ImageVerifierCode 换一换
格式:PPT , 页数:81 ,大小:1.68MB ,
资源ID:12705912      下载积分:5 金币
快捷注册下载
登录下载
邮箱/手机:
温馨提示:
快捷下载时,用户名和密码都是您填写的邮箱或者手机号,方便查询和重复下载(系统自动生成)。 如填写123,账号就是123,密码也是123。
特别说明:
请自助下载,系统不会自动发送文件的哦; 如果您已付费,想二次下载,请登录后访问:我的下载记录
支付方式: 支付宝    微信支付   
验证码:   换一换

开通VIP
 

温馨提示:由于个人手机设置不同,如果发现不能下载,请复制以下地址【https://www.zixin.com.cn/docdown/12705912.html】到电脑端继续下载(重复下载【60天内】不扣币)。

已注册用户请登录:
账号:
密码:
验证码:   换一换
  忘记密码?
三方登录: 微信登录   QQ登录  

开通VIP折扣优惠下载文档

            查看会员权益                  [ 下载后找不到文档?]

填表反馈(24小时):  下载求助     关注领币    退款申请

开具发票请登录PC端进行申请

   平台协调中心        【在线客服】        免费申请共赢上传

权利声明

1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,个别因单元格分列造成显示页码不一将协商解决,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前可先查看【教您几个在下载文档中可以更好的避免被坑】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时联系平台进行协调解决,联系【微信客服】、【QQ客服】,若有其他问题请点击或扫码反馈【服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【版权申诉】”,意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:0574-28810668;投诉电话:18658249818。

注意事项

本文(宣贯材料--信息安全2.ppt)为本站上传会员【二***】主动上传,咨信网仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。 若此文所含内容侵犯了您的版权或隐私,请立即通知咨信网(发送邮件至1219186828@qq.com、拔打电话4009-655-100或【 微信客服】、【 QQ客服】),核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
温馨提示:如果因为网速或其他原因下载失败请重新下载,重复下载【60天内】不扣币。 服务填表

宣贯材料--信息安全2.ppt

1、单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,宣贯材料信息网络系统,目录,一、标准简介,5.1 一般规定,5.2 工程实施及质量控制,5.3 计算机网络系统检测,5.4 信息平台及应用软件检测,5.5 网络安全系统检测,二、重点问题详解,2.1 防火墙,2.2 防病毒,2.3 入侵检测IDS,5.1 一般规定,5.1.1本章适用于智能建筑工程中的信息网络系统的工程实施及质量控制、系统检测和竣工验收。,5.1.2信息网络系统包括计算机网络、应用软件及网络安全等。,信息网络系统检测和安装质量检查应按表5.1中规定的项目进行。,5.2 工程实施及质量控制,5

2、2.1信息网络系统工程实施前应具备下列条件:,综合布线系统施工完毕,已通过系统检测并具备竣工验收的条件;,设备机房施工完毕,机房环境、电源及接地安装已完成,具备安装条件。,(公共网接入必须提供电信部门关于公共网的线路及接口的测试报告。),5.2 工程实施及质量控制,5.2.2 信息网络系统的设备、材料进场验收要求除遵照本规范第3.3.4和3.3.5条的规定执行外,还应进行:,有序列号的设备必须登记设备的序列号;,网络设备开箱后通电自检,查看设备状态指示灯的显示是否正常,检查设备启动是否正常;,计算机系统、网管工作站、UPS电源、服务器、数据存储设备、路由器、防火墙、交换机等产品按本规范第3.

3、2节的规定执行。,5.2 工程实施及质量控制,5.2.3 网络设备应安装整齐、固定牢靠,便于维护和管理;高端设备的信息模块和相关部件应正确安装,空余槽位应安装空板;设备上的标签应标明设备的名称和网络地址;跳线连接应稳固,走向清楚明确,线缆上应正确标签。,5.2.4 信息网络系统在安装、调试完成后,应进行不少于一个月的试运行,有关系统自检和试运行要求应符合本规范第3.3.8和3.3.9条的要求。,5.3计算机网络系统检测,5.3.1计算机网络的检测应包括连通性检测、路由检测、容错功能的检测、网络管理功能的检测。,主控项目,一般项目,主控项目,5.3.2 连通性检测应符合以下要求:,1.根据网络设

