网络架构安全设计 网络架构安全设计全文共22页,当前为第1页。 知识域:网络架构安全 知识子域:网络架构安全基础 理解网络架构安全的含义及主要工作 理解网络安全域划分应考虑的主要因素 理解IP地址分配的方法 理解VLAN划分的作用与策略 理解路由交换设备安全配置常见的要求 理解网络边界访问控制策略的类型 理解网络冗余配置应考虑的因素 2 网络架构安全设计全文共22页,当前为第2页。 网络架构安全的内容 合理划分网络安全区域 规划网络IP地址 设计VLAN 安全配置路由交换设备 网络边界访问控制策略 网络冗余配置 3 网络架构安全设计全文共22页,当前为第3页。 网络安全域划分的目的与方法 定义 安全域是遵守相同安全策略的用户和系统的集合 安全域划分的目的 把大规模负责系统安全问题化解为更小区域的安全保护问题 网络抗渗透的有效防护方式,安全域边界是灾难发生时的抑制点 安全域的划分方法 按信息资产划分 按业务类型划分 按地域划分 按组织架构划分 4 网络架构安全设计全文共22页,当前为第4页。 同级别安全域 同级别安全域之间的边界-同级别安全域之间的安全防护主要是安全隔离和可信互访 不同级别安全域 不同级别安全域之间的边界-实际设计实施时又分为高等级安全域和低等级安全域的边界和防护 远程连接用户 远程连接的用户-对于远程接入用户通常采用VPN结合用户认证授权的方式进行边界防护 同级别安全域之间的边界 远程接入边界的安全 网络安全域防护 5 网络架构安全设计全文共22页,当前为第5页。 IP地址规划 据IP编址特点,为所设计的网络中的节点、网络设备分配合适的IP地址 应与网络层次规划、路由协议规划、流量规划等结合起来考虑 IP地址规划应采用自顶向下的方法 6 网络架构安全设计全文共22页,当前为第6页。 IP地址分配的方式 静态地址分配 给网络中每台计算机、网络设备分配一个固定的、静态不变的IP地址 提供网络服务的网络设备,如WEB服务器、邮件服务器、FTP服务器等服务器,一般为其分配静态IP地址 动态地址分配 在计算机连接到网路时,每次为其临时分配一个IP地址 NAT地址分配 将私网地址和公网地址转换使用 7 网络架构安全设计全文共22页,当前为第7页。 VLAN设计 将网内设备的逻辑地划分成一个个网段从而实现虚拟工作组 通过VLAN隔离技术,可以把一个网络系统中众多的网络设备分成若干个虚拟的工作组 安全作用 建立VLAN之间的访问机制,阻止蠕虫和恶意病毒的广泛传播 建立VLAN区域安全和资源保护,将受限制的应用程序和资源置于更为安全的VLAN中 8 网络架构安全设计全文共22页,当前为第8页。 VLAN划分方法 一个交换机上可以划分出多个VLAN 多个交换机并在一起共同划分出若干个VLAN 某些计算机可以同时处于多个VLAN中 9 网络架构安全设计全文共22页,当前为第9页。 路由交换设备的安全配置 交换机安全配置要点 安装最新版本的操作系统,定期更新交换机操作系统补丁 关闭空闲的物理端口 带外管理交换机 明确禁止未经授权的访问 配置必要的网路服务,关闭不必要的网络服务 打开日志功能,并且将日志文件专门放到一台安全的日志主机上 对交换机配置文件进行脱机安全备份,并且限制对配置文件的访问 10 网络架构安全设计全文共22页,当前为第10页。 路由器的安全配置要点 在路由器上安装最新版本的操作系统,定期更新对应的操作系统补丁 防止欺骗性路由更新,配置路由协议鉴别 路由器的配置保持下线备份,对它的访问进行限制 明确禁止未经授权的访问 防止网络数据窃听,适当部署加密保护技术 禁用不需要的服务和组件,禁用有风险的接口服务 打开日志功能,配置日志服务器进行日志收集和分析 11 网络架构安全设计全文共22页,当前为第11页。 网络边界的概念 具有不同安全级别的网络之间的分界线都可以定义为网络边界 网络常见边界: 内部网络与外部网络之间 组织机构各部门之间 重要部门与其他部门之间 组织机构总部与分支机构之间 12 网络边界访问控制 网络架构安全设计全文共22页,当前为第12页。 基本安全防护 采用常规的边界防护机制,如基本的登录/连接控制等,实现基本的信息系统边界安全防护,采用路由器或者三层交换机。 较严格安全防护 采用较严格的安全防护机制,如较严格的登录/连接控制,普通功能的防火墙、防病毒网关、入侵防御、信息过滤、边界完整性检查等 严格安全防护 根据当前信息安全对抗技术的发展,采用严格的安全防护机制,如严格的登录/连接机制, 高安全功能的防火墙、防病毒网关、入侵防御、信息过滤、边界完整性检查等 特别安全防护 采用当前最先进的边界防护技术,必要时可以采用物理隔离安全机制,实现特别安全要求的边界安全防护 13 边界安全防护机制 网络架构安全设计全
剩余21页未读,继续阅读
- 粉丝: 84
- 资源: 9357
- 我的内容管理 展开
- 我的资源 快来上传第一个资源
- 我的收益 登录查看自己的收益
- 我的积分 登录查看自己的积分
- 我的C币 登录后查看C币余额
- 我的收藏
- 我的下载
- 下载帮助
最新资源
- YOLOV4-TINY权重文件
- 以下是一个使用贪心算法解决多机调度问题的基本步骤0.txt
- 基于大数据的房产估价是近年来随着技术的发展而兴起的一种新型估价方法.txt
- 企业供应链管理系统v3.rar
- 富芮坤FR8016HA蓝牙开发板使用手册+硬件PCB图+封装库+DEMO演示软件源代码.zip
- 基于YOLOv7的芯片表面缺陷检测系统
- 京东物流 数字化供应链综合研究报告2018.rar
- 基于YOLOv7的植物虫害识别&防治系统
- 2000.1-2023.8中国经济政策不确定性指数月度数据.xlsx
- Screenshot_2024-04-21-20-42-15-443_com.tencent.mm.jpg