资源预览内容
第1页 / 共40页
第2页 / 共40页
第3页 / 共40页
第4页 / 共40页
第5页 / 共40页
第6页 / 共40页
第7页 / 共40页
第8页 / 共40页
第9页 / 共40页
第10页 / 共40页
亲,该文档总共40页,到这儿已超出免费预览范围,如果喜欢就下载吧!
资源描述
任务九:企业网络边界安全规划任务九:企业网络边界安全规划内容简介内容简介 一、任务内容一、任务内容 二、背景知识二、背景知识 三、风险分析三、风险分析 四、步骤介绍四、步骤介绍 五、任务小结五、任务小结一、任务内容一、任务内容任务名称包含步骤能力目标支撑知识训练内容9、企业网络边界安全规划9.1某企业网络边界规划1、具备独立分析企业网络边界需求的能力2、具备独立部署企业网络边界的能力1、边界安全防护知识2、网络规划知识1、企业内部网络与internet网边界部署2、部门内部边界部署3、重要部门边界部署4、企业网络整体边界部署9.2实例化防火墙边界防护1、具备防火墙部署能力2、具备边界防火墙设置防护能力 1、防火墙作用原理2、防火墙部署设置技术知识1、安全域划分2、发布受信任区域的邮件服务器及Web服务器3、对发布的服务器实施基本保护4、验证url过滤及邮件过滤效果 二、二、 背景知识背景知识1 1、网络边界的基本概念、网络边界的基本概念2 2、划分边界的依据、划分边界的依据3 3、边界安全防护机制、边界安全防护机制4 4、边界防护技术、边界防护技术1、网络边界的基本概念、网络边界的基本概念网络边界的概念网络边界的概念 具有不同安全级别的网络之间的分界线都可以定义为网络边界具有不同安全级别的网络之间的分界线都可以定义为网络边界 。 企业网络常见边界企业网络常见边界 企业内部网络与外部网络企业内部网络与外部网络 企业部门之间企业部门之间 重要部门与其他部门之间重要部门与其他部门之间 分公司与分公司或总部之间分公司与分公司或总部之间 2、划分边界的依据、划分边界的依据目的目的 实现大规模复杂信息系统安全等级保护实现大规模复杂信息系统安全等级保护 。 作用作用 把把一一个个大大规规模模复复杂杂系系统统的的安安全全问问题题,化化解解为为更更小小区区域域的的安安全全保保护护问问题题 。根据根据3、边界安全防护机制、边界安全防护机制基本安全防护基本安全防护 采采用用常常规规的的边边界界防防护护机机制制,如如基基本本的的登登录录/ /连连接接控控制制等等,实实现现基基本的信息系统边界安全防护。本的信息系统边界安全防护。较严格安全防护较严格安全防护 采采用用较较严严格格的的安安全全防防护护机机制制,如如较较严严格格的的登登录录/ /连连接接控控制制,普普通通功功能能的的防防火火墙墙、防防病病毒毒网网关关、入入侵侵防防范范、信信息息过过滤滤、边边界界完完整整性性检检查等。查等。严格安全防护严格安全防护 根根据据当当前前信信息息安安全全对对抗抗技技术术的的发发展展,采采用用严严格格的的安安全全防防护护机机制制,如如严严格格的的登登录录/ /连连接接机机制制, 高高安安全全功功能能的的防防火火墙墙、防防病病毒毒网网关关、入入侵侵防范、信息过滤、边界完整性检查等。防范、信息过滤、边界完整性检查等。特别安全防护特别安全防护 采采用用当当前前最最先先进进的的边边界界防防护护技技术术,必必要要时时可可以以采采用用物物理理隔隔离离安安全机制,实现特别安全要求的边界安全防护。全机制,实现特别安全要求的边界安全防护。本节重点介绍:本节重点介绍: 防火墙技术防火墙技术 多重安全网关技术多重安全网关技术 网闸技术网闸技术 数据交换网技术数据交换网技术 3、边界安全防护机制、边界安全防护机制原理原理原理原理 采用包过滤或应用代理技术,通过访问控制列表采用包过滤或应用代理技术,通过访问控制列表采用包过滤或应用代理技术,通过访问控制列表采用包过滤或应用代理技术,通过访问控制列表ACLACLACLACL过滤数据。过滤数据。过滤数据。过滤数据。作用作用作用作用 控制进出网络的信息流向和信息包。控制进出网络的信息流向和信息包。控制进出网络的信息流向和信息包。控制进出网络的信息流向和信息包。 提供使用和流量的日志和审计。提供使用和流量的日志和审计。提供使用和流量的日志和审计。提供使用和流量的日志和审计。 隐藏内部隐藏内部隐藏内部隐藏内部IPIPIPIP地址及网络结构的细节。