4、备的连通图,网管工作站应能够和任何一台网络设备通信;,2.各子网(虚拟专网)内用户之间的通信功能检测:根据网络配置方案的要求,允许通信的计算机之间可以进行资源共享和信息交换,不允许通信的计算机之间无法通信;并保证网络节点符合设计规定的通讯协议和适用标准;,3.根据配置方案的要求,检测局域网内的用户与公用网之间的通信能力。,主控项目,5.3.3 连通性检测方法可采用相关测试命令进行测试;或根据设计要求使用网络测试仪测试网络的连通性。,5.3.4 路由检测方法可采用相关测试命令进行测试;或根据设计要求使用网络测试仪测试网络路由设置的正确性。,一般项目,5.3.5 容错功能的检测方法应采用人为设置网

5、络故障,检测系统正确判断故障及自动恢复的功能,切换时间应符合设计要求。检测内容应包括以下两个方面:,1.对具备容错能力的网络系统,应具有错误恢复和隔离功能,主要部件有备份,并在出现故障时可自动切换;,2.对有链路冗余配置的网络系统,当其中的某条链路断开或有故障发生时,整个系统仍应保持正常工作,并在故障恢复后应能自动切换回主系统运行。,一般项目,5.3.6 网络管理功能的检测是对计算机网络系统的维护、管理和监控功能的检测,应重点检测网络管理软件是否具备以下管理功能:,1.网管系统应能够搜索到整个网络系统的拓扑结构图和网络设备连接图;,2.网络系统应具备自诊断功能,当某台网络设备或线路发生故障后,

6、网管系统应能够及时报警和定位故障点;,3.应能够对网络设备进行远程配置,检测网络的性能,提供网络节点的流量、广播率和错误率等参数。,5.4 信息平台及应用软件检测,5.4.1 智能建筑的应用软件应包括智能建筑办公自动化软件、物业管理软件和智能化系统集成等应用软件系统。应用软件的检测应从其涵盖的基本功能、界面操作的标准性、系统可扩展性和管理功能等方面进行检测,并根据设计要求检测其行业应用功能。满足设计要求时为合格,否则为不合格。不合格的应用软件修改后必须通过回归测试。,5.4.2 应先对软硬件配置进行核对,确认无误后方可进行系统检测。,主控项目,5.4.2应先对软硬件配置进行核对,确认无误后进行

7、系统检测。,5.4.3 软件检测要求应按照本规范第3.6.7条的规定执行。并采用系统的实际数据和实际应用案例进行检测。,5.4.4宜采用黑盒法对被测软件的功能、性能进行确认,主要测试内容应包括:,1.功能测试:在规定的一段时间内运行软件系统的所有功能,以验证系统是否符合功能需求;,主控项目,2.性能测试:检查软件是否满足设计文件中规定的性能,应对软件的响应时间、吞吐量、辅助存储区、处理精度进行检测;,3.文档测试:检测用户文档的清晰性和准确性,用户文档中所列应用案例必须全部测试;,4.可靠性测试:对比软件测试报告中可靠性的评价与实际试运行中出现的问题,进行可靠性的检测;,5.互连测试:应验证两

8、个或多个不同系统之间的互连性;,6.回归测试:软件修改后,应经回归测试验证是否因修改引出新的错误,即验证修改后的软件是否仍能满足系统的设计要求。,一般项目,5.4.5 应用软件的操作界面应以方便使用为基础,界面应为标准图形交互界面,并做到风格统一、层次简洁,操作的命名不能具有二义性。,5.4.6应用软件应具有可扩展性,系统应预留可升级空间以供纳入新功能,宜采用能适应最新版本的信息平台,并能适应信息系统管理制度的变动。,5.5 网络安全系统检测,5.5.1 信息安全宜从安全管理、物理层安全、网络层安全、系统层安全、应用层安全等五个方面进行检测。,安全管理包括对人员的安全意识教育、安全技术培训,对

