【正文】 異地容災(zāi)中心邊界安全 不同部門、分支機(jī)構(gòu)網(wǎng)絡(luò)的邊界 114 網(wǎng)絡(luò)邊界防護(hù) ? 路由器 ? 防火墻； ? IDS。 ? VPN設(shè)備。 ? 軟件 ? DMz和被屏蔽的于網(wǎng) ? 隔離網(wǎng)閘 ? 。 115 網(wǎng)絡(luò)邊界防護(hù)部件 路由交換設(shè)備安全配置要求 ? 每臺(tái)設(shè)備上要求安裝經(jīng)認(rèn)可的操作系統(tǒng)，并及時(shí)修補(bǔ)漏洞 ? 路由器設(shè)置加長(zhǎng)口令，網(wǎng)絡(luò)管理人員調(diào)離或退出本崗位時(shí)口令應(yīng)立即更換。 ? 路由器密碼不得以明文形式出現(xiàn)在紙制材料上，密碼應(yīng)隱式記錄，記錄材料應(yīng)存放于保險(xiǎn)柜中。 ? 限制邏輯訪問(wèn)，合理處置訪問(wèn)控制列表，限制遠(yuǎn)程終端會(huì)話。 ? 監(jiān)控配置更改。 ? 定期備份配置和日志。 ? 明確責(zé)任，維護(hù)人員對(duì)更改路由器配置時(shí)間、操作方式、原因和權(quán)限需要明確。 入侵檢測(cè)安全配置要求 ? 中大型網(wǎng)絡(luò)平臺(tái)應(yīng)部署基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)（ NIDS） ? 網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)應(yīng)對(duì)核心局域網(wǎng)、 DMZ區(qū)域進(jìn)行檢測(cè)。 ? 對(duì)大型網(wǎng)絡(luò)、分支機(jī)構(gòu)網(wǎng)絡(luò)的入侵檢測(cè)，應(yīng)采用分布式方式部署入侵檢測(cè)系統(tǒng)。 ? 入侵檢測(cè)產(chǎn)品應(yīng)有國(guó)家相關(guān)安全部門的證書。 ? 監(jiān)控配置更改時(shí)要進(jìn)行監(jiān)控。、 ? 定期備份配置和日志。 ? 入侵檢測(cè)系統(tǒng)設(shè)置加長(zhǎng)口令。 ? 如采用分布式部署方式，各級(jí)入侵檢測(cè)系統(tǒng)宜采用分級(jí)管理方式進(jìn)行管理。 訪問(wèn)控制的功能要求 ? 網(wǎng)絡(luò)邊界部署訪問(wèn)控制設(shè)備，啟用訪問(wèn)控制功能。 ? 能根據(jù)會(huì)話狀態(tài)信息為數(shù)據(jù)流提供明確的允許 /拒絕訪問(wèn)的能力，控制粒度為端口級(jí)。 ? 對(duì)進(jìn)出網(wǎng)絡(luò)的信息內(nèi)容進(jìn)行過(guò)濾，實(shí)現(xiàn)對(duì)應(yīng)用層 HTTP、FTP、 TELNET、 SMTP、 POP3等協(xié)議命令級(jí)的控制。 ? 在會(huì)話處于非活躍一定時(shí)間或會(huì)話結(jié)束后終止網(wǎng)絡(luò)連接。 ? 限制網(wǎng)絡(luò)最大流量數(shù)及網(wǎng)絡(luò)連接數(shù)。 ? 重要網(wǎng)段應(yīng)采取技術(shù)手段防止地址欺騙。 ? 按用戶和系統(tǒng)之間的允許訪問(wèn)規(guī)則，決定允許或拒絕用戶對(duì)受控系統(tǒng)進(jìn)行資源訪問(wèn)，控制粒度為單個(gè)用戶。 知識(shí)域：網(wǎng)絡(luò)架構(gòu)安全 ?知識(shí)子域：網(wǎng)絡(luò) 架構(gòu)安全 實(shí)踐 ? 掌握 IP地址規(guī)劃、 VLAN劃分的基本安全原則 ? 掌握網(wǎng)絡(luò)設(shè)備安全 功能和安全 配置 的基本原則 ? 掌握網(wǎng)絡(luò)安全設(shè)備部署和配置的基本原則 119 網(wǎng)絡(luò)架構(gòu)安全 ? IP地址規(guī)劃 ? VLAN規(guī)劃和實(shí)施 ? 