地址及网络结构的细节。地址及网络结构的细节。地址及网络结构的细节。缺点缺点缺点缺点 不能对应用层识别不能对应用层识别不能对应用层识别不能对应用层识别 4、边界安全防护、边界安全防护防火墙技术防火墙技术 UTMUTMUTMUTM介绍介绍介绍介绍 统统统统一一一一威威威威胁胁胁胁管管管管理理理理(Unified (Unified (Unified (Unified Threat Threat Threat Threat Management)Management)Management)Management), 2019201920192019年年年年9 9 9 9月月月月,IDCIDCIDCIDC首首首首度度度度提提提提出出出出“统统统统一一一一威威威威胁胁胁胁管管管管理理理理的的的的概概概概念念念念,即即即即将将将将防防防防病病病病毒毒毒毒、入入入入侵侵侵侵检检检检测测测测和和和和防防防防火火火火墙墙墙墙安安安安全全全全设设设设备划归统一威胁管理备划归统一威胁管理备划归统一威胁管理备划归统一威胁管理(Unified Threat Management(Unified Threat Management(Unified Threat Management(Unified Threat Management,简称,简称,简称,简称UTM)UTM)UTM)UTM)新类别。新类别。新类别。新类别。 特点特点特点特点1 1 1 1、一个更高,更强,更可靠的墙。、一个更高,更强,更可靠的墙。、一个更高,更强,更可靠的墙。、一个更高,更强,更可靠的墙。2 2 2 2、通过高质量的检测技术来降低误报。、通过高质量的检测技术来降低误报。、通过高质量的检测技术来降低误报。、通过高质量的检测技术来降低误报。 3 3 3 3、有高可靠,高性能的硬件平台支撑。、有高可靠,高性能的硬件平台支撑。、有高可靠,高性能的硬件平台支撑。、有高可靠,高性能的硬件平台支撑。 4、边界安全防护、边界安全防护多重安全网关技术多重安全网关技术 4、边界安全防护、边界安全防护数据交换网技术数据交换网技术特点特点特点特点 数据存储更快速数据存储更快速数据存储更快速数据存储更快速 数据存储更安全数据存储更安全数据存储更安全数据存储更安全 降低大容量存储设备的采购成本降低大容量存储设备的采购成本降低大容量存储设备的采购成本降低大容量存储设备的采购成本作用作用作用作用 增加磁盘的存取增加磁盘的存取增加磁盘的存取增加磁盘的存取(access)(access)(access)(access)速度速度速度速度 防止数据因磁盘的故障而失落防止数据因磁盘的故障而失落防止数据因磁盘的故障而失落防止数据因磁盘的故障而失落 有效的利用磁盘空间有效的利用磁盘空间有效的利用磁盘空间有效的利用磁盘空间 三、风险分析三、风险分析四、步骤介绍四、步骤介绍1 1、典型企业网络边界规划、典型企业网络边界规划2 2、配置边界防火墙、配置边界防火墙1、典型企业网络边界规划、典型企业网络边界规划步骤流程:步骤流程:1.1.步骤准备步骤准备2.2.划分区域划分区域3.3.企业内部网络与企业内部网络与InternetInternet网络边界部署网络边界部署4.4.部门内部网络边界部署部门内部网络边界部署5.5.重要部门网络边界部署重要部门网络边界部署6.6.企业网络整体边界部署企业网络整体边界部署 7. 7. 小结小结1.步骤准备步骤准备 主要是完成对用户网络环境现场采集的过程,需要采集的信息包含:1当前网络拓扑结构2当前网络环境存在的问题用户角度)3用户的应用需求4用户的网络安全需求5其他网络规划要求6用户投资预算等1.步骤准备步骤准备单位名称(略)单位地址(略)网络管理负责人(略)联系方式(略)单位人数700能熟练使用计算机人数占总人数百分比60%拥有计算机数500其中服务器2台 ,台式机450台 笔记本50台互联网接入情况有 无接入方式光纤 专线 ADSL 其它网络建设预算(略)网络应用情况1、公司有自己的OA系统;2、公司有自己的网站;3、每个信息点都能上互联网。网络建设需求1.能够防范Internet网络攻击;2.能够防范病毒传播;3.保证网络流畅;4.各部门计算机不能互访;5.财务部计算机信息需要严格防护。网络现状1.现有拓扑图(附图)。2.公司组织机构图(附图)。3.偶尔出现断网现象。4.偶尔受到网络攻击。2.