9、各种网络设备、硬件设备、应用软件、存储介质等的安全管理,对各项安全管理制度贯彻执行的保障和监督措施等。特殊行业或者地区对于安全管理人员培训上岗等有特殊规定的,应遵守相关规定。,物理层安全,包括对于信息网络运行的物理环境(如机房、配线间等)的控制和管理,也包括防范因为物理介质、信号辐射等造成的安全风险。,5.5 网络安全系统检测,网络层安全,主要是保证网络通信的稳定和可靠,并在网络层进行访问控制和安全检查,抵御在网络层的攻击和破坏。网络层安全包括防攻击、因特网(Internet)访问控制和访问管理、安全隔离等内容,涉及安全网络拓扑、防火墙、入侵检测系统、内容过滤等技术或产品。,系统层安全,主要对

10、各种网络设备、服务器、桌面主机等进行保护,保证操作系统和网络服务平台的安全,防范通过系统攻击对数据的破坏。,应用层安全,主要解决各种网络应用系统的安全。,主控项目,5.5.2防火墙和防病毒软件等网络安全产品必须通过公安部计算机信息系统安全产品质量监督检验中心检验,并具有公安部公共信息安全监察局颁发的“计算机信息系统安全专用产品销售许可证”;特殊行业有其他规定时,还应遵守行业的相关规定。,5.5.3如果有因特网连接,智能建筑网络安全系统应安装防火墙和防病毒系统。,条文说明5.5.3,5.5.3 建议安装入侵检测系统、内容过滤系统,安全性要求较高的还可以配置应用安全平台(“应用安全平台”的解释见条

11、文说明第5.5.8条)。,防火墙是在网络中不同网段之间实现边界安全的网络安全设备,主要功能是在网络层控制某一网段对另一网段的访问。一般用在局域网和互联网之间,或局域网内部重要网段和其他网段之间。,1.非军事化区:简称DMZ,在网络结构中,处于不安全外网和安全内网之间的一个网段,它可以同时被外网和内网访问到,主要提供一些对内对外公开的服务,如主页(WWW)、文件传输服务(FTP)、电子邮件(E-mail)和代理服务(Proxy)等;,2.安全内网:在网络结构中的一个受到重点保护的子网,一般是内部办公网络和内部办公服务器或监控系统,此子网禁止来自外网的任何访问,但可以接受来自非军事化区的访问;,3

12、所有对外提供服务的服务器只能放在非军事化区,不允许放在内网;数据库服务器和其他不对外服务的服务器应放置在内网;,条文说明5.5.3,4.配置防火墙之后,应满足如下要求:,1)从外网能够且只能够访问到非军事化区内指定服务器的指定服务;,2)未经授权,从外网不允许访问到内网的任何主机和服务;,3)从非军事化区可以根据需要访问外网的指定服务;,4)从非军事化区可以根据需要访问内网的指定服务器上的指定服务;,5)从内网可以根据需要访问外网的指定服务;,6)从内网可以根据需要访问非军事化区的指定服务器上的指定服务;,7)防火墙的配置必须针对某个主机、网段、某种服务;,8)防火墙的配置必须能够防范IP地

13、址欺骗等行为;,9)配置防火墙后,必须能够隐藏内部网络结构,包括内部IP地址分配;,10)防火墙的配置必须是可以调整的。,条文说明5.5.3,5.网络环境下病毒的防范分以下层次,用户可根据自己的实际情况进行选择配置:,1)配置网关型防病毒服务器的防病毒软件,对进出信息网络系统的数据包进行病毒检测和清除;网关型防病毒服务器应尽可能与防火墙统一管理;,2)配置专门保护邮件服务器的防病毒软件,防止通过邮件正文、邮件附件传播病毒;,3)配置保护重要服务器的防病毒软件,防止病毒通过服务器访问传播;,4)对每台主机进行保护,防止病毒通过单机访问(如使用带毒光盘、软盘等)进行传播。,条文说明5.5.3,6.

