网络安全架构设计和网络安全设备的部署.ppt

1、网络安全架构设计和网络安全设备的部署.合理分域，准确定级合理分域，准确定级 信息系统等级保护以系统所处理信息的最高重要程度来确定安全等级 在合理划分安全域边界安全可控的情况下，各安全域可根据信息的最高重要程度单独定级，实施“分域分级防护”的策略，从而降低系统建设成本和管理风险 信息系统安全域之间的边界应划分明确，安全域与安全域之间的所有数据通信都应安全可控 对于不同等级的安全域间通信，应实施有效的访问控制策略和机制，控制高密级信息由高等级安全域流向低等级安全域。.面对众多安全威胁该如何防范？面对众多安全威胁该如何防范？口令暴解窃听SQL注入跨站脚本恶意代码误操作系统漏洞系统故障蠕虫病毒黑客入侵

2、混合攻击自然灾害跨站脚本网站挂马弱点扫描木马DoS攻击n轻则：系统不稳定 网络或业务访问缓慢 成为攻击跳板 造成信誉影响 。n重则：业务不可访问 网络中断、不可用 系统宕机 数据被窃取、篡改 造成经济损失 导致行政处罚或刑事责任 。后门.传统安全防护思想传统安全防护思想头疼医头，脚痛医脚头疼医头，脚痛医脚安全的安全的组织保障组织保障密码机密码机物理隔离卡物理隔离卡基本基本安全机制安全机制LAN/WAN的安全的安全TEMPEST外网互连外网互连安全安全网络管理网络管理防火墙防火墙安全应用安全应用安全安全数据库数据库CA认证认证个人机安全个人机安全保护保护安全审计安全审计Windows安全安全UN

3、IX 安全安全操作系统操作系统PKI入侵检测入侵检测防病毒防病毒PMI.信息安全的内涵和外延是什么？什么样的系统是安全的？信息安全保障的目标是什么？信息安全的基本概念信息安全的基本概念机密性完整性可用性不可抵赖性可控性可审计性.信息系统等级保护标准信息系统等级保护标准GB/T 17859系列标准.物理安全网络安全主机安全应用安全数据安全身份鉴别（S）安全标记（S）访问控制（S）可信路径（S）安全审计（G）剩余信息保护（S）物理位置的选择（G）物理访问控制（G）防盗窃和破坏（G）防雷/火/水（G）温湿度控制（G）电力供应（A）数据完整性（S）数据保密性（S）备份与恢复（A）防静电（G）电磁防护（

4、S）入侵防范（G）资源控制（A）恶意代码防范（G）结构安全（G）访问控制（G）安全审计（G）边界完整性检查（S）入侵防范（G）恶意代码防范（G）网络设备防护（G）身份鉴别（S）剩余信息保护（S）安全标记（S）访问控制（S）可信路径（S）安全审计（G）通信完整性（S）通信保密性（S）抗抵赖（G）软件容错（A）资源控制（A）技术要求.项目管理安全整改安全巡检环境安全风险评估管理体系Management组织体系Organization一体化全局安全管理一体化全局安全管理/监控监控/审计审计/运维人机界面运维人机界面优化加固驻场运维日常维护安全报告应急恢复运行体系Operation技术体系Techno

5、logy风险监控事件管理脆弱管理性能监控安全监控中心安全监控中心态势感知业务监控拓扑监控设备监控安全审计中心安全审计中心网络审计业务审计数据审计采集存储终端审计运维审计合规审计统计查询边界安全传输安全环境安全接入安全入侵检测漏洞管理准入管理安全保护框架安全保护框架基础设施边界安全计算环境安全支撑设施ITIT系统系统工作台管理巡检管理工单管理KPI管理组织人员管理资产管理服务商管理应急管理统计查询响应处置安全运维中心安全运维中心预警监测体系预警监测体系基础防护体系基础防护体系安全策略方针角色职责矩阵安全通报机制安全人员管理教育培训计划策略制定发布安全技术管理安全操作规范安全设备管理安全环境管理安

6、全组织架构主管部门公安/保密CN CERT测评机构集成商服务商开发商供应商安全决策机构安全执行机构安全响应小组病毒监测信息安全体系架构信息安全体系架构.ITIT层次架构与安全体系架构的结合层次架构与安全体系架构的结合.实施企业的安全防护实施企业的安全防护/预警体系预警体系安全防护体系预警响应体系一体化安全运营中心访问控制传输加密流量清洗合规审计接入安全入侵行为深入检测精确阻断漏洞发现预警响应安全监控中心安全审计中心安全运维中心.网络安全防护产品l防火墙、防水墙lWEB防火墙、网页防篡改l入侵检测、入侵防御、防病毒l统一威胁管理UTMl身份鉴别、虚拟专网l加解密、文档加密、数据签名l物理隔离网闸

