器网络客户端用户网络和系统层示意物理设备和环境网络和系统应用系统信息内容和数据组织、人员、制度、运行外部环境物理安全网络和系统安全应用系统安全信息内容和数据安全运行安全外部环境策略、制度和规范人员和组织设备环境客户端用户服务器网络组织体系管理体系运行体系技术体系IT层次架构与安全体系架构的结合等保二级域Internet入侵防御3Web防火墙1应用门户融合数据中心Web应用企业服务上报数据服务器融合数据中心前置漏扫引擎4VPN网关1入侵检测4业务审计组4融合数据中心数据库企业服务上报数据库Gis数据库移动办公应用邮件应用服务GIS应用服务器等保二级域等保二级域互联网区域防火墙组10融合数据中心前置漏扫引擎3协同办公与重大项目周期数据库融合数据中心数据库服务器防火墙9防火墙7融合数据中心Web应用服务器负载均衡组2入侵检测3业务审计3路由器2防火墙5政务外网病毒网关1漏扫引擎2数据库业务审计2入侵检测2应用服务器政务外网区域Internet首信专线财务应用应用服务应用服务经济分析数据库财务数据库数据库流控1防火墙2防火墙3防火墙1入侵检测1业务审计1运维管控1互联网区域防火墙4抗DDoS清洗1入侵防御1机房1机房2防火墙11中心交换机4中心交换机3路由器1中心交换机2中心交换机1交换机1交换机2交换机n交换机3交换机4交换机6交换机8交换机11交换机10交换机15交换机组14交换机16漏扫引擎1管委会政务网用户管委会办公用户防火墙6交换机7）互联网管控1链路负载均衡1安全监控采集器1信息发布门户服务器负载均衡本地/异地备份服务器数据库漏扫控制中心等保二级域数字签名终端管理配置核查交换机9BVM服务器CA服务器档案服务器RTX服务器应用服务器应用服务器单臂运维管控2GIS应用服务器Gis数据库CA身份认证病毒控制中心安全管理中心设备控制台防火墙8业务审计5监听抗DDoS监测1等保二级域内部服务域数据区数据区前置区应用区应用区等保二级域前置区等保二级域安全中心区应用区应用区数据区用户区等保二级域等保二级域等保二级域等保二级域等保二级域用户区管理区等保二级域交换机12原链路冗余链路三级业务区交换机13监听1.专线连接管委会和托管机房2.等保二级、三级和管理采用波分复用3.原有链路利旧4.租赁模式新增冗余链路灾备中心Gis数据交换数据区通过政务网连接市灾备中心，实现异地数据备份等保二级域防火墙12公众服务域路由器3防病毒网关2防火墙13政务外网区域NSAE应用安全通信网关1NSAE应用安全通信网关2重大项目管理协同办公Web防火墙2抗DDoS管理中心链路负载均衡2入侵防御2实施企业的安全防护/预警体系安全防护体系预警响应体系一体化安全运营中心访问控制传输加密流量清洗合规审计接入安全入侵行为深入检测精确阻断漏洞发现预警响应安全监控中心安全审计中心安全运维中心网络安全防护产品防火墙、防水墙WEB防火墙、网页防篡改入侵检测、入侵防御、防病毒统一威胁管理UTM身份鉴别、虚拟专网加解密、文档加密、数据签名物理隔离网闸、终端安全与上网行为管理内网安全、审计与取证、漏洞扫描、补丁分发安全管理平台灾难备份产品防火墙内部工作子网与外网的访问控制进行访问规则检查发起访问请求合法请求则允许对外访问将访问记录写进日志文件合法请求则允许对外访问发起访问请求防火墙在此处的功能：1、工作子网与外部子网的物理隔离2、访问控制3、对工作子网做NAT地址转换4、日志记录Internet区域Internet边界路由器DMZ区域边界路由器进行访问规则检查发起访问请求合法请求则允许对外访问将访问记录写进日志文件禁止对外发起连结请求发起访问请求防火墙在此处的功能：1、DMZ网段与外部子网的物理隔离2、访问控制3、对DMZ子网做MAP映射4、日志记录DMZ区域重点子网防火墙的不足防火墙并非万能，防火墙不能完成的工作：源于内部的攻击不通过防火墙的连接完全新的攻击手段不能防病毒防火墙的局限性防火墙不能防止通向站点的后门。防火墙一般不提供对内部的保护。防火墙无法防范数据驱动型的攻击。防火墙本身的防攻击能力不够，容易成为被攻击的首要目标。