任务九：企业网络边界安全规划任务九：企业网络边界安全规划内容简介内容简介 一、任务内容一、任务内容 二、背景知识二、背景知识 三、风险分析三、风险分析 四、步骤介绍四、步骤介绍 五、任务小结五、任务小结一、任务内容一、任务内容任务名称包含步骤能力目标支撑知识训练内容9、企业网络边界安全规划9.1某企业网络边界规划1、具备独立分析企业网络边界需求的能力2、具备独立部署企业网络边界的能力1、边界安全防护知识2、网络规划知识1、企业内部网络与internet网边界部署2、部门内部边界部署3、重要部门边界部署4、企业网络整体边界部署9.2实例化防火墙边界防护1、具备防火墙部署能力2、具备边界防火墙设置防护能力 1、防火墙作用原理2、防火墙部署设置技术知识1、安全域划分2、发布受信任区域的邮件服务器及Web服务器3、对发布的服务器实施基本保护4、验证url过滤及邮件过滤效果 二、二、 背景知识背景知识1 1、网络边界的基本概念、网络边界的基本概念2 2、划分边界的依据、划分边界的依据3 3、边界安全防护机制、边界安全防护机制4 4、边界防护技术、边界防护技术1、网络边界的基本概念、网络边界的基本概念网络边界的概念网络边界的概念 具有不同安全级别的网络之间的分界线都可以定义为网络边界 。 企业网络常见边界企业网络常见边界 企业内部网络与外部网络 企业部门之间 重要部门与其他部门之间 分公司与分公司（或总部）之间 2、划分边界的依据、划分边界的依据目的目的 实现大规模复杂信息系统安全等级保护 。 作用作用 把一个大规模复杂系统的安全问题，化解为更小区域的安全保护问题 。依据依据3、边界安全防护机制、边界安全防护机制基本安全防护基本安全防护 采用常规的边界防护机制，如基本的登录/连接控制等，实现基本的信息系统边界安全防护。较严格安全防护较严格安全防护 采用较严格的安全防护机制，如较严格的登录/连接控制，普通功能的防火墙、防病毒网关、入侵防范、信息过滤、边界完整性检查等。严格安全防护严格安全防护 根据当前信息安全对抗技术的发展，采用严格的安全防护机制，如严格的登录/连接机制， 高安全功能的防火墙、防病毒网关、入侵防范、信息过滤、边界完整性检查等。特别安全防护特别安全防护 采用当前最先进的边界防护技术，必要时可以采用物理隔离安全机制，实现特别安全要求的边界安全防护。本节重点介绍：本节重点介绍：u 防火墙技术防火墙技术u 多重安全网关技术多重安全网关技术u 网闸技术网闸技术 u 数据交换网技术数据交换网技术 3、边界安全防护机制、边界安全防护机制原理原理原理原理 采用包过滤或应用代理技术，通过访问控制列表采用包过滤或应用代理技术，通过访问控制列表ACLACL过滤数据。过滤数据。作用作用作用作用l l 控制进出网络的信息流向和信息包。控制进出网络的信息流向和信息包。l l 提供使用和流量的日志和审计。提供使用和流量的日志和审计。l l 隐藏内部隐藏内部IPIP地址及网络结构的细节。地址及网络结构的细节。缺点缺点缺点缺点 不能对应用层识别不能对应用层识别 4、边界安全防护、边界安全防护防火墙技术防火墙技术 UTMUTMUTMUTM介绍介绍介绍介绍 统统一一威威胁胁管管理理(Unified (Unified Threat Threat Management)Management)， 20042004年年9 9月月，IDCIDC首首度度提提出出“统统一一威威胁胁管管理理”的的概概念念，即即将将防防病病毒毒、入入侵侵检检测测和和防防火火墙墙安安全全设设备备划划归归统统一一威胁管理威胁管理(Unified Threat Management(Unified Threat Management，简称，简称UTM)UTM)新类别。新类别。 特点特点特点特点1 1、一个更高，更强，更可靠的墙。、一个更高，更强，更可靠的墙。2 2、通过高质量的检测技术来降低误报。、通过高质量的检测技术来降低误报。 3 3、有高可靠，高性能的硬件平台支撑。、有高可靠，高性能的硬件平台支撑。 4、边界安全防护、边界安全防护多重安全网关技术多重安全网关技术 4、边界安全防护、边界安全防护数据交换网技术数据交换网技术特点特点特点特点l l 数据存储更快速数据存储更快速l l 数据存储更安全数据存储更安全l l 降低大容量存储设备的采购成本降低大容量存储设备的采购成本作用作用作用作用l l 增加磁盘的存取增加磁盘的存取(access)(access)速度速度 l l 防止数据因磁盘的故障而失落防止数据因磁盘的故障而失落l l 有效的利用磁盘空间有效的利用磁盘空间 三、风险分析三、风险分析四、步骤介绍四、步骤介绍1 1、典型企业网络边界规划、典型企业网络边界规划2 2、配置边界防火墙、配置边界防火墙1、典型企业网络边界规划、典型企业网络边界规划步骤流程：步骤流程：1.1.步骤准备步骤准备2.2.划分区域划分区域3.3.企业内部网络与企业内部网络与InternetInternet网络边界部署网络边界部署4.4.部门内部网络边界部署部门内部网络边界部署5.5.重要部门网络边界部署重要部门网络边界部署6.6.企业网络整体边界部署企业网络整体边界部署 7. 