没有合适的资源?快使用搜索试试~ 我知道了~
网络安全设计方案.doc
1.该资源内容由用户上传,如若侵权请联系客服进行举报
2.虚拟产品一经售出概不退款(资源遇到问题,请及时私信上传者)
2.虚拟产品一经售出概不退款(资源遇到问题,请及时私信上传者)
版权申诉
0 下载量 186 浏览量
2023-12-20
00:06:26
上传
评论
收藏 121KB DOC 举报
温馨提示
试读
15页
专业方案可供参考,需要的下载,下载前可预览
资源推荐
资源详情
资源评论
网络安全设计方案
一:
网络系统安全
网络信息系统的安全技术体系通常是在安全策略指导下合理配置和部署:网络隔离与访问控
制、入侵检测与响应、漏洞扫描、防病毒、数据加密、身份认证、安全监控与审计等技术设
备,并且在各个设备或系统之间,能够实现系统功能互补和协调动作。
网络系统安全具备的功能及配置原则
1.网络隔离与访问控制。通过对特定网段、服务进行物理和逻辑隔离,并建立访问控
制机制,将绝大多数攻击阻止在网络和服务的边界以外。
2.漏洞发现与堵塞。通过对网络和运行系统安全漏洞的周期检查,发现可能被攻击所
利用的漏洞,并利用补丁或从管理上堵塞漏洞。
3.入侵检测与响应。通过对特定网络(段)、服务建立的入侵检测与响应体系,实时
检测出攻击倾向和行为,并采取相应的行动(如断开网络连接和服务、记录攻击过程、加强
审计等)。
4.加密保护。主动的加密通信,可使攻击者不能了解、修改敏感信息(如 VPN 方式)
或数据加密通信方式;对保密或敏感数据进行加密存储,可防止窃取或丢失。
5.备份和恢复。良好的备份和恢复机制,可在攻击造成损失时,尽快地恢复数据和系
统服务。
6.监控与审计。在办公网络和主要业务网络内配置集中管理、分布式控制的监控与审
计系统。一方面以计算机终端为单元强化桌面计算的内外安全控制与日志记录;另一方面通
过集中管理方式对内部所有计算机终端的安全态势予以掌控。
边界安全解决方案
在利用公共网络与外部进行连接的“内”外网络边界处使用防火墙,为“内部”网络
(段)与“外部”网络(段)划定安全边界。在网络内部进行各种连接的地方使用带防火墙
功能的 VPN 设备,在进行“内”外网络(段)的隔离的同时建立网络(段)之间的安全通道。
1.防火墙应具备如下功能:
使用 NAT 把 DMZ 区的服务器和内部端口影射到 Firewall 的对外端口;
允许 Internet 公网用户访问到 DMZ 区的应用服务:http、ftp、smtp、dns 等;
允许 DMZ 区内的工作站与应用服务器访问 Internet 公网;
允许内部用户访问 DMZ 的应用服务:http、ftp、smtp、dns、pop3、https;
允许内部网用户通过代理访问 Internet 公网;
禁止 Internet 公网用户进入内部网络和非法访问 DMZ 区应用服务器;
禁止 DMZ 区的公开服务器访问内部网络;
防止来自 Internet 的 DOS 一类的攻击;
能接受入侵检测的联动要求,可实现对实时入侵的策略响应;
对所保护的主机的常用应用通信协议(http、ftp、telnet、smtp)能够替换服务器的
Banner 信息,防止恶意用户信息刺探;
提供日志报表的自动生成功能,便于事件的分析;
提供实时的网络状态监控功能,能够实时的查看网络通信行为的连接状态(当前有那些
连接、正在连接的 IP、正在关闭的连接等信息),通信数据流量。提供连接查询和动态图
表显示。
防火墙自身必须是有防黑客攻击的保护能力。
2.带防火墙功能的 VPN 设备是在防火墙基本功能(隔离和访问控制)基础上,通过功
能扩展,同时具有在 IP 层构建端到端的具有加密选项功能的 ESP 隧道能力,这类设备也有
SVPN 的,主要用于通过外部网络(公共通信基础网络)将两个或两个以上“内部”局域网
安全地连接起来,一般要求 SVPN 应具有一下功能:
防火墙基本功能,主要包括:IP 包过虑、应用代理、提供 DMZ 端口和 NAT 功能等(有
些功能描述与上相同);
具有对连接两端的实体鉴别认证能力;
支持移动用户远程的安全接入;
支持 IPESP 隧道内传输数据的完整性和机密性保护;
提供系统内密钥管理功能;
SVPN 设备自身具有防黑客攻击以及网上设备认证的能力。