7、、终端安全与上网行为管理l内网安全、审计与取证、漏洞扫描、补丁分发l安全管理平台l灾难备份产品.防火墙安全策略防火墙安全策略.内部工作子网与外网的访问控制进 行 访问 规 则检查发起 访问请求合法请求则允许对外访问将访问记录写进日志文件合法请求则允许对外访问发起访问请求防火墙在此处的功能：防火墙在此处的功能：1 1、工作子网与外部子网的物理、工作子网与外部子网的物理 隔离隔离2 2、访问控制、访问控制3 3、对工作子网做、对工作子网做NATNAT地址转换地址转换4 4、日志记录、日志记录 Internet Internet 区域区域InternetInternet边界路由器边界路由器DMZDM

8、Z区域区域WWW Mail DNS内部工作子网内部工作子网管理子网一般子网内部WWW重点子网.内部子网与DMZ区的访问控制进 行 访问 规 则检查发起访 问请求合法请求则允许对外访问将访问记录写进日志文件禁止对 工作子网 发起连结 请求发起访问请求 Internet Internet 区域区域InternetInternet边界路由器边界路由器DMZDMZ区域区域WWW Mail DNS内部工作子网内部工作子网管理子网一般子网内部WWW重点子网.DMZ区域与外网的访问控制 Internet Internet 区域区域InternetInternet边界路由器边界路由器进 行 访问 规 则检查发

9、起访问请求合法请求则允许对外访问将访问记录写进日志文件禁止对外发起连结请求发起访问请求防火墙在此处的功能：防火墙在此处的功能：防火墙在此处的功能：防火墙在此处的功能：1 1、DMZDMZ网段与外部子网的物理隔离网段与外部子网的物理隔离网段与外部子网的物理隔离网段与外部子网的物理隔离2 2、访问控制、访问控制、访问控制、访问控制3 3、对、对、对、对DMZDMZ子网做子网做子网做子网做MAPMAP映射映射映射映射4 4、日志记录、日志记录、日志记录、日志记录DMZDMZ区域区域WWW Mail DNS内部工作子网内部工作子网管理子网一般子网内部WWW重点子网.防火墙的不足l防火墙并非万能，防火墙

10、不能完成的工作：源于内部的攻击不通过防火墙的连接完全新的攻击手段不能防病毒.防火墙的局限性l防火墙不能防止通向站点的后门。l防火墙一般不提供对内部的保护。l防火墙无法防范数据驱动型的攻击。l防火墙本身的防攻击能力不够，容易成为被攻击的首要目标。l防火墙不能根据网络被恶意使用和攻击的情况动态调整自己的策略。.什么是VPNlVPN(VirtualPrivateNetwork)是通过internet公共网络在局域网络之间或单点之间安全地传递数据的技术 VPN VPN 可以省去专线租用费用或者长距离电话费用，大大降低成本可以省去专线租用费用或者长距离电话费用，大大降低成本可以省去专线租用费用或者长距离

11、电话费用，大大降低成本可以省去专线租用费用或者长距离电话费用，大大降低成本 VPN VPN 可以充分利用可以充分利用可以充分利用可以充分利用 internet internet 公网资源，快速地建立起公司的广域连接公网资源，快速地建立起公司的广域连接公网资源，快速地建立起公司的广域连接公网资源，快速地建立起公司的广域连接ISP ISP ModemsModemsVPNVPNGatewayGatewayVPNVPNGatewayGateway总部总部网络网络远程局域远程局域网络网络总部总部总部总部分支机构分支机构分支机构分支机构单个单个用户用户Internet.传统VPN联网方式公司总部公司总部办

12、事处办事处/SOHO公共网络公共网络VPN通道通道VPN设备设备VPN设备设备VPN设备设备VPN client.VPN VPN 解决方案远程访问Internet分支机构虚拟私有网虚拟私有网虚拟私有网合作伙伴内部网内部网.基于PPTP/L2TPPPTP/L2TP的拨号VPNVPN在Internal 端网络定义远程地址池每个客户端动态地在地址池中为VPN会话获取地址客户端先得拨号（163/169）得到一个公网地址，然后和公司的防火墙设备利用PPTP/L2TP协议进行VPN的建立建立VPN 的用户可以访问公司内部网络的所有资源，就象在内部网中一样客户端不需要附加软件的安装，简单方便1.1.1.12