14、入侵检测系统应该具备以下特性:,1)必须具备丰富的攻击方法库,能够检测到当前主要的黑客攻击;,2)软件厂商必须定期提供更新的攻击方法库,以检测最新出现的黑客攻击方法;,3)必须能够在入侵行为发生之后,及时检测出黑客攻击并进行处理;,4)必须提供包括弹出对话窗口、发送电子邮件、寻呼等在内的多种报警手段;,5)发现入侵行为之后,必须能够及时阻断这种入侵行为,并进行记录;,6)不允许占用过多的网络资源,系统启动后,网络速度和不启动时不应有明显区别;,7)应尽可能与防火墙设备统一管理、统一配置。,条文说明5.5.3,7.内容过滤系统应具备以下特征:,具有科学、全面和及时升级的因特网网址(URL)分类数

15、据库;,具有和防火墙结合进行访问控制的功能;,具有全面的访问管理手段。,主控项目,5.5.4网络层安全的安全性检测应满足以下要求:,1.防攻击:信息网络应能抵御来自防火墙以外的网络攻击,使用流行的攻击手段进行模拟攻击,不能攻破判为合格;,2.因特网访问控制:信息网络应根据需求控制内部终端机的因特网连接请求和内容,使用终端机用不同身份访问因特网的不同资源,符合设计要求判为合格;,3.信息网络与控制网络的安全隔离:测试方法应按本规范第5.3.2条的要求,保证做到未经授权,从信息网络不能进入控制网络;符合此要求者判为合格;,5.5.4网络层安全的检测方法,4.防病毒系统的有效性:将含有当前已知流行病

16、毒的文件(病毒样本)通过文件传输、邮件附件、网上邻居等方式向各点传播,各点的防病毒软件应能正确地检测到该含病毒文件,并执行杀毒操作;符合本要求者判为合格;,5.入侵检测系统的有效性:如果安装了入侵检测系统,使用流行的攻击手段进行模拟攻击(如DoS拒绝服务攻击),这些攻击应被入侵检测系统发现和阻断;符合此要求者判为合格;,6.内容过滤系统的有效性:如果安装了内容过滤系统,则尝试访问若干受限网址或者访问受限内容,这些尝试应该被阻断;然后,访问若干未受限的网址或者内容,应该可以正常访问;符合此要求者为合格;,条文说明5.5.4,5.5.4 网络层安全的检测方法:,检查网络拓扑图,应该确保所有服务器和

17、办公终端都在相应的防火墙保护之下;,扫描防火墙,应保证防火墙本身没有任何对外服务的端口(代理内网或DMZ网的服务除外);,内网宜使用私有IP地址;,扫描DMZ网的服务器,只能扫描到应该提供服务的端口。,5.5.5 系统层安全应满足以下要求:,1.操作系统应选用经过实践检验的具有一定安全强度的操作系统;,2.使用安全性较高的文件系统;,3.严格管理操作系统的用户帐号,要求用户必须使用满足安全要求的口令;,4.服务器应只提供必须的服务,其他无关的服务应关闭,对可能存在漏洞的服务或操作系统,应更换或者升级相应的补丁程序;扫描服务器,无漏洞判为合格;,5.认真设置并正确利用审计系统,对一些非法的侵入尝

18、试必须有记录;模拟非法尝试,审计日志中有正确记录者判为合格。,条文说明5.5.5,5.5.5 系统层安全检测:,检测方法:,1)以系统输入为突破口,利用输入的容错性进行正面攻击;,2)申请和占用过多的资源压垮系统导致破坏安全措施,从而进入系统;,3)故意使系统出错,利用系统恢复的过程,窃取用户口令及其他有用的信息;,4)利用计算机各种资源中的垃圾信息(无用信息),以获取如口令、安全码、解密密钥等重要信息;,5)浏览全局数据,期望从中找到进入系统的关键字;,6)浏览那些逻辑上不存在,但物理上还存在的各种记录和资料,寻找突破口。,条文说明5.5.5,系统要求:,1)操作系统版本应达到或超过国际通用

19、的美国可信计算机系统评估准则DoD 5200.28-STD中划分的C2级安全;,2)对Windows NT系列,必须采用NTFS格式,严禁使用FAT格式;,3)对用户口令的建议:最少为6位(管理员帐号至少8位)的字母、数字和特殊符号的组合,同时要求用户必须定期(最长三个月)更换口令。,5.5.6 应用系统安全性应满足以下要求:,1.身份认证:用户口令应该加密传输,或者不在网络上传输;严格管理用户帐号,要求用户必须使用满足安全要求的口令;,2.访问控制:必须在身份认证的基础上根据用户及资源对象实施访问控制;用户能正确访问其获得授权的对象资源、同时不能访问未获得授权的资源,符合此要求即判为合格。,

