1、网络安全网络安全版本:3.0发布日期:2014-12-1生效日期:2015-1-1 讲师姓名:课程内容课程内容2网络安全网络安全知识体知识域网络架构安全网络架构安全知识子域网络架构安全基础网络架构安全基础网络架构安全设计网络架构安全设计网络协议安全网络协议安全无线局域网协议安全无线局域网协议安全OSI七层模型及安全架构七层模型及安全架构TCP/IP安全安全网络安全设备网络安全设备其他网络安全设备其他网络安全设备防火墙防火墙入侵检测系统入侵检测系统知识域:网络协议安全知识域:网络协议安全v知识子域:OSI七层模型及安全架构了解开放系统互联(OSI)模型的七层网络通信结构及通信过程,了解每一层的功
2、能了解OSI安全架构的核心内容:基于8类安全机制提供5类安全服务3ISO/OSIISO/OSI七层模型结构七层模型结构4物理层物理层物理层物理层网络层网络层网络层网络层传输层传输层传输层传输层会话层会话层会话层会话层表示层表示层应用层应用层应用层应用层数据链路层数据链路层数据链路层数据链路层应用层(高)应用层(高)数据流层数据流层7654321第一层:物理层第一层:物理层v作用定义物理链路的电气、机械、通信规程、功能要求等;电压,数据速率,最大传输距离,物理连接器;线缆,物理介质;将比特流转换成电压;v典型物理层设备光纤、双绞线、中继器、集线器等;v常见物理层标准(介质与速率)100BaseT
3、,OC-3,OC-12,DS1,DS3,E1,E35数据链路层数据链路层数据链路层数据链路层物理层物理层物理层物理层网络层网络层网络层网络层传输层传输层传输层传输层会话层会话层会话层会话层表示层表示层应用层应用层应用层应用层第二层:数据链路层第二层:数据链路层v作用物理寻址,网络拓扑,线路规章等错误检测和通告(但不纠错)将比特聚成帧进行传输流量控制(可选)v寻址机制使用数据接收设备的硬件地址(物理地址)寻址(如MAC地址)v典型数据链路层设备网卡、网桥和交换机v数据链路层协议PPP,HDLC,FR,Ethernet,Token Ring,FDDI6数据链路层数据链路层数据链路层数据链路层物理层
4、物理层物理层物理层网络层网络层网络层网络层传输层传输层传输层传输层会话层会话层会话层会话层表示层表示层应用层应用层应用层应用层第二层:以太网协议标准(两个子层)第二层:以太网协议标准(两个子层)vLLC(Logical Link Control)IEEE 802.2为上层提供统一接口;使上层独立于下层物理介质;提供流控、排序等服务;vMAC(Media Access Control)IEEE 802.3烧录到网卡ROM;48比特;唯一性;7LLCLLC MAC MAC物理层物理层物理层物理层网络层网络层网络层网络层传输层传输层传输层传输层会话层会话层会话层会话层表示层表示层应用层应用层应用层应
5、用层第三层:网络层第三层:网络层v作用逻辑寻址路径选择v寻址机制使用网络层地址进行寻址(如IP地址)v网络层典型设备路由器三层交换机8数据链路层数据链路层数据链路层数据链路层物理层物理层物理层物理层网络层网络层网络层网络层传输层传输层传输层传输层会话层会话层会话层会话层表示层表示层应用层应用层应用层应用层第四层:传输层第四层:传输层v作用提供端到端的数据传输服务建立逻辑连接v寻址机制应用程序的界面端口(如端口号)v传输层协议TCP UDP SPX9数据链路层数据链路层数据链路层数据链路层物理层物理层物理层物理层网络层网络层网络层网络层传输层传输层传输层传输层会话层会话层会话层会话层表示层表示层
6、应用层应用层应用层应用层第五层:会话层第五层:会话层v作用不同应用程序的数据隔离会话建立,维持,终止同步服务会话控制(单向或双向)10数据链路层数据链路层数据链路层数据链路层物理层物理层物理层物理层网络层网络层网络层网络层传输层传输层传输层传输层会话层会话层会话层会话层表示层表示层应用层应用层应用层应用层第六层:表示层第六层:表示层v作用数据格式表示协议转换字符转换数据加密/解密数据压缩等v表示层数据格式ASCII,MPEG,TIFF,GIF,JPEG11数据链路层数据链路层数据链路层数据链路层物理层物理层物理层物理层网络层网络层网络层网络层传输层传输层传输层传输层会话层会话层会话层会话层表示
