《网络安全架构设计和网络安全设备的部署ppt学习课件.ppt》由会员分享,可在线阅读,更多相关《网络安全架构设计和网络安全设备的部署ppt学习课件.ppt(58页珍藏版)》请在三一办公上搜索。
1、网络安全架构设计和网络安全设备的部署,1,合理分域,准确定级,信息系统等级保护以系统所处理信息的最高重要程度来确定安全等级 在合理划分安全域边界安全可控的情况下,各安全域可根据信息的最高重要程度单独定级,实施“分域分级防护”的策略,从而降低系统建设成本和管理风险 信息系统安全域之间的边界应划分明确,安全域与安全域之间的所有数据通信都应安全可控 对于不同等级的安全域间通信,应实施有效的访问控制策略和机制,控制高密级信息由高等级安全域流向低等级安全域。,面对众多安全威胁该如何防范?,口令暴解,窃听,SQL注入,跨站脚本,恶意代码,误操作,系统漏洞,系统故障,蠕虫病毒,黑客入侵,混合攻击,自然灾害,
2、跨站脚本,网站挂马,弱点扫描,木马,DoS攻击,轻则: 系统不稳定 网络或业务访问缓慢 成为攻击跳板 造成信誉影响 。重则: 业务不可访问 网络中断、不可用 系统宕机 数据被窃取、篡改 造成经济损失 导致行政处罚或刑事责任 。,后门,传统安全防护思想头疼医头,脚痛医脚,安全的组织保障,密码机,物理隔离卡,基本安全机制,LAN/WAN的安全,TEMPEST,外网互连安全,网络管理,防火墙,安全应用,安全数据库,CA认证,个人机安全保护,安全审计,Windows安全,UNIX 安全操作系统,PKI,入侵检测,防病毒,PMI,信息安全的内涵和外延是什么?什么样的系统是安全的?信息安全保障的目标是什么
3、?,信息安全的基本概念,机密性,完整性,可用性,不可抵赖性,可控性,可审计性,信息系统等级保护标准,GB/T 17859系列标准,物理安全,网络安全,主机安全,应用安全,数据安全,身份鉴别(S),安全标记(S),访问控制(S),可信路径(S),安全审计(G),剩余信息保护(S),物理位置的选择(G),物理访问控制(G),防盗窃和破坏(G),防雷/火/水(G),温湿度控制(G),电力供应(A),数据完整性(S),数据保密性(S),备份与恢复(A),防静电(G),电磁防护(S),入侵防范(G),资源控制(A),恶意代码防范(G),结构安全(G),访问控制(G),安全审计(G),边界完整性检查(S)
4、,入侵防范(G),恶意代码防范(G),网络设备防护(G),身份鉴别(S),剩余信息保护(S),安全标记(S),访问控制(S),可信路径(S),安全审计(G),通信完整性(S),通信保密性(S),抗抵赖(G),软件容错(A),资源控制(A),技术要求,项目管理,安全整改,安全巡检,环境安全,风险评估,管理体系Management,组织体系Organization,一体化全局安全管理/监控/审计/运维人机界面,优化加固,驻场运维,日常维护,安全报告,应急恢复,运行体系Operation,技术体系Technology,风险监控,事件管理,脆弱管理,性能监控,安全监控中心,态势感知,业务监控,拓扑监控
5、,设备监控,安全审计中心,网络审计,业务审计,数据审计,采集存储,终端审计,运维审计,合规审计,统计查询,边界安全,传输安全,环境安全,接入安全,入侵检测,漏洞管理,准入管理,安全保护框架,基础设施,边界安全,计算环境,安全支撑设施,IT系统,工作台管理,巡检管理,工单管理,KPI管理,组织人员管理,资产管理,服务商管理,应急管理,统计查询,响应处置,安全运维中心,预警监测体系,基础防护体系,安全策略方针,角色职责矩阵,安全通报机制,安全人员管理,教育培训计划,策略制定发布,安全技术管理,安全操作规范,安全设备管理,安全环境管理,安全组织架构,主管部门,公安/保密CN CERT测评机构,集成商