13、.2.2.23.3.3.3Dial-Up NAT Pool10.1.1.0/24 10.1.1.1-10.1.1.10.SSLVPNlSSL VPN是解决远程用户访问敏感公司数据最简单最安全的解决技术。与复杂的IPSec VPN相比，SSL通过简单易用的方法实现信息远程连通。l任何安装浏览器的机器都可以使用SSL VPN，这是因为SSL 内嵌在浏览器中，它不需要象传统IPSec VPN一样必须为每一台客户机安装客户端软件。.入侵检测系统入侵检测系统IDS.l入侵预防系统也像入侵侦查系统一样，专门深入网路数据内部，查找它所认识的攻击代码特征，过滤有害数据流，丢弃有害数据包，并进行记载，以便事后分

14、析。除此之外，更重要的是，大多数入侵预防系统同时结合考虑应用程序或网路传输中的异常情况，来辅助识别入侵和攻击。l比如，用户或用户程序违反安全条例、数据包在不应该出现的时段出现、作业系统或应用程序弱点的空子正在被利用等等现象。入侵预防系统虽然也考虑已知病毒特征，但是它并不仅仅依赖于已知病毒特征。.入侵检测的概念和作用l入侵检测即通过从网络系统中的若干关键节点收集并分析信息，监控网络中是否有违反安全策略的行为或者是否存在入侵行为。l它能够提供安全审计、监视、攻击识别和反攻击等多项功能，对内部攻击、外部攻击和误操作进行实时监控，在网络安全技术中起到了不可替代的作用。.入侵检测系统的作用l实时检测实时

15、地监视、分析网络中所有的数据报文发现并实时处理所捕获的数据报文l安全审计对系统记录的网络事件进行统计分析发现异常现象得出系统的安全状态，找出所需要的证据l主动响应主动切断连接或与防火墙联动，调用其他程序处理.入侵检测系统l工作原理：实时监控网络数据，与已知的攻击手段进行匹配，从而发现网络或系统中是否有违反安全策略的行为和遭到袭击的迹象。l 使用方式：作为防火墙后的第二道防线。.入侵检测系统 Firewall FirewallServersDMZDMZIDS AgentIntranetIntranet监控中心监控中心router攻击者攻击者发现攻击发现攻击发现攻击发现攻击发现攻击发现攻击报警报警

16、报警报警IDS Agent.利用利用RealSecureRealSecure进行可适应性进行可适应性攻击检测和响应攻击检测和响应DMZDMZ?E-Mail?E-Mail?File Transfer?File Transfer?HTTP?HTTPIntranetIntranet企业网络企业网络生产部生产部工程部工程部市场部市场部人事部人事部路由路由InternetInternet中继中继外部攻击外部攻击外部攻击外部攻击警告警告警告警告!记录攻击记录攻击外部攻击外部攻击外部攻击外部攻击终止连接终止连接入侵检测工具举例.DMZDMZ?E-Mail?E-Mail?File Transfer?File

17、Transfer?HTTP?HTTPIntranetIntranet企业网络企业网络生产部生产部工程部工程部市场部市场部人事部人事部路由路由InternetInternet中继中继内部攻击内部攻击警告警告!启动事件日志,发送消息入侵检测工具举例.DMZDMZ?E-Mail?E-Mail?File Transfer?File Transfer?HTTP?HTTPIntranetIntranet企业网络企业网络生产部生产部工程部工程部市场部市场部人事部人事部路由路由InternetInternet中继中继外部攻击外部攻击商务伙伴警告警告!记录进攻,发送消息,终止连接外部攻击外部攻击中止连接重新配置

18、重新配置路由或防火墙以便隐藏IP地址入侵检测工具举例.入侵检测入侵检测基本原理：利用基本原理：利用sniffer方式获取网络数据，根据已方式获取网络数据，根据已知特征判断是否存在网络攻击知特征判断是否存在网络攻击优点：能及时获知网络安全状况，借助分析发现安优点：能及时获知网络安全状况，借助分析发现安全隐患或攻击信息，便于及时采取措施。全隐患或攻击信息，便于及时采取措施。不足：不足：l准确性：误报率和漏报率准确性：误报率和漏报率l有效性：难以及时阻断危险行为有效性：难以及时阻断危险行为.物理隔离装置物理隔离装置.物理隔离物理隔离主要分两种：主要分两种：l双网隔离计算机双网隔离计算机l物理隔离网闸