20、条文说明5.5.6,5.5.6 身份认证:确认被认证者是一个合法用户,并且明确该用户所具有的角色的过程。,访问控制:在用户访问信息资源(包括网络资源和应用资源)时,根据事先确定的权限设置、控制用户对资源访问的过程。,一般项目,5.5.7 物理系统安全应保证信息网络系统的网络设施、服务器的物理安全。,1.,中心机房的电源与接地及环境要求应符合本规范第,11,章、第,12,章的规定;,2.,对于涉及国家秘密的党政机关、企事业单位的智能建筑工程,应参考,涉密信息设备使用现场的电磁泄漏发射保护要求,BMB5,、,涉及国家秘密的计算机信息系统保密技术要求,BMZ1,和,涉及国家秘密的计算机信息系统安全保

21、密评测指南,BMZ3,等标准进行检测和验收;,(,中心机房仅允许授权的系统管理人员进入;,),条文说明5.5.8,5.5.8 应用层的安全实现有以下三种方法:,1.使用应用开发平台如数据库服务器、WEB服务器、操作系统等提供的各种安全服务;,2.使用开发商在开发应用系统时提供的各种安全服务;,3.使用第三方应用安全平台提供的各种安全服务。应用安全平台是由第三方信息安全厂商提供的软件产品,它可以和应用系统无缝集成,为各种应用系统提供可靠而且强度一致的安全服务(包括身份认证、授权管理、传输加密、安全审计等),并提供集中统一的安全管理。,一般项目,5.5.8,应用系统安全主要针对应用系统,防止未授权

22、用户的非法访问,保护应用系统数据的安全。,1.,完整性:数据在存储、使用和网络传输过程中,不得被篡改、破坏;,2.,保密性:数据在存储、使用和网络传输过程中,不应被非法用户获得;,3.,安全审计:对应用系统的访问应有必要的审计记录。,(,可用性:保证不会因为网络传输、服务器、应用软件等的故障而影响用户对于数据的正常访问;,),5.6 竣工验收,5.6.1 竣工验收除应符合本规范第3.5节的规定外,还应对信息安全管理制度进行检查,并作为竣工验收的必要条件。,5.6.2 竣工验收的文件资料包括设备的进场验收报告、产品检测报告、设备的配置方案和配置文档、计算机网络系统的检测记录和检测报告、应用软件的

23、检测记录和用户使用报告、安全系统的检测记录和检测报告以及系统试运行记录。,条文说明5.6.1,5.6.1 应加强信息网络系统的安全管理,建立健全安全管理制度,保障信息安全。,中心机房仅允许授权的系统管理人员进入;,信息网络系统的安全管理包括对人员的安全意识教育、安全技术培训,对各种网络设备、硬件设备、应用软件、存储介质等的安全管理,对各项安全管理制度贯彻执行的保障和监督措施等。特殊行业或者地区对于安全管理人员培训上岗等有特殊规定的,应遵守相关规定。,序号,检 查 内 容,1,安装验收检查内容,(1),机房环境要求,(2),设备器材清点检查,(3),设备机柜、加固安装检查,(4),设备模块配置检

24、查,(5),设备间及机架内缆线布放,(6),电源检查,表5.1,信息网络系统工程实施及质量控制和系统检测项目表,(7),设备至各类配线设备间缆线布放,(8),缆线导通检查,(9),各种标签检查,(10),接地电阻值检查,(11),接地引入线及接地装置检查,(12),机房内防火措施,(13),机房内安全措施,2,通电测试前硬件检查,(1),按施工图设计要求检查设备安装情况,(2),设备接地良好,(3),供电电源电压及极性符合要求,3,硬件测试,(1),设备供电正常,(2),报警指示工作正常,(3),硬件通电无故障,4,信息网络系统测试,(1),网络连通性能,(2),路由选择测试,(3),容错功能