7、层表示层应用层应用层应用层应用层第七层:应用层第七层:应用层v作用应用接口网络访问流处理流控错误恢复v应用层协议FTP,Telnet,HTTP,SNMP,SMTP,DNS12数据链路层数据链路层数据链路层数据链路层物理层物理层物理层物理层网络层网络层网络层网络层传输层传输层传输层传输层会话层会话层会话层会话层表示层表示层应用层应用层应用层应用层分层结构的优点分层结构的优点v降低复杂性v促进标准化工作v各层间相互独立,某一层的变化不会影响其他层v协议开发模块化v简化理解与学习13数据封装与分用数据封装与分用v数据封装应用数据发送时从高层向低层逐层加工后传递v数据解封装数据接收时从低层向高层逐层传
8、递14OSIOSI安全体系结构安全体系结构vOSI安全体系结构定义了系统应当提供的五类安全服务,以及提供这些服务的八类安全机制;某种安全服务可以通过一种或多种安全机制提供,某种安全机制可用于提供一种或多种安全服务15OSIOSI安全体系结构定义的安全服务安全体系结构定义的安全服务v五类安全服务鉴别、访问控制、数据机密性、数据完整性、抗抵赖v八种安全服务加密、数字签名、访问控制、数据完整性、鉴别流量填充(用于对抗通信流量分析,在加密时才是有效的)路由控制(可以指定路由选择说明,回避某些特定的链路或子网)公证16知识域:网络协议安全知识域:网络协议安全v知识子域:TCP/IP安全了解TCP/IP协
9、议模型及各层典型协议的功能理解基于TCP/IP的典型安全协议了解IPv6的安全特点17OSIOSI模型与模型与TCP/IPTCP/IP协议的对应协议的对应18物理层物理层物理层物理层网络层网络层网络层网络层传输层传输层传输层传输层会话层会话层会话层会话层表示层表示层应用层应用层应用层应用层数据链路层数据链路层数据链路层数据链路层网络互联层网络互联层网络互联层网络互联层传输层传输层传输层传输层应用层应用层应用层应用层网络接口层网络接口层网络接口层网络接口层TCP/IPTCP/IP协议协议19应用层传输层网络互联层网络接口层应用协议应用协议应用协议应用协议TCPUDPICMPIPIGMPARP硬件
10、接口RARP网络接口层网络接口层v主要协议ARPRARPv安全问题损坏:自然灾害、动物破坏、老化、误操作干扰:大功率电器/电源线路/电磁辐射电磁泄漏:传输线路电磁泄漏欺骗:ARP欺骗嗅探:常见二层协议是明文通信的(以太、arp等)拒绝服务:mac flooding,arp flooding等20网络互联层网络互联层21应用层传输层网络互联层网络接口层应用协议应用协议应用协议应用协议TCPUDPICMPIPIGMPARP硬件接口RARP网络互联层协议核心协议网络互联层协议核心协议-IP-IP协议协议vIP是TCP/IP协议族中最为核心的协议vIP协议的特点不可靠(unreliable)通信无连接
11、(connectionless)通信22版本版本包头长度包头长度服务类型服务类型数据包长度数据包长度标识标识标记标记偏移偏移生存期生存期协议类型协议类型包头校验和包头校验和源源IPIP地址地址目的目的IPIP地址地址可选项可选项用户数据用户数据网络互联层安全问题网络互联层安全问题v拒绝服务:分片攻击(teardrop)/死亡之pingv欺骗:IP源地址欺骗v窃听:嗅探v伪造:IP数据包伪造23传输层传输层24应用层传输层网络互联层网络接口层应用协议应用协议应用协议应用协议TCPUDPICMPIPIGMPARP硬件接口RARP传输层协议传输层协议-TCP-TCP协议协议v传输控制协议:提供面向连