划分区域划分区域划分区域要考虑:1确定安全资产2定义安全策略和安全级别3划分不同的安全区域3.企业内部网络与企业内部网络与Internet网络边界部署网络边界部署 网络区域边界部署上结合应用需求我们需要考虑 :1Web服务器需要对外提供服务,Internet网络用户能够访问该服务器资源;2内部办公网络不对外提供服务,Internet网络用户不能访问内部服务器或信息点;3Web服务器和内部办公网络需要防范Internet网络攻击;4Web服务器和内部办公网络需要防范病毒传播等。4.部门内部网络边界部署部门内部网络边界部署 内网边界部署上,我们应该考虑以下因素: 1各部门之间的涉密信息保护;2各部门之间有一定的共享资源;3需要防范网络病毒蔓延等。5.重要部门网络边界部署重要部门网络边界部署对如财务部等重要部门,要进行特别防护,如对其进行隔离网闸的部署 6.企业网络整体边界部署企业网络整体边界部署 这样就形成了企业内部网络边界部署7. 小结小结 本例针对一个企业网络环境给出了一个比较典型的边界部署规划,重点在于让学生理解部署一个企业网络规划的步骤和方法。事实上,每种方案都有各自的特点,在实际应用中,常常需要我们在编写方案时还需要考虑企业网络环境现状、网络建设投资情况等等因素,以便有针对性的设计和完善现有网络体系,真正实现网络安全、经济实用、便捷管理的设计目标。2、边界防火墙安全配置、边界防火墙安全配置步骤流程:步骤流程:1.1.步骤准备步骤准备2.2.安全域划分安全域划分3.3.发布受信任区域的邮件及发布受信任区域的邮件及WebWeb服务服务4.4.对发布的服务器实施基本保护对发布的服务器实施基本保护5.5.深度过滤规则验证深度过滤规则验证 6.6.小结小结1.步骤准备步骤准备(1安装邮件服务器1.步骤准备步骤准备(2安装Web服务器2.安全域划分安全域划分 (1在防火墙的Web管理页面,选择“策略配置”“安全选项把“包过滤缺省允许的勾取消。2.安全域划分安全域划分(2在防火墙的Web管理页面,选择“策略配置”“安全规则”添加一条“包过滤规则”3.发布受信任区域的邮件及发布受信任区域的邮件及Web服务服务(1在防火墙的Web管理页面,选择“资源定义”“服务器地址单击添加按钮 3.发布受信任区域的邮件及发布受信任区域的邮件及Web服务服务(2在防火墙的Web管理页面,选择“策略配置”“安全规则”添加一条“IP映射规则”3.发布受信任区域的邮件及发布受信任区域的邮件及Web服务服务(3在防火墙的Web管理页面,选择“策略配置”“安全规则”添加 “包过滤规则”4.对发布的服务器实施基本保护对发布的服务器实施基本保护(1在防火墙的Web管理页面,选择“资源定义”“深度过滤”“URL组以及关键字组单击添加按钮4.对发布的服务器实施基本保护对发布的服务器实施基本保护(2在防火墙的Web管理页面,选择“资源定义”“深度过滤”“过滤策略单击添加按钮4.对发布的服务器实施基本保护对发布的服务器实施基本保护(3在防火墙的Web管理页面,选择“策略配置”“安全规则”添加 “包过滤规则”,配置访问Web服务器是启用深度过滤规则。4.对发布的服务器实施基本保护对发布的服务器实施基本保护(3防火墙的Web管理页面,选择“策略配置”“安全规则”添加 “包过滤规则”,配置POP3服务启用深度过滤规则。 4.对发布的服务器实施基本保护对发布的服务器实施基本保护(3防火墙的Web管理页面,选择“策略配置”“安全规则”添加 “包过滤规则”,配置Smtp服务启用深度过滤规则。 5.深度过滤规则验证深度过滤规则验证(1不被信任区域主机访问Web页面: 5.深度过滤规则验证深度过滤规则验证(2发送正常邮件验证5.深度过滤规则验证深度过滤规则验证 (3发送含过滤关键字的邮件验证 6. 小结小结 通过对防火墙实例化操作,使学生能够掌握防火墙基本配置方法,并能够更好的理解防火墙在边界防护中起到的作用。五、任务小结五、任务小结 通过背景知识的学习,能够掌握网络边界的概念、划分依据及边界防护技术。 通过设计一个企业网络边界部署和防火墙配置的实例,使学生能够掌握设计企业网络边界的流程和方法,能够具备独立设计企业网络规划、正确配置边界防火墙的能力。
网站客服QQ:2055934822
金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号