25、测试,(4),网络管理功能测试,5,应用软件,(1),软硬件配置,(2),软件产品质量检查,(3),软件功能和性能检测,(4),文档检测,(5),可靠性检测,(6),互连检测,(7),回归检测,6,网络安全系统,1),防攻击测试,2),访问控制测试,3),信息网络与控制网络的安全隔离测试,4),防病毒系统的有效性测试,5),入侵检测系统有效性测试,6),内容过滤系统有效性测试,7),系统层安全检查,8),物理层安全检查,9),应用层安全检查,10),网络层安全检查,11),信息安全管理制度检查,2.1 防火墙,防火墙功能,防火墙性能测试,检测验收,基本的访问控制功能,1010011001,规则

26、匹配成功,rule:192.168.1.0/24 any UDP drop,nat:192.168.1.0/24 any any 202.200.2.3.4 any any,Access accept!,NAT地址转换功能,源地址:10.10.10.0/24,目标地址:202.203.3.32/24,源地址:192.168.5.0/24,目标地址:202.203.3.32/24,作用:,屏,蔽网络结构、引藏IP地址、节约合法IP地址的开销。,受保护网络,Host C:192.168.5.137,Host D:192.168.5.138,双机热备,(HA)功能,Hub or Switch,Hub

27、 or Switch,主防火墙,从防火墙,正常情况下由主防火墙工作,主防火墙出现故障从防火墙接替主防火墙的工作,当主防火墙出现故障或宕机时,这台防火墙的连接不需要从新建立就可以透明的迁移到从防火墙,用户感觉不到任何变化。,检测主防火墙的状态,发现故障,立即接替其工作,eth1,eth3,eth2,eth3,eth1,eth2,通过协议交换两台防火墙的状态信息,IDS,安全联动功能,主机A,主机B,主机C,发起攻,击,受保护网络,IDS,识别出攻击行为,传送通知报文,发送响应报文,验证报文并采取措施,阻断连接或报警,黑客,与内容过滤系统的,安,全联动,G,主机A,主机B,主机C,市场部子网,系统

28、部子网,WebCM服务器,WebCM,客户端,通过,WebCM,制定,URL,访问规则,防火墙只进行数据信息的获取,增加了防火墙强大的过滤功能,防火墙的性能不会受到影响,访问请求,捕获信息,规则匹配,请求响应,注意:,规则可以是基于IP地址、端口、URL类别、时间等进行控制,在,WebCM,管理控制台设定。,带宽管理功能,WWW,MAIL,DNS,DMZ 区,DMZ 区保留256K,出口带宽为,1M,内部网络,总带宽1M,内网768K,DMZ256K,+,512K,192K,64K,+,+,研发子网,市场部子网,财务子网,分配64K,分配512K,分配192K,时间策略,控制功能,在防火墙上制

29、定基于时间的访问控制策略,上班时间禁止访问,Internet,下班时间可以访问,Internet,1.在防火墙定义某一规则生效的时间范围,2.假如在防火墙定义了时间策略,防火墙在进行规则匹配时将跳过那些不再时间段的策略规则,3.时间段不是指允许访问的时间段,而是指规则生效的时间段,SNMP,管理功能,网卡配置参数信息,资源使用情况信息,防火墙状态信息,防火墙的流量信息,防火墙的路由信息,防火墙的规则信息,防火墙的用户信息,SNMP,客户端,(HP openview),SNMP报文,SNMP服务器端,主机A,主机B,主机C,主机D,VPN连接,功能,主机A,主机B,主机C,主机D,内网1,192

30、168.1.0/24,主机A,主机B,主机C,主机D,内网2,192.168.2.0/24,WWW,FTP,MAIL,IP地址如下:10.10.1.0/24,WWW:10.10.1.10,FTP:10.10.1.20,MAIL:10.10.1.30,IP地址如下:10.10.2.0/24,WWW,FTP,MAIL,WWW:10.10.2.10,FTP:10.10.2.20,MAIL:10.10.2.30,DMZ1,DMZ2,NetST2303,NetST2303,2.1 防火墙,防火墙功能,防火墙性能测试,检测验收,衡量防火墙的主要的性能参数,1.吞吐量:防火墙转发包的能力,对网络的性能影响