12、接的、可靠的字节流服务v提供可靠性服务数据包分块、发送接收确认、超时重发、数据校验、数据包排序、控制流量251616源端口号源端口号1616位目的端口号位目的端口号3232位序号位序号3232位确认序号位确认序号偏移量偏移量保留位保留位U A P U A P R S FR S F1616窗口指针窗口指针1616位校验和位校验和1616位紧急指针位紧急指针数据数据传输层协议传输层协议-UDP-UDP协议协议v用户数据报协议:提供面向事务的简单不可靠信息传送服务v特点无连接、不可靠协议简单、占用资源少,效率高261616源端口号源端口号1616位目的端口号位目的端口号16UDP16UDP报文长度报
13、文长度1616位校验和位校验和数据数据传输层安全问题传输层安全问题v拒绝服务:syn flood/udp flood/Smurfv欺骗:TCP会话劫持v窃听:嗅探v伪造:数据包伪造27应用层协议应用层协议v应用层协议定义了运行在不同端系统上的应用程序进程如何相互传递报文v典型的应用层协议域名解析:DNS电子邮件:SMTP/POP3文件传输:FTP网页浏览:HTTP28应用层协议安全问题应用层协议安全问题v拒绝服务:超长URL链接v欺骗:跨站脚本、钓鱼式攻击、cookie欺骗v窃听:数据泄漏v伪造:应用数据篡改v暴力破解:应用认证口令暴力破解等v29基于基于TCP/IPTCP/IP协议簇的安全架
14、构协议簇的安全架构30下一代互联网协议下一代互联网协议-IPv6-IPv6vIPv6安全特性地址数量大量增加(32-128)报文头部格式简化,路由表简化、处理速度快内置安全特性(IPSec)移动性支持QoS和性能良好扩展性31知识域知识域:网络协议安全:网络协议安全v知识子域:无线局域网协议安全了解无线局域网的基本组成与特点了解WEP、802.11i、WAPI等无线局域网安全协议32无线局域网网络结构无线局域网网络结构v无线局域网构成(802.11x)客户端(station,STA)无线接入点(access Point,AP)分布系统(distribution system,DS)33分布系统
15、STASTAAPAP33无线局域网安全问题无线局域网安全问题v安全问题传输信道开放,容易接入v认证机制(802.11i之前)开放式认证系统通过易于伪造的SSID识别,无保护、任意接入MAC、IP地址控制易于伪造共享密钥认证(使用WEP进行保护)手动管理密钥存在重大隐患弱密钥问题不能防篡改WEP没有提供抵抗重放攻击的对策34案例:中间人攻击案例:中间人攻击v注:建议讲师此处给学员做演示或案例讲解,中间人攻击35无线局域网安全协议无线局域网安全协议v802.11iWPA(802.11i草案)WPA2(802.11i正式)v802.11i运行四阶段发现AP阶段802.11i认证阶段密钥管理阶段安全传
16、输阶段36WAPIWAPI无线安全协议无线安全协议vWAPI的构成WAI,用于用户身份鉴别WPI,用于保护传输安全vWAPI的安全优势双向三鉴别(服务器、AP、STA)高强度鉴别加密算法37知识域:网络安全设备知识域:网络安全设备v知识子域:防火墙理解防火墙的作用、功能及分类理解包过滤技术、状态检测技术和应用代理技术等防火墙主要技术原理掌握防火墙的典型部署方式理解防火墙的局限性38v控制在网络连接点上建立一个安全控制点,对进出数据进行限制v隔离将需要保护的网络与不可信任网络进行隔离,隐藏信息并进行安全防护v记录对进出数据进行检查,记录相关信息防火墙防火墙的作用与功能的作用与功能39安全网域一防
17、火墙的分类防火墙的分类v按防火墙形态按防火墙形态硬件防火墙硬件防火墙软件防火墙软件防火墙v按技术实现按技术实现包过滤(透明模式)包过滤(透明模式)代理代理v按体系结构分按体系结构分双宿双宿/多宿主机防火墙多宿主机防火墙屏蔽主机防火墙屏蔽主机防火墙屏蔽子网防火墙屏蔽子网防火墙v其他分类方法其他分类方法40防火墙的实现技术防火墙的实现技术v包过滤技术包过滤技术v代理网关技术代理网关技术v状态检测技术状态检测技术v自适应代理技术自适应代理技术41防火墙的实现技术防火墙的实现技术-包过滤包过滤v实现机制:依据数据包的基本标记来控制数据包网络层地址:IP地址(源地址及目的地址)传输层地址:端口(源端口及