防火墙不能根据网络被恶意使用和攻击的情况动态调整自己的策略。什么是VPNVPN(VirtualPrivateNetwork)是通过internet公共网络在局域网络之间或单点之间安全地传递数据的技术VPN可以省去专线租用费用或者长距离电话费用，大大降低成本VPN可以充分利用internet公网资源，快速地建立起公司的广域连接ISPModemsVPNGatewayVPNGateway总部网络远程局域网络总部分支机构单个用户Internet传统VPN联网方式公司总部办事处/SOHO公共网络VPN通道VPN设备VPN设备VPN设备VPNclientVPN解决方案远程访问Internet分支机构虚拟私有网合作伙伴内部网基于PPTP/L2TP的拨号VPN•在Internal端网络定义远程地址池•每个客户端动态地在地址池中为VPN会话获取地址•客户端先得拨号（163/169）得到一个公网地址，然后和公司的防火墙设备利用PPTP/L2TP协议进行VPN的建立•建立VPN的用户可以访问公司内部网络的所有资源，就象在内部网中一样•客户端不需要附加软件的安装，简单方便1.1.1.12.2.2.23.3.3.3Dial-UpNATPool10.1.1.0/2410.1.1.1---10.1.1.10SSLVPNSSLVPN是解决远程用户访问敏感公司数据最简单最安全的解决技术。与复杂的IPSecVPN相比，SSL通过简单易用的方法实现信息远程连通。任何安装浏览器的机器都可以使用SSLVPN，这是因为SSL内嵌在浏览器中，它不需要象传统IPSecVPN一样必须为每一台客户机安装客户端软件。入侵检测系统IDS入侵预防系统也像入侵侦查系统一样，专门深入网路数据内部，查找它所认识的攻击代码特征，过滤有害数据流，丢弃有害数据包，并进行记载，以便事后分析。除此之外，更重要的是，大多数入侵预防系统同时结合考虑应用程序或网路传输中的异常情况，来辅助识别入侵和攻击。比如，用户或用户程序违反安全条例、数据包在不应该出现的时段出现、作业系统或应用程序弱点的空子正在被利用等等现象。入侵预防系统虽然也考虑已知病毒特征，但是它并不仅仅依赖于已知病毒特征。入侵检测的概念和作用入侵检测即通过从网络系统中的若干关键节点收集并分析信息，监控网络中是否有违反安全策略的行为或者是否存在入侵行为。它能够提供安全审计、监视、攻击识别和反攻击等多项功能，对内部攻击、外部攻击和误操作进行实时监控，在网络安全技术中起到了不可替代的作用。入侵检测系统的作用实时检测实时地监视、分析网络中所有的数据报文发现并实时处理所捕获的数据报文安全审计对系统记录的网络事件进行统计分析发现异常现象得出系统的安全状态，找出所需要的证据主动响应主动切断连接或与防火墙联动，调用其他程序处理入侵检测系统工作原理：实时监控网络数据，与已知的攻击手段进行匹配，从而发现网络或系统中是否有违反安全策略的行为和遭到袭击的迹象。使用方式：作为防火墙后的第二道防线。入侵检测系统FirewallServersDMZIDSAgentIntranet监控中心router攻击者发现攻击发现攻击发现攻击报警报警IDSAgent利用RealSecure进行可适应性攻击检测和响应DMZ?E-Mail?FileTransfer?HTTPIntranet企业网络生产部工程部市场部人事部路由Internet中继外部攻击警告!记录攻击外部攻击终止连接入侵检测工具举例DMZ?E-Mail?FileTransfer?HTTPIntranet企业网络生产部工程部市场部人事部路由Internet中继内部攻击警告!启动事件日志,发送消息入侵检测工具举例DMZ?E-Mail?FileTransfer?HTTPIntranet企业网络生产部工程部市场部人事部路由Internet中继外部攻击商务伙伴警告!记录进攻,发送消息,终止连接外部攻击中止连接重新配置路由或防火墙以便隐藏IP地址入侵检测工具举例入侵检测基本原理：利用sniffer方式获取网络数据，根据已知特征判断是否存在网络攻击优点：能及时获知网络安全状