31、很大,吞吐量是防火墙性能中的一项非常重要的指标。,2.时延:入口处输入帧的最后一个比特到达至出口输出处帧的第一个比特输出所用的时间间隔。,3.丢包率:在特定负载下,应由网络,设备,传输,但由资源耗尽而丢弃帧的百分比。,4.背靠背:从空闲状态开始,以达到传输介质最下合法间隔极限的传输速率发送相当数量的固定长度的帧,当出现第一个帧丢失时所发送的帧数。,5.并发连接数:并发连接数是指穿越防火墙的主机之间或主机与防火墙之间能同时建立的最大连接数。,6、抗攻击性能测试:,抗攻击性能是衡量防火墙对攻击包的抵御能力的重要体现,也是防火墙的一项重要性能指标。,吞吐量,(Throughput),1.定义:防火墙

32、在不丢包的情况下能达到的最大的速率。,2.意义:是衡量防火墙转发包性能的主要依据,通常防火墙,的吞吐量指标太低的话会造成网络瓶颈,影响网络的性能。,防火墙吞吐量低就会造成网络瓶颈,以最大速率发包,出现丢包最大值,1001001100010010010001000011010110,%+6=)!1”/?,100,M,60,M,带宽,时延(Latency),定义:入口处输入帧的最后一个比特到达至出口输出处帧的第一个比特输出所用的时间间隔。,意义:能够衡量出防火墙处理数据的能力。,时间间隔,第一个比特输出,最后一个比特到达,100110010011001001110100100100,1001100

33、100110010011101,数据包延迟到达目标主机,数据包首先排队待防火墙检测后转发,100110100110001100100001,110110100110001100100011,1010,1001,1100,1110,1010,1001,1100,1110,丢包率(Frame Loss Rate),1.定义:在连续负载的情况下,防火墙设备由于资 源不足应转,发但却未转发的帧所占的百分比。,2.作用:丢包率是痕量防火墙设备稳定性和可靠性的重要指标。,防火墙发送了1000个包,防火墙由于资源不足只转发了900个包,丢包率=(1000-900)/1000*100%=10%,1001110

34、01010111011001100,10011100101011101100,并发连接数(Concurrent Sessions),定义:,并发连接数是指穿越防火墙的主机之间或主机与防火墙之间能同时建立的最 大连接数,意义:并发连接数的测试主要用来测试被防火墙建立和维持,TCP,廉洁的性能。同时也能够通过并发连接数的大小体现防火墙对来自客户端,TCP,连接请求的响应能力。,并发连接数指标可以用来衡量穿越防火墙主机之间可以建立的最大连接数,抗攻击性测试,(Attack test),定义:抗攻击性能是衡量防火墙对攻击包的抵御能力的重要体现,也是防火墙的一项重要性能指标。,衡量标准:以特定数量的攻击

35、包进行模拟攻击,通过防火墙的攻击包所占发包总数的百分比。,测试内容:通常主要测试的几项内容为,Ping of death,、,ping sweet,、,SYN Flood,、,Teardrop,、,该项抗供给测试值为:3/1000*100%=0.3%,100111001010100100111010,!(6%11=|+#,.,发送了1000个攻击包,通过了3个攻击包,2.1 防火墙,防火墙功能,防火墙性能测试,检测验收,条文说明5.5.3,4.配置防火墙之后,应满足如下要求:,1)从外网能够且只能够访问到非军事化区内指定服务器的指定服务;,2)未经授权,从外网不允许访问到内网的任何主机和服务;

36、3)从非军事化区可以根据需要访问外网的指定服务;,4)从非军事化区可以根据需要访问内网的指定服务器上的指定服务;,5)从内网可以根据需要访问外网的指定服务;,6)从内网可以根据需要访问非军事化区的指定服务器上的指定服务;,7)防火墙的配置必须针对某个主机、网段、某种服务;,8)防火墙的配置必须能够防范IP地址欺骗等行为;,9)配置防火墙后,必须能够隐藏内部网络结构,包括内部IP地址分配;,10)防火墙的配置必须是可以调整的。,条文说明5.5.4,5.5.4 网络层安全的检测方法:,检查网络拓扑图,应该确保所有服务器和办公终端都在相应的防火墙保护之下;,扫描防火墙,应保证防火墙本身没有任何对外