18、目的端口)协议:协议类型42安全网域一防火墙的实现技术防火墙的实现技术-包过滤包过滤v优点优点:只对数据包的只对数据包的 IP IP 地址、地址、TCP/UDP TCP/UDP 协议和端协议和端口进行分析,规则简单,处理速度较快口进行分析,规则简单,处理速度较快 易于配置易于配置对用户透明,用户访问时不需要提供额外的密对用户透明,用户访问时不需要提供额外的密码或使用特殊的命令码或使用特殊的命令v缺点:缺点:检查和过滤器只在网络层,不能识别应用层协检查和过滤器只在网络层,不能识别应用层协议或维持连接状态议或维持连接状态安全性薄弱,不能防止安全性薄弱,不能防止IPIP欺骗等欺骗等43防火墙的实现技
19、术防火墙的实现技术-代理网关代理网关v每一个内外网络之间的连接都要通过防火墙的介入和转换,加强了控制v分类电路级代理应用代理44防火墙的实现技术防火墙的实现技术-电路级代理电路级代理v建立回路,对数据包进行转发v优点能提供NAT,为内部地址管理提供灵活性,隐藏内部网络等适用面广v缺点仅简单的在两个连接间转发数据,不能识别数据包的内容45防火墙的实现技术防火墙的实现技术-应用代理应用代理v工作在应用层v使用代理技术,对应用层数据包进行检查v对应用或内容进行过滤,例如:禁止FTP的“put”命令46防火墙的实现技术防火墙的实现技术-应用代理应用代理v优点可以检查应用层内容,根据内容进行审核和过滤提
20、供良好的安全性v缺点支持的应用数量有限性能表现欠佳47防火墙的实现技术防火墙的实现技术-NAT-NATv什么是NAT一种将私有(保留)地址转化为合法IP地址的转换技术,它被广泛应用于各种类型Internet接入方式和各种类型的网络中。vNAT技术设计初衷增加私有组织的可用地址空间解决现有私有网络接入的IP地址编号问题48防火墙的实现技术防火墙的实现技术-NAT-NATvNAT实现方式静态地址转换动态地址转换端口转换49202.2.2.2安全网域一202.2.2.100192.168.1.1192.168.1.30NATNAT的优缺点的优缺点v优点管理方便并且节约IP地址资源隐藏内部 IP 地址
21、信息可用于实现网络负载均衡v缺点外部应用程序却不能方便地与 NAT 网关后面的应用程序联系。50防火墙实现技术防火墙实现技术-状态检测状态检测数据链路层数据链路层物理层物理层网络层网络层表示层表示层会话层会话层传输层传输层检测引擎检测引擎应用层应用层动态状态表动态状态表动态状态表动态状态表动态状态表动态状态表v在数据链路层和网络层之间对数据包进行检测v创建状态表用于维护连接上下文应用层应用层表示层表示层会话层会话层传输层传输层数据链路层数据链路层物理层物理层网络层网络层应用层应用层表示层表示层会话层会话层传输层传输层数据链路层数据链路层物理层物理层网络层网络层51防火墙实现技术防火墙实现技术-
22、状态检测状态检测v状态检测技术的特点状态检测技术的特点安全性高,可根据通信和应用程序状态确定是否允许包的通行性能高,在数据包进入防火墙时就进行识别和判断适应性好对用户、应用程序透明52防火墙实现技术防火墙实现技术-自适应代理技术自适应代理技术v特点根据用户定义安全规则动态“适应”传输网络数据代理服务可以从应用层转发,也可以从网络层转发高安全要求:则在应用层进行检查明确会话安全细节:则在链路层数据包转发兼有高安全性和高效率53防火墙防火墙部署方式部署方式v路由模式v透明模式v混合模式54防火墙的工作模式防火墙的工作模式-路由模式路由模式内部网络内部网络192.168.1.0/24192.168.