網(wǎng)絡(luò)設(shè)備的安全功能和配置 ? 網(wǎng)絡(luò)安全設(shè)備的功能和配置 IP地址規(guī)劃 從 IP地址規(guī)劃中可以看出一個(gè)網(wǎng)絡(luò)的規(guī)劃質(zhì)量、甚至可以反映出網(wǎng)絡(luò)設(shè)計(jì)師的技術(shù)水準(zhǔn)。 121 ? 為什么需要進(jìn)行 IP規(guī)劃 ? 提高路由協(xié)議的運(yùn)行效率 ? 確保網(wǎng)絡(luò)的性能 ? 確保網(wǎng)絡(luò)可擴(kuò)展 ? 確保網(wǎng)絡(luò)可管理 ? 核心設(shè)備使用相對(duì)較小的地址 ? 所有網(wǎng)關(guān)地址使用相同的末位數(shù)字，如.254都是網(wǎng)關(guān)或 .1都是網(wǎng)關(guān) ? IP地址通常要聚合后發(fā)布，在規(guī)劃時(shí)要充分考慮使用連續(xù)的可聚合地址。 IP地址規(guī)劃的技巧 122 非體系化的 ip編址 ? 主干網(wǎng)和每個(gè)分支網(wǎng)絡(luò)需要維護(hù)全網(wǎng)的詳細(xì) IP網(wǎng)段，路由表?xiàng)l目數(shù)明顯增多，明顯增加了路由協(xié)議運(yùn)行開(kāi)銷。 體系化的 ip編址 ? 主干網(wǎng)只需維護(hù)每個(gè)分支網(wǎng)絡(luò)的一條匯總路由 ? 每個(gè)分支網(wǎng)絡(luò)只需要維護(hù)本網(wǎng)絡(luò)區(qū)域的詳細(xì) IP網(wǎng)段，對(duì)于其他每個(gè)分支網(wǎng)絡(luò)只需維護(hù)一條匯總路由。 ? 路由表題目數(shù)量很少，明顯減少了路由協(xié)議運(yùn)行開(kāi)銷。 ? VLAN定義 VLAN（ Virtual Local Area Network）的中文名為 虛擬局域網(wǎng) 。 VLAN是一種將局域網(wǎng)設(shè)備從邏輯上劃分成一個(gè)個(gè)網(wǎng)段，從而實(shí)現(xiàn)虛擬工作組的新興數(shù)據(jù)交換技術(shù)。 125 VLAN規(guī)劃 ? 劃分 VLAN的作用 ? 有效的寬帶利用 ? 安全性 ? 多路徑負(fù)載均衡 ? 隔離故障域 ? VLAN的分類 ? 基于端口劃分的 VLAN ? 基于 MAC地址劃分 VLAN ? PVLAN（ private vlan） 126 VLAN實(shí)施 交換機(jī)安全功能和配置 127 ? ? 流量控制 ? 虛擬局域網(wǎng) VLAN ? 基于訪問(wèn)控制列表 ? 入侵檢測(cè) IDS ? 設(shè)備冗余 ?MAC功能 ?虛擬專用網(wǎng) (VPN)功能 ?DMZ功能 ?訪問(wèn)控制列表功能 ?路由認(rèn)證技術(shù) 路由器安全功能和配置 128 ?無(wú)線安全類型的選擇 ?無(wú)線 MAC地址過(guò)濾 ?虛擬服務(wù)器功能 ?特殊應(yīng)用程序功能 ?DMZ主機(jī)功能 129 無(wú)線局域網(wǎng)安全配置 防火墻的布署與配置 ?確定要保護(hù)的對(duì)象 ?防火墻接口類型 ?按不同保護(hù)對(duì)象確定網(wǎng)絡(luò)拓樸圖 ?防火墻配置步驟 ： ? 為區(qū)域分配網(wǎng)卡 ? 設(shè)置網(wǎng)卡參數(shù) ? 配置路由 ? 啟用 NAT功能 ? 啟動(dòng)安全策略 入侵檢測(cè)系統(tǒng)的配置和布署 ? NIDS布署 ? 位于因特網(wǎng)防火墻內(nèi)的 NIDS ? 位于因特網(wǎng)防火墻外的 NIDS ? 位于重要骨干網(wǎng)絡(luò)上的 NIDS ? 位于關(guān)鍵子網(wǎng)上的 NIDS ? HIDS部署 ? HIDS全面部署宜從關(guān)鍵服務(wù)器開(kāi)始 ? 使用具備中央管理和報(bào)告功能的 HIDS ? 向信息安全管理服務(wù)商外包其 HIDS操作和維護(hù) VPN的布署 ? VPN有三種解決方案 ? 