7. 小结小结1.步骤准备步骤准备 主要是完成对用户网络环境现场采集的过程，需要采集的信息包含：1）当前网络拓扑结构2）当前网络环境存在的问题（用户角度）3）用户的应用需求4）用户的网络安全需求5）其他网络规划要求6）用户投资预算等1.步骤准备步骤准备单位名称（略）单位地址（略）网络管理负责人（略）联系方式（略）单位人数700能熟练使用计算机人数占总人数百分比60%拥有计算机数500其中服务器2台 ，台式机450台 笔记本50台互联网接入情况有 无接入方式光纤 专线 ADSL 其它网络建设预算（略）网络应用情况1、公司有自己的OA系统；2、公司有自己的网站；3、每个信息点都能上互联网。网络建设需求1.能够防范Internet网络攻击；2.能够防范病毒传播；3.保证网络流畅；4.各部门计算机不能互访；5.财务部计算机信息需要严格防护。网络现状1.现有拓扑图（附图）。2.公司组织机构图（附图）。3.偶尔出现断网现象。4.偶尔受到网络攻击。2.划分区域划分区域划分区域要考虑：1）确定安全资产2）定义安全策略和安全级别3）划分不同的安全区域3.企业内部网络与企业内部网络与Internet网络边界部署网络边界部署 网络区域边界部署上结合应用需求我们需要考虑 ：1）Web服务器需要对外提供服务，Internet网络用户能够访问该服务器资源；2）内部办公网络不对外提供服务，Internet网络用户不能访问内部服务器或信息点；3）Web服务器和内部办公网络需要防范Internet网络攻击；4）Web服务器和内部办公网络需要防范病毒传播等。4.部门内部网络边界部署部门内部网络边界部署 内网边界部署上，我们应该考虑以下因素： 1）各部门之间的涉密信息保护；2）各部门之间有一定的共享资源；3）需要防范网络病毒蔓延等。5.重要部门网络边界部署重要部门网络边界部署对如财务部等重要部门，要进行特别防护，如对其进行隔离网闸的部署 6.企业网络整体边界部署企业网络整体边界部署 这样就形成了企业内部网络边界部署7. 小结小结 本例针对一个企业网络环境给出了一个比较典型的边界部署规划，重点在于让学生理解部署一个企业网络规划的步骤和方法。事实上，每种方案都有各自的特点，在实际应用中，常常需要我们在编写方案时还需要考虑企业网络环境现状、网络建设投资情况等等因素，以便有针对性的设计和完善现有网络体系，真正实现网络安全、经济实用、便捷管理的设计目标。2、边界防火墙安全配置、边界防火墙安全配置步骤流程：步骤流程：1.步骤准备2.安全域划分3.发布受信任区域的邮件及Web服务4.对发布的服务器实施基本保护5.深度过滤规则验证 6.小结1.步骤准备步骤准备（1）安装邮件服务器1.步骤准备步骤准备（2）安装Web服务器2.安全域划分安全域划分 （1）在防火墙的Web管理页面，选择“策略配置”“安全选项”把“包过滤缺省允许”的勾取消。2.安全域划分安全域划分（2）在防火墙的Web管理页面，选择“策略配置”“安全规则”添加一条“包过滤规则”3.发布受信任区域的邮件及发布受信任区域的邮件及Web服务服务（1）在防火墙的Web管理页面，选择“资源定义”“服务器地址”单击添加按钮 3.发布受信任区域的邮件及发布受信任区域的邮件及Web服务服务（2）在防火墙的Web管理页面，选择“策略配置”“安全规则”添加一条“IP映射规则”3.发布受信任区域的邮件及发布受信任区域的邮件及Web服务服务（3）在防火墙的Web管理页面，选择“策略配置”“安全规则”添加 “包过滤规则”4.对发布的服务器实施基本保护对发布的服务器实施基本保护（1）在防火墙的Web管理页面，选择“资源定义”“深度过滤”“URL组以及关键字组”单击添加按钮4.对发布的服务器实施基本保护对发布的服务器实施基本保护（2）在防火墙的Web管理页面，选择“资源定义”“深度过滤”“过滤策略”单击添加按钮4.对发布的服务器实施基本保护对发布的服务器实施基本保护（3）在防火墙的Web管理页面，选择“策略配置”“安全规则”添加 “包过滤规则”，配置访问Web服务器是启用深度过滤规则。4.对发布的服务器实施基本保护对发布的服务器实施基本保护（3）防火墙的Web管理页面，选择“策略配置”“安全规则”添加 “包过滤规则”，配置POP3服务启用深度过滤规则。 4.对发布的服务器实施基本保护对发布的服务器实施基本保护（3）防火墙的Web管理页面，选择“策略配置”“安全规则”添加 “包过滤规则”，配置Smtp服务启用深度过滤规则。 5.深度过滤规则验证深度过滤规则验证（1）不被信任区域主机访问Web页面： 5.深度过滤规则验证深度过滤规则验证（2）发送正常邮件验证5.深度过滤规则验证深度过滤规则验证 （3）发送含过滤关键字的邮件验证 6. 小结小结 通过对防火墙实例化操作，使学生能够掌握防火墙基本配置方法，并能够更好的理解防火墙在边界防护中起到的作用。五、任务小结五、任务小结 通过背景知识的学习，能够掌握网络边界的概念、划分依据及边界防护技术。 通过设计一个企业网络边界部署和防火墙配置的实例，使学生能够掌握设计企业网络边界的流程和方法，能够具备独立设计企业网络规划、正确配置边界防火墙的能力。