23、1.0/24GW:192.168.1.254GW:192.168.1.254外部网络外部网络202.101.10.0/24202.101.10.0/24GW:202.101.10.1GW:202.101.10.1防火墙防火墙InternetIntranet202.101.10.1/24192.168.1.254/2455防火墙的工作模式防火墙的工作模式-透明模式透明模式56内部网络内部网络192.168.1.0/24GW:192.168.1.254外部网络外部网络路由器路由器InternetIntranet192.168.1.254/24防火墙的工作模式防火墙的工作模式-混合模式混合模式57内
24、部网络内部网络192.168.1.0/24192.168.1.0/24192.168.1.254192.168.1.254外部网络外部网络202.101.10.0/24202.101.10.0/24GW:202.101.10.1GW:202.101.10.1防火墙防火墙InternetIntranetIntranet内部网络内部网络192.168.1.100/24192.168.1.100/24GW:192.168.1.253GW:192.168.1.253路由模式路由模式透明模式透明模式防火墙的典型部署防火墙的典型部署v区域划分:可信网络、不可信网络、DMZ区58可信网络可信网络不可信的网络
25、不可信的网络防火墙防火墙路由器路由器InternetIntranetDMZ非军事化区非军事化区防护墙的策略设置防护墙的策略设置v没有明确允许的就是禁止先阻止所有数据包需要的给予开放v没有明确禁止的就是允许对明确禁止的设置策略59防火墙的策略设置防火墙的策略设置v可信网络可向DMZ区和不可信网络发起连接请求60可信网络可信网络不可信的网络不可信的网络防火墙防火墙路由器路由器InternetIntranetDMZ非军事化区非军事化区防火墙的策略设置防火墙的策略设置vDMZ区可接受可信网络和不可信网络的连接请求vDMZ区不可向可信网络发起连接请求vDMZ区与不可信网络的连接请求根据业务需要确定61可
26、信网络可信网络不可信的网络不可信的网络防火墙防火墙路由器路由器InternetIntranetDMZ非军事化区非军事化区防火墙防火墙部署结构部署结构v防火墙的部署位置可信网络与不可信网络之间不同安全级别网络之间两个需要隔离的区域之间v防火墙的部署方式单防火墙(无DMZ)部署方式单防火墙(DMZ)部署方式双防火墙部署方式62单防火墙(无单防火墙(无DMZDMZ)部署方式)部署方式v区域划分:可信网络、不可信网络v结构简单,易于实施内部网络内部网络192.168.1.0/24192.168.1.0/24GW:192.168.1.254GW:192.168.1.254外部网络外部网络202.101.
