1、补充: 网络安全规划,ISSUE 2007。9,2,学习目标,明确网络安全规划的基本原则 掌握网络安全的配置要点,学习完本课程,您应该能够:,3,课程内容,基本原则,控制策略,安全组网,安全防御,管理审计,4,网络安全规划的基本原则,网络安全是一个复杂的体系结构 网络安全是一个相对的概念 网络安全部署通常会带来副作用,在网络的安全和性能之间找到恰当的平衡点!,5,课程内容,基本原则,安全组网,安全防御,管理审计,控制策略,6,控制策略认证授权(WLAN接入),在WLAN中,当无法从物理上控制访问者的来源时,务必要使用相应的鉴权及认证手段进行识别服务: 在AP上禁止ESSID广播 MAC过滤 对
2、接入用户进行802.1x身份认证 使用加密无线信道,7,控制策略认证授权(以太网接入),对于来源不可靠的以太网接入使用802.1x认证 配合CAMS进行。支持防代理上网,提供运营商带宽安全 使用EAD(端点准入防御)技术,隔离可能危险用户,8,控制策略认证授权(RADIUS&AAA),通过RADIUS实现AAA认证,可以对各种接入用户统一集中进行认证和授权 采用HWTACACS协议代替RADIUS 实现对验证报文主体全部进行加密 支持对路由器上的配置实现分级授权使用,认证服务器,Modem 接入,ADSL 接入,LAN 接入,WLAN 接入,9,控制策略认证授权(移动客户),移动用户客户端SE
3、CPoint的远程接入验证 传统用户名密码方式 双因素认证 SecKEY PKI/CA体系验证方式,10,控制策略业务隔离(以太网接入),普通二层以太网网络中采用VLAN进行隔离。 小区以太网接入应用中在接入层交换机上配置Isolate-user-VLAN,禁止接入用户之间互访。 建议在接入交换机接入端口配置广播抑制门限,1,2,3,4,11,控制策略业务隔离(ACL & VPN),采用访问控制列表ACL进行L1层L4层隔离 对于大型网络中可以使用 MPLS VPN 技术,实现在一张基础网络下多种业务间的复杂隔离需求。,12,控制策略网络设备访问权限,所有的网络设备必须配置super密码,te
4、lnet的口令及密码,并定期修改。 考虑使用SSH方式登录,保证远程登录设备安全。同时禁止telnet服务。,13,控制策略路由安全,路由欺骗防止 如果RIP和OSPF等动态路由协议在某些接口上(通常是以太网口)启动协议的目的仅仅是为了发布路由,而无需建立邻居,则务必将这些接口设置为silent- interface 对于OSPF等在接口上支持MD5验证的路由协议,不建议配置MD5验证,14,课程内容,基本原则,安全组网,控制策略,安全防御,管理审计,15,安全组网安全传输,安全传输 当数据在网络传输的过程中无法确保安全时通常需要使用一定的安全技术。 加密技术 IPSec 应用为IP协议组提供
5、了网络层的安全能力,发送主机对IP报文进行加密,目的端点对源端点进行身份验证。可以确保报文的完整性和隐秘性。 WLAN的报文传输过程可以使用WEP、WAP等加密手段确保报文的安全传送。采用WAP可以支持更长的加密密钥、避免采用静态加密密钥,16,安全组网VPN,报文在传输的过程中将其封装在隧道里,使其对沿途经过的设备不可见,从而保证其安全性。常用对安全性要求不高的简单环境。 L2TP、GRE利用同IPSEC安全协议配合,实现安全保密的VPN,17,课程内容,基本原则,控制策略,安全组网,安全防御,管理审计,18,安全防御网络防护,面对安全威胁响应的时间越来越短,波及全球基础设施 地区网络 多个
6、网络 单个网络 单个计算机,破坏的对象和范围,第一代 引导型病毒,周,第二代 宏病毒 电子邮件 DoS 有限的黑客攻击,天,第三代 网络 DoS 混合威胁 (蠕虫 + 病毒+ 特洛伊木马) Turbo蠕虫 广泛的系统黑客攻击,分钟,下一代 基础设施黑客攻击 瞬间威胁 大规模蠕虫 DDoS 破坏有效负载的病毒和蠕虫,秒,20世纪80年代,20世纪90年代,今天,未来,人工响应,可能,人工响应,很难 自动响应,有可能,人工响应,不可能 自动响应,较难 主动阻挡,有可能,19,安全防御网络防护 (续),当内部网络与外部网络相连时,需要对内部网络进行必要的网络防护措施。 即使在不需要与外网相连的情况下
7、,也需要对内部网络中异常重要的服务器进行防护。 网络防护主要通过防火墙设备来实施。,20,安全防御模型,受保护服务器,受保护客户机,内部网络 可信任区,外部网络 不可信任区,周边网络 DMZ区,WWW服务器 MAIL服务器,入侵检测服务器 漏洞扫描服务器,互联网 接入服务器,互联网 连接路由器,21,安全防御包过滤防火墙,容易实施,几乎所有网络设备都支持ACL特性 应用于接口或者安全区域,分出入方向 采用ACL进行物理层到传输层的控制。 配置包过滤防火墙进行网络病毒防范,22,安全防御ASPF,ASPF状态防火墙 同包过滤防火墙共用时,应注意在相同出接口或入接口上应用 使用NAT时,可以不需要
8、再启用ASPF NAT也是基于状态的,对出方向的报文建立状态表。起到单向访问控制作用,23,安全防御拒绝服务和扫描,拒绝服务类攻击扫描类攻击畸形报文攻击,24,课程内容,基本原则,控制策略,安全组网,安全防御,管理审计,25,管理审计日志,日志记录 日志记录可以准确的记下设备运行过程中发生的各种软件异常信息,链路异常信息,对设备的各种命令操作等。 日志记录可以在事后对各类故障进行分析,便于事后进行追踪,改善网络的安全部署策略。 日志记录的类别 设备运行时务必设置记录日志,如果条件允许,尽量将需要将日志信息发送到特定的日志主机。 为了减少日志信息量,应该只记录重要的告警信息。 务必记录对设备所有的操作信息。,26,本章总结,从五个方面讨论了网络安全规划的注意事项: 基本原则 控制策略安全组网安全防御管理审计,