19、物理隔离网闸.双网隔离计算机双网隔离计算机解决每人解决每人2台计算机的问题台计算机的问题1台计算机，可以分时使用内网或外网台计算机，可以分时使用内网或外网关键部件关键部件硬盘网线软盘/USB/MODEM等共享部件共享部件显示器键盘/鼠标主板/电源硬盘*原理原理切换关键部件.简单双网隔离计算机简单双网隔离计算机外网硬盘内网硬盘外网网线内网网线公共部件控制卡控制开关.复杂双网隔离计算机复杂双网隔离计算机内网硬盘外网网线内网网线公共部件控制卡远端设备使用控制卡上的翻译功能将硬盘分为逻辑上独立的部分充分使用UTP中的8芯，减少一根网线.物理隔离网闸的基本原理物理隔离网闸的基本原理l采用数据采用数据“摆

20、渡摆渡”的方式实现两个网络之间的信的方式实现两个网络之间的信息交换息交换l在任意时刻，物理隔离设备只能与一个网络的主在任意时刻，物理隔离设备只能与一个网络的主机系统建立非机系统建立非TCP/IP协议的数据连接，即当它与协议的数据连接，即当它与外部网络相连接时，它与内部网络的主机是断开外部网络相连接时，它与内部网络的主机是断开的，反之亦然。的，反之亦然。l任何形式的数据包、信息传输命令和任何形式的数据包、信息传输命令和TCP/IP协议协议都不可能穿透物理隔离设备。物理隔离设备在网都不可能穿透物理隔离设备。物理隔离设备在网络的第络的第7层讲数据还原为原始数据文件，然后以层讲数据还原为原始数据文件，

21、然后以“摆渡文件摆渡文件”形式传递原始数据。形式传递原始数据。.物理隔离实现基本原理物理隔离实现基本原理.物理隔离实现基本原理物理隔离实现基本原理内外网模块连接相应网络实现数据的接收及预处理等操作；交换模块采用专用的高速隔离电子开关实现与内外网模块的数据交换，保证任意时刻内外网间没有链路层连接；数据只能以专用数据块方式静态地在内外网间通过网闸进行“摆渡”，传送到网闸另一侧；集成多种安全技术手段，采用强制安全策略，对数据内容进行安全检测，保障数据安全、可靠的交换。.对请求数据进行合法性检查，剥离原有协议成裸数据，进行内容检查，然后重组对收到外网的数据进行病毒检查、解析、过滤和重组等处理隔离网闸的

22、工作流程隔离网闸的工作流程将重组的数据还原为标准通讯协议，回传到内网将重组的数据还原为标准通讯协议，向外网发送专用隔离硬件、专用通讯协议专用隔离硬件、专用通讯协议.安全隔离工作示意图安全隔离系统安全隔离系统安全隔离系统安全隔离系统非信任网络非信任网络或或InternetInternet信任网络信任网络隔离装置隔离装置连接系统连接系统连接系统连接系统.物理隔离技术的应用物理隔离技术的应用l内网和外部网之间内网和外部网之间.网闸隔离网闸和防火墙区别 1ms1ms防火墙是单主机 系统防火墙采用通用通讯协议即TCP/IP协议防火墙必须保证实时连接防火墙是主动响应网闸采用双主机系统，内端机与需要保护的内

23、部网络连接，外端机与外网连接。这种双系统模式彻底将内网保护起来网闸采用自身定义的私有通讯协议，避免了通用协议存在的漏洞。网闸采用专用硬件控制技术保证内外网之间没有实时连接。网闸对外网的任何响应都保证是内网合法用户发出的请求应答，即被动响应，而防火墙则不会对外网响应进行判断，也即主动响应。这样，网闸就避免了木马和黑客的攻击。防火墙.物理隔离技术的优缺点物理隔离技术的优缺点l优点：优点：中断直接连接中断直接连接强大的检查机制强大的检查机制最高的安全性最高的安全性l缺点：缺点：对协议不透明，对每一种协议都要一种具体的实对协议不透明，对每一种协议都要一种具体的实现现效率低效率低.防病毒软件防病毒软件.