27、10.0/24202.101.10.0/24GW:202.101.10.1GW:202.101.10.1防火墙防火墙InternetIntranet202.101.10.1/24192.168.1.254/2463单防火墙(单防火墙(DMZDMZ)部署方式)部署方式v区域划分:可信网络、不可信网络、DMZ区v提供对外服务安全区域64可信网络可信网络不可信的网络不可信的网络防火墙防火墙路由器路由器InternetIntranetDMZ非军事化区非军事化区双防火墙的部署方式双防火墙的部署方式v能提供更为安全的系统结构v实施复杂性和费用较高65可信网络可信网络不可信的网络不可信的网络防火墙防火墙In
28、ternet非军事化区非军事化区防火墙防火墙防火墙的不足和局限性防火墙的不足和局限性v难于管理和配置,易造成安全漏洞v防外不防内,不能防范恶意的知情者v只实现了粗粒度的访问控制v很难为用户在防火墙内外提供一致的安全策略v不能防范病毒66知识域:网络安全设备知识域:网络安全设备v知识子域:入侵检测系统理解入侵检测系统的作用、功能及分类了解入侵检测系统的主要技术原理掌握入侵检测系统的典型部署方式理解入侵检测系统的局限性67入侵检测系统的作用与功能入侵检测系统的作用与功能v入侵检测系统的作用防火墙的重要补充构建网络安全防御体系重要环节克服传统防御机制的限制v入侵检测系统功能监测并分析用户和系统的活动
29、核查系统配置和漏洞对操作系统进行日志管理,并识别违反安全策略的用户活动针对已发现的攻击行为作出适当的反应,如告警、中止进程等68入侵检测系统的分类入侵检测系统的分类v按入侵检测形态硬件入侵检测软件入侵检测v按目标系统的类型网络入侵检测主机入侵检测v按系统结构集中式分布式69入侵检测的技术架构入侵检测的技术架构v事件产生器:采集和监视被保护系统的数据v事件分析器:分析数据,发现危险、异常事件,通知响应单元v响应单元:对分析结果作出反应v事件数据库:存放各种中间和最终数据7071入侵检测工作过程入侵检测工作过程数据检测技术数据检测技术v误用检测技术建立入侵行为模型(攻击特征)假设可以识别和表示所有
30、可能的特征基于系统和基于用户的误用v异常检测技术设定“正常”的行为模式假设所有的入侵行为是异常的基于系统和基于用户的异常72误用检测误用检测73v优点准确率高算法简单v关键问题有所有的攻击特征,建立完备的特征库特征库要不断更新无法检测新的入侵73异常检测异常检测74误报率、漏报率较高v优点可检测未知攻击自适应、自学习能力v关键问题“正常”行为特征的选择统计算法、统计点的选择74v基于网络的入侵检测系统75入侵检测系统布署入侵检测系统布署入侵检测系统布署入侵检测系统布署v基于主机的入侵检测系统76入侵检测系统的局限性入侵检测系统的局限性77v对用户知识要求较高,配置、操作和管理使用较为复杂v网络
31、发展迅速,对入侵检测系统的处理性能要求越来越高,现有技术难以满足实际需要v高虚警率,用户处理的负担重v由于警告信息记录的不完整,许多警告信息可能无法与入侵行为相关联,难以得到有用的结果v在应对对自身的攻击时,对其他数据的检测也可能会被抑制或受到影响77知识域:网络安全设备知识域:网络安全设备v知识子域:其它网络安全设备了解安全隔离与信息交换系统的原理、特点及适用场景了解入侵防御系统(IPS)的原理与特点了解安全管理平台(SOC)的主要功能了解统一威胁管理系统(UTM)的功能与特点了解网络准入控制(NAC)的功能、组成及控制方式78安全隔离与信息交换系统(网闸)安全隔离与信息交换系统(网闸)v组