6、,服务商,开发商,供应商,安全决策机构,安全执行机构,安全响应小组,病毒监测,信息安全体系架构,IT层次架构与安全体系架构的结合,实施企业的安全防护/预警体系,安全防护体系,预警响应体系,一体化安全运营中心,访问控制,传输加密,流量清洗,合规审计,接入安全,入侵行为,深入检测,精确阻断,漏洞发现,预警响应,安全监控中心,安全审计中心,安全运维中心,网络安全防护产品,防火墙、防水墙WEB防火墙、网页防篡改入侵检测、入侵防御、防病毒统一威胁管理UTM身份鉴别、虚拟专网加解密、文档加密、数据签名物理隔离网闸、终端安全与上网行为管理内网安全、审计与取证、漏洞扫描、补丁分发安全管理平台灾难备份产品,防火
7、墙,内部工作子网与外网的访问控制,进行访问规则检查,发起访问请求,合法请求则允许对外访问,将访问记录写进日志文件,合法请求则允许对外访问,发起访问请求,防火墙在此处的功能:1、工作子网与外部子网的物理 隔离2、访问控制3、对工作子网做NAT地址转换4、日志记录,内部工作子网,内部子网与DMZ区的访问控制,进行访问规则检查,发起访问请求,合法请求则允许对外访问,将访问记录写进日志文件,禁止对工作子网发起连结请求,发起访问请求,DMZ区域与外网的访问控制,进行访问规则检查,发起访问请求,合法请求则允许对外访问,将访问记录写进日志文件,禁止对外发起连结请求,发起访问请求,防火墙在此处的功能:1、DM
8、Z网段与外部子网的物理隔离2、访问控制3、对DMZ子网做MAP映射4、日志记录,防火墙的不足,防火墙并非万能,防火墙不能完成的工作:源于内部的攻击不通过防火墙的连接完全新的攻击手段不能防病毒,防火墙的局限性,防火墙不能防止通向站点的后门。防火墙一般不提供对内部的保护。防火墙无法防范数据驱动型的攻击。防火墙本身的防攻击能力不够,容易成为被攻击的首要目标。防火墙不能根据网络被恶意使用和攻击的情况动态调整自己的策略。,什么是 VPN,VPN (Virtual Private Network) 是通过 internet 公共网络在局域网络之间或单点之间安全地传递数据的技术,VPN 可以省去专线租用费用
9、或者长距离电话费用,大大降低成本VPN 可以充分利用 internet 公网资源,快速地建立起公司的广域连接,传统VPN联网方式,公司总部,办事处/SOHO,公共网络,VPN通道,VPN client,VPN 解决方案,远程访问,Internet,虚拟私有网,虚拟私有网,虚拟私有网,基于PPTP/L2TP的拨号VPN,在Internal 端网络定义远程地址池每个客户端动态地在地址池中为VPN会话获取地址客户端先得拨号(163/169)得到一个公网地址 , 然后和公司的防火墙设备利用PPTP/L2TP协议进行VPN的建立建立VPN 的用户可以访问公司内部网络的所有资源, 就象在内部网中一样客户端
10、不需要附加软件的安装,简单方便,Dial-Up NAT Pool10.1.1.0/24 10.1.1.1 - 10.1.1.10,SSL VPN,SSL VPN是解决远程用户访问敏感公司数据最简单最安全的解决技术。与复杂的IPSec VPN相比,SSL通过简单易用的方法实现信息远程连通。任何安装浏览器的机器都可以使用SSL VPN, 这是因为SSL 内嵌在浏览器中,它不需要象传统IPSec VPN一样必须为每一台客户机安装客户端软件。,入侵检测系统IDS,入侵预防系统也像入侵侦查系统一样,专门深入网路数据内部,查找它所认识的攻击代码特征,过滤有害数据流,丢弃有害数据包,并进行记载,以便事后分析