遠(yuǎn)程訪問(wèn)虛擬網(wǎng)（ Access VPN） ? 企業(yè)內(nèi)部虛擬網(wǎng)（ Intra VPN） ? 企業(yè)擴(kuò)展虛擬網(wǎng)（ Extra VPN） ? 不同 VPN的布署 ? IPSec VPN 的布署 ? SSL VPN的布署 一個(gè)企業(yè)網(wǎng)絡(luò)架構(gòu)安全的實(shí)例 ?企業(yè)網(wǎng)絡(luò)拓?fù)? ?網(wǎng)絡(luò)架構(gòu)安全需求 ?總體安全設(shè)計(jì)目標(biāo) ?網(wǎng)絡(luò)架構(gòu)安全設(shè)計(jì) 企業(yè)網(wǎng)絡(luò)拓?fù)鋱D 網(wǎng)絡(luò)架構(gòu)安全需求 ?互聯(lián)網(wǎng)域的安全需求 ? 外部互聯(lián)網(wǎng) ? 內(nèi)部互聯(lián)域 ?辦公域的安全需求 ?接入域的安全需求 ?服務(wù)器域的安全需求 互聯(lián)網(wǎng)域的安全需求 ? 外部互聯(lián)域有以下安全需求： ? 出口統(tǒng)一的需求。 ? 冗余設(shè)備的需求。 ? 避免單點(diǎn)故障的需求。 ? 部署安全策略的需求。 互聯(lián)網(wǎng)域的安全需求 ?內(nèi)部互聯(lián)域有以下安全需求： ? 集團(tuán)和分公司與核心交換機(jī)的連接為三層連接，其網(wǎng)關(guān)設(shè)在集團(tuán)和分公司的交換機(jī)上，一旦爆發(fā)網(wǎng)絡(luò)病毒后，不會(huì)影響核心交換機(jī)的正常使用。 ? 部署安全策略的需求。 ? 傳輸安全的需求。 辦公域的安全需求 ?用戶安全需求 ：把用戶安全分成兩個(gè)層次即二管理員用戶安全和業(yè)務(wù)用戶安全 ?網(wǎng)絡(luò)防病毒安全需求 接入域的安全需求 ?病毒隔離 ?避免網(wǎng)絡(luò)風(fēng)暴 服務(wù)器域的安全需求 ?部署防病毒軟件 ?定期修復(fù)系統(tǒng)漏洞 ?通過(guò)備份策略防止數(shù)據(jù)的丟失 總體安全設(shè)計(jì)目標(biāo) ?部署互聯(lián)網(wǎng)邊界防火墻和重要安全區(qū)域邊界防火墻 ?部署 SSL VPN設(shè)備 ?在 DMZ區(qū)和核心交換區(qū)部署入侵檢測(cè)系統(tǒng) ?在辦公域部署防病毒網(wǎng)關(guān)，實(shí)現(xiàn)網(wǎng)關(guān)級(jí)病毒防護(hù) 網(wǎng)絡(luò)架構(gòu)安全設(shè)計(jì) ?外部互聯(lián)域安全方案設(shè)計(jì) ?內(nèi)部互聯(lián)域安全方案設(shè)計(jì) ?內(nèi)網(wǎng)安全域安全方案設(shè)計(jì) ?內(nèi)網(wǎng)安全域服務(wù)器域的安全方案設(shè)計(jì) ?辦公域的網(wǎng)絡(luò)安全方案設(shè)計(jì) 外部互聯(lián)域安全方案設(shè)計(jì) 內(nèi)部互聯(lián)域安全方案設(shè)計(jì) 內(nèi)網(wǎng)安全域安全方案設(shè)計(jì) ?VLAN技術(shù)的采用 ?采用 VTP技術(shù) 內(nèi)網(wǎng)安全域服務(wù)器域的安全方案設(shè)計(jì) ?安裝補(bǔ)丁 ?關(guān)閉多余的服務(wù) ?口令安全 辦公域的網(wǎng)絡(luò)安全安全方案設(shè)計(jì) ?在內(nèi)網(wǎng)出口邊界部署專門的病毒過(guò)濾網(wǎng)關(guān)系統(tǒng) ?服務(wù)器和工作站需要安裝防病毒網(wǎng)關(guān)客戶端 148 總結(jié) ?OSI七層模型 ?TCP/IP 協(xié)議及安全威脅 ?無(wú)線數(shù)據(jù)網(wǎng)絡(luò)協(xié)議安全 ? 無(wú)線蜂窩網(wǎng)絡(luò)協(xié)議安全 ?網(wǎng)絡(luò)架構(gòu)安全 謝謝，請(qǐng)?zhí)釂?wèn)題！