32、成外部处理单元、内部处理单元、仲裁处理单元 v特点断开内外网之间的会话(物理隔离、协议隔离)同时集合了其他安全防护技术79入侵防御系统入侵防御系统(IPS)(IPS)v接入方式:串行v工作机制:检测+阻断v不足:单点故障、性能瓶颈、误报80可信网络可信网络不可信的网络不可信的网络&服务服务InternetIntranetIPS安全管理平台(安全管理平台(SOCSOC)vSOC的含义狭义:安全设备集中管理中心广义:IT资源集中管理中心vSOC的主要功能风险管理服务管理系统管理专业安全系统81统一威胁管理系统(统一威胁管理系统(UTMUTM)v接入方式:串行v工作机制:检测+阻断+病毒防护+流控+
33、v不足:单点故障、性能瓶颈、误报、82可信网络可信网络不可信的网络不可信的网络&服务服务InternetIntranetUTM网络准入控制网络准入控制v作用:对接入终端进行授权v组成:策略服务器、接入设备、终端检查83认证服务器认证服务器Radius Server接入设备终端设备知识域:网络架构安全知识域:网络架构安全v知识子域:网络架构安全基础理解网络架构安全的含义理解网络架构安全设计的主要工作v知识子域:网络架构安全设计 理解网络安全域划分应考虑的主要因素理解IP地址规划方法理解VLAN划分的作用与策略理解路由交换设备安全配置常见的要求理解网络边界访问控制策略的类型理解网络冗余配置应考虑的
34、因素8484网络架构安全网络架构安全v网络是信息系统的基础支撑环境vIATF中“保护网络和基础设施”主要内容85骨干网络骨干网络保护网络边界保护网络边界保护网络和保护网络和基础设施基础设施保护计算环境保护计算环境网络架构安全设计网络架构安全设计v合理划分网络安全区域v规划网络IP地址、Vlan设计v安全配置路由交换设备v网络边界访问控制策略v网络冗余配置86安全域划分安全域划分v安全域划分安全域是遵守相同安全策略的用户和系统的集合v安全域划分的目的把大规模负责系统安全问题化解为更小区域的安全保护问题网络抗渗透的有效防护方式,安全域边界是灾难发生时的抑制点v安全域的划分方法业务和功能特性安全性要
35、求现有状况(有网络结构、地域和机房等)87IPIP地址规划地址规划v规划要点自顶向下的方法为所设计的网络中的节点、网络设备分配合适的IP地址综合考虑网络层次规划、路由协议规划、流量规划vIP地址分配静态IP地址分配动态IP地址分配NAT88VLANVLAN设计设计v将网内设备的逻辑地划分成一个个网段从而实现虚拟工作组v通过VLAN隔离技术,可以把一个网络系统中众多的网络设备分成若干个虚拟的工作组v安全作用建立VLAN之间的访问机制,阻止蠕虫和恶意病毒的广泛传播建立VLAN区域安全和资源保护,将受限制的应用程序和资源置于更为安全的VLAN中89VLANVLAN设计设计vVLAN的作用控制网络的广
36、播风暴提高网络安全性简化网络管理v设计要点根据业务需要划分虚拟工作组、保护重要资源,建立VLAN之间的访问机制vVLAN划分方法基于端口划分的VLAN基于MAC地址划分VLAN基于网络层划分VLAN根据IP组播划分VLAN90路由交换设备的安全配置路由交换设备的安全配置v设备操作系统版本v关闭空闲的物理端口v访问控制(严格口令及关闭服务)v日志保护v配置备份v91网络边界访问控制网络边界访问控制v具有不同安全级别的网络之间的分界线都可以定义为网络边界v网络边界的范例内部网络与互联网之间内部网络与外部网络之间重要部门与其他部门之间组织机构总部与分支机构之间9293v作用防止单点故障可以提高网络的健全性、稳定性v考虑因素考虑因素接入互联网时,同时采用不同电信运营商线路,相互备份且互不影响核心层、汇聚层的设备和重要的接入层设备均应双机热备保证网络带宽和网络设备的业务处理能力具备冗余空间,满足业务高峰期和业务发展需要网络冗余配置网络冗余配置93案例:网络规划案例:网络规划v注:请讲师根据自己的网络规划经验准备一个案例给学员讲解网络规划94总结总结v协议安全TCP/IP协议各层安全性问题及解决v网络安全设备防火墙入侵检测v网络安全架构设计95谢谢,请提问题!谢谢,请提问题!
浙ICP备2021020529号-1 | 浙B2-20240490 