24、网络防病毒网络防病毒l基本功能：串接于网络中，根据网络病毒的特征基本功能：串接于网络中，根据网络病毒的特征在网络数据中比对，从而发现并阻断病毒传播在网络数据中比对，从而发现并阻断病毒传播l优点：能有效阻断已知网络病毒的传播优点：能有效阻断已知网络病毒的传播l不足：不足：只能检查已经局部发作的病毒对网络有一定影响.堡垒机堡垒机.堡垒机又被称为堡垒机又被称为“堡垒主机堡垒主机”，是一个主机，是一个主机系统，其自身通常经过了一定的加固，具有系统，其自身通常经过了一定的加固，具有较高的安全性，可抵御一定的攻击，其作用较高的安全性，可抵御一定的攻击，其作用主要是将需要保护的信息系统资源与安全威主要是将需

25、要保护的信息系统资源与安全威胁的来源进行隔离，从而在被保护的资源前胁的来源进行隔离，从而在被保护的资源前面形成一个坚固的面形成一个坚固的“堡垒堡垒”，并且在抵御威，并且在抵御威胁的同时又不影响普通用户对资源的正常访胁的同时又不影响普通用户对资源的正常访问。问。.l运维审计型堡垒机运维审计型堡垒机运维审计型堡垒机被部署在内网中的服务器和网运维审计型堡垒机被部署在内网中的服务器和网络设备等核心资源的前面，对运维人员的操作权络设备等核心资源的前面，对运维人员的操作权限进行控制和操作行为审计；运维审计型堡垒机限进行控制和操作行为审计；运维审计型堡垒机即解决了运维人员权限难以控制混乱局面，又可即解决了运

26、维人员权限难以控制混乱局面，又可对违规操作行为进行控制和审计，而且由于运维对违规操作行为进行控制和审计，而且由于运维操作本身不会产生大规模的流量，堡垒机不会成操作本身不会产生大规模的流量，堡垒机不会成为性能的瓶颈，所以堡垒机作为运维操作审计的为性能的瓶颈，所以堡垒机作为运维操作审计的手段得到了快速发展。手段得到了快速发展。.选择要点l管理方便管理方便提供一套简单直观的账号管理、授权管理策略，管提供一套简单直观的账号管理、授权管理策略，管理员可快速方便地查找某个用户，查询修改访问理员可快速方便地查找某个用户，查询修改访问权限；同时用户能够方便的通过登录堡垒机对自权限；同时用户能够方便的通过登录堡

27、垒机对自己的基本信息进行管理，包括账号、口令等进行己的基本信息进行管理，包括账号、口令等进行修改更新。修改更新。l可扩展性可扩展性当进行新系统建设或扩容时，需要增加新的设备到当进行新系统建设或扩容时，需要增加新的设备到堡垒机时，系统应能方便的增加设备数量和设备堡垒机时，系统应能方便的增加设备数量和设备种类。种类。.l精细审计精细审计针对传统网络安全审计产品无法对通过加密、图形针对传统网络安全审计产品无法对通过加密、图形运维操作协议进行为审计的缺陷，系统应能实现运维操作协议进行为审计的缺陷，系统应能实现对对RDP、VNC、X-Window、SSH、SFTP、HTTPS等协议进行集中审计，提供对各

28、种操作的等协议进行集中审计，提供对各种操作的精细授权管理和实时监控审计。精细授权管理和实时监控审计。l审计可查审计可查可实时监控和完整审计记录所有维护人员的操作行可实时监控和完整审计记录所有维护人员的操作行为；并能根据需求，方便快速的查找到用户的操为；并能根据需求，方便快速的查找到用户的操作行为日志，以便追查取证。作行为日志，以便追查取证。选择要点.l安全性安全性堡垒机自身需具备较高的安全性，须有冗余、备份堡垒机自身需具备较高的安全性，须有冗余、备份措施，如日志自动备份等。措施，如日志自动备份等。l部署方便部署方便系统采用物理旁路，逻辑串联的模式，不需要改变系统采用物理旁路，逻辑串联的模式，不

29、需要改变网络拓扑结构，不需要在终端安装客户端软件，网络拓扑结构，不需要在终端安装客户端软件，不改变管理员、运维人员的操作习惯，也不影响不改变管理员、运维人员的操作习惯，也不影响正常业务运行。正常业务运行。选择要点.漏洞扫描工具漏洞扫描工具.检查工具检查工具l经常性检查重要服务器、网络设备是否存在安全经常性检查重要服务器、网络设备是否存在安全漏洞漏洞绿盟的漏扫设备NmapX-scan流光ISS-SCANNER等其他商业安全工具WVS.网络扫描器网络扫描器l通过模拟网络攻击检查目标主机是否存在已知安通过模拟网络攻击检查目标主机是否存在已知安全漏洞全漏洞l优点：有利于及早发现问题，并从根本上解决安优点：有利于及早发现问题，并从根本上解决安全隐患全隐患l不足：不足：只能针对已知安全问题进行扫描准确性 vs 指导性.谢谢！.