入侵检测与响应方案
在网络边界配置入侵检测设备,不仅是对防火墙功能的必要补充,而且可与防火墙一起
构建网络边界的防御体系。通过入侵检测设备对网络行为和流量的特征分析,可以检测出侵
害“内部”网络或对外泄漏的网络行为和流量,与防火墙形成某种协调关系的互动,从而在
“内部”网与外部网的边界处形成保护体系。
入侵检测系统的基本功能如下:
通过检测引擎对各种应用协议,操作系统,网络交换的数据进行分析,检测出网络入侵
事件和可疑操作行为。
对自身的数据库进行自动维护,无需人工干预,并且不对网络的正常运行造成任何干扰。
采取多种报警方式实时报警、音响报警,信息记录到数据库,提供电子邮件报警、SysLog
报警、SNMPTrap 报警、Windows 日志报警、Windows 消息报警信息,并按照预设策略,根据
提供的报警信息切断攻击连接。
与防火墙建立协调联动,运行自定义的多种响应方式,及时阻隔或消除异常行为。
全面查看网络中发生的所有应用和连接,完整的显示当前网络连接状态。
可对网络中的攻击事件,访问记录进行适时查询,并可根据查询结果输出图文报表,能
让管理人员方便的提取信息。
入侵检测系统犹如摄像头、监视器,在可疑行为发生前有预警,在攻击行为发生时有报
警,在攻击事件发生后能记录,做到事前、事中、事后有据可查。
漏洞扫描方案
除利用入侵检测设备检测对网络的入侵和异常流量外,还需要针对主机系统的漏洞采取
检查和发现措施。目前常用的方法是配置漏洞扫描设备。主机漏洞扫描可以主动发现主机系
统中存在的系统缺陷和可能的安全漏洞,并提醒系统管理员对该缺陷和漏洞进行修补或堵塞。
对于漏洞扫描的结果,一般可以按扫描提示信息和建议,属外购标准产品问题的,应及
时升级换代或安装补丁程序;属委托开发的产品问题的,应与开发商协议修改程序或安装补
丁程序;属于系统配置出现的问题,应建议系统管理员修改配置参数,或视情况关闭或卸载
引发安全漏洞的程序模块或功能模块。
漏洞扫描功能是协助安全管理、掌握网络安全态势的必要辅助,对使用这一工具的安全
管理员或系统管理员有较高的技术素质要求。
考虑到漏洞扫描能检测出防火墙策略配置中的问题,能与入侵检测形成很好的互补关系:
漏洞扫描与评估系统使系统管理员在事前掌握主动地位,在攻击事件发生前找出并关闭安全
漏洞;而入侵检测系统则对系统进行监测以期在系统被破坏之前阻止攻击得逞。因此,漏洞
扫描与入侵检测在安全保护方面不但有共同的安全目标,而且关系密切。本方案建议采购将
入侵检测、管理控制中心与漏洞扫描一体化集成的产品,不但可以简化管理,而且便于漏洞
扫描、入侵检测和防火墙之间的协调动作。
网络防病毒方案
网络防病毒产品较为成熟,且有几种主流产品。本方案建议,网络防病毒系统应具备下
列功能:
网络&单机防护—提供个人或家庭用户病毒防护;
剩余14页未读,继续阅读
资源评论
小正太浩二
- 粉丝: 202
- 资源: 5915
下载权益
C知道特权
VIP文章
课程特权
开通VIP
上传资源 快速赚钱
- 我的内容管理 展开
- 我的资源 快来上传第一个资源
- 我的收益 登录查看自己的收益
- 我的积分 登录查看自己的积分
- 我的C币 登录后查看C币余额
- 我的收藏
- 我的下载
- 下载帮助
最新资源
- 串口调试工具,用于模拟虚拟串口之间传输
- DotNetBar布局
- 智能垃圾分类系统案例介绍:结合Java和图像识别技术,设计智能垃圾分类系统,实现自动识别和分类垃圾
- 智能客服机器人案例介绍:开发基于Java的智能客服机器人,实现自动回答用户问题和提供服务
- tinymce 多图片批量上传插件
- Virtualized Hadoop Performance with VMware vSphere 6 on Servers
- 智能电商推荐系统案例介绍:开发基于Java的智能电商推荐系统,根据用户购买行为和偏好进行个性化推荐
- 基于java开发的驾校学员信息管理系统
- 智能语音助手案例介绍:开发基于Java的智能语音助手,实现语音识别、语音合成等功能
- 儿童节庆祝代码.docx
资源上传下载、课程学习等过程中有任何疑问或建议,欢迎提出宝贵意见哦~我们会及时处理!
点击此处反馈
安全验证
文档复制为VIP权益,开通VIP直接复制
信息提交成功