37、服务的端口(代理内网或DMZ网的服务除外);,内网宜使用私有IP地址;,扫描DMZ网的服务器,只能扫描到应该提供服务的端口。,防火墙的抗攻击能力,来自防火墙外的模拟网络攻击:选择当前主流的攻击方式10种以上,应可抵御80以上的攻击方式(可以使用专用测试仪,如SmartBits;也可以收集相关攻击程序,手工来完成)。,2.2 防病毒,Firewall,Internet,File Server,Client,Internet Gateway,InterScan VirusWall,ServerProtect,OfficeScan Server,OfficeScan Clients,OfficeSc

38、an Server,Central Control,Mail Server,ScanMail,检测验收,将一个含有当前已知流行病毒的文件(病毒样本)通过文件传输、邮件附件、网上邻居等方式传播,各个位置的防病毒软件应能正确地检测到该含病毒文件,并执行杀毒操作;,2.3 IDS,简介,分类,测试,验收,IDS是什么?,Intrusion Detection System,入侵检测系统,IDS能做什么?,监控网络和系统,发现入侵企图或异常现象,实时报警,主动响应,为什么需要IDS?,关于防火墙,网络边界的设备,自身可以被攻破,对某些攻击保护很弱,不是所有的威胁来自防火墙外部,入侵很容易,入侵教程随处

39、可见,各种工具唾手可得,IDS的分类,主机入侵检测(HIDS),网络入侵检测(NIDS),网络节点入侵检测(NNIDS),主机入侵检测(HIDS),安装于被保护的主机中,主要分析主机内部活动,系统日志,系统调用,文件完整性检查,占用一定的系统资源,网络入侵检测(NIDS),安装在被保护的网段中,混杂模式监听,分析网段中所有的数据包,实时检测和响应,操作系统无关性,不会增加网络中主机的负载,网络节点入侵检测(NNIDS),也称为Stack-Based IDS,安装在网络节点的主机中,结合了NIDS和HIDS的技术,适合于高速交换环境和加密数据,响应策略,弹出窗口报警,E-mail通知,切断TCP

40、连接,执行自定义程序,与其他安全产品交互,Firewall,SNMP Trap,其它组件,Console GUI,Log/Database,Report,测试,攻击检测,误报(false positives),漏报(false negatives),性能测试,IDS躲避测试,攻击检测,端口扫描和信息收集,nmap、finger、rpcinfo、DNS query,漏洞扫描,nessus,常见攻击手法,buffer overflow(IIS、Sun RPC、Linux),后门木马,NetBus、BO2K,拒绝服务,SYN Flood、UDP Bomb、IPFrag、DDoS,性能测试,实际生产环

41、境,模拟流量,硬件:SmartBits,人为构造一定大小的数据报,从64bytes到1500bytes,衡量不同pps(packets per second)下IDS对攻击的检测情况。,软件:tcpdump&tcpreplay,对流量的回放,IDS躲避测试,URL编码,“cgi-bin”,“%63%67%69%2d%62%69%6e”,Insersion,插入其他字符,“GET/cgi-bin/phf”,“GET/cgi-bin/phf”,以绕过攻击特征库。,将攻击包以碎片方式发出,fragrouter,验收要求,入侵检测系统应该具备以下特性:,1)必须具备丰富的攻击方法库,能够检测到曾经流行和当前流行的黑客攻击方法;,2)软件厂商必须定期提供攻击方法库的更新,以检测最新出现的黑客攻击方法;,3)必须能够在入侵行为发生之后,即时检测出黑客攻击并进行处理;,4)必须提供包括弹出对话窗口、发送电子邮件、寻呼等在内的多种报警手段;,5)发现入侵行为之后,必须能够及时阻断这种入侵行为,并进行记录;,6)不允许占用过多的网络资源,系统启动后,网络速度和不启动时不应有明显区别;,7)应尽可能与防火墙设备统一管理、统一配置。,

移动网页_全站_页脚广告1

关于我们      便捷服务       自信AI       AI导航        抽奖活动

©2010-2026 宁波自信网络信息技术有限公司  版权所有

客服电话:0574-28810668  投诉电话:18658249818

gongan.png浙公网安备33021202000488号   

icp.png浙ICP备2021020529号-1  |  浙B2-20240490  

关注我们 :微信公众号    抖音    微博    LOFTER 

客服