11、。除此之外,更重要的是,大多数入侵预防系统同时结合考虑应用程序或网路传输中的异常情况,来辅助识别入侵和攻击。比如,用户或用户程序违反安全条例、数据包在不应该出现的时段出现、作业系统或应用程序弱点的空子正在被利用等等现象。入侵预防系统虽然也考虑已知病毒特征,但是它并不仅仅依赖于已知病毒特征。,入侵检测的概念和作用,入侵检测即通过从网络系统中的若干关键节点收集并分析信息,监控网络中是否有违反安全策略的行为或者是否存在入侵行为。它能够提供安全审计、监视、攻击识别和反攻击等多项功能,对内部攻击、外部攻击和误操作进行实时监控,在网络安全技术中起到了不可替代的作用。,入侵检测系统的作用,实时检测实时地监视
12、、分析网络中所有的数据报文发现并实时处理所捕获的数据报文安全审计对系统记录的网络事件进行统计分析发现异常现象得出系统的安全状态,找出所需要的证据主动响应主动切断连接或与防火墙联动,调用其他程序处理,入侵检测系统,工作原理:实时监控网络数据,与已知的攻击手段进行匹配,从而发现网络或系统中是否有违反安全策略的行为和遭到袭击的迹象。 使用方式:作为防火墙后的第二道防线。,入侵检测系统,Firewall,Servers,DMZ,Intranet,监控中心,router,攻击者,报警,报警,利用RealSecure进行可适应性攻击检测和响应,DMZ? E-Mail? File Transfer? HTT
13、P,Intranet,企业网络,生产部,工程部,市场部,人事部,路由,Internet,中继,入侵检测工具举例,DMZ? E-Mail? File Transfer? HTTP,Intranet,企业网络,生产部,工程部,市场部,人事部,路由,Internet,中继,入侵检测工具举例,DMZ? E-Mail? File Transfer? HTTP,Intranet,企业网络,生产部,工程部,市场部,人事部,路由,Internet,中继,商务伙伴,入侵检测工具举例,入侵检测,基本原理:利用sniffer方式获取网络数据,根据已知特征判断是否存在网络攻击优点:能及时获知网络安全状况,借助分析发现
14、安全隐患或攻击信息,便于及时采取措施。不足:准确性:误报率和漏报率有效性:难以及时阻断危险行为,物理隔离装置,物理隔离,主要分两种:双网隔离计算机物理隔离网闸,双网隔离计算机,解决每人2台计算机的问题1台计算机,可以分时使用内网或外网关键部件硬盘网线软盘/USB/MODEM等共享部件显示器键盘/鼠标主板/电源硬盘*原理切换关键部件,简单双网隔离计算机,外网硬盘,内网硬盘,外网网线,内网网线,公共部件,控制卡,控制开关,复杂双网隔离计算机,内网硬盘,外网网线,内网网线,公共部件,控制卡,远端设备,使用控制卡上的翻译功能将硬盘分为逻辑上独立的部分充分使用UTP中的8芯,减少一根网线,物理隔离网闸的
15、基本原理,采用数据“摆渡”的方式实现两个网络之间的信息交换在任意时刻,物理隔离设备只能与一个网络的主机系统建立非TCP/IP协议的数据连接,即当它与外部网络相连接时,它与内部网络的主机是断开的,反之亦然。任何形式的数据包、信息传输命令和TCP/IP协议都不可能穿透物理隔离设备。物理隔离设备在网络的第7层讲数据还原为原始数据文件,然后以“摆渡文件”形式传递原始数据。,物理隔离实现基本原理,物理隔离实现基本原理,内外网模块连接相应网络实现数据的接收及预处理等操作;交换模块采用专用的高速隔离电子开关实现与内外网模块的数据交换,保证任意时刻内外网间没有链路层连接;数据只能以专用数据块方式静态地在内外网
16、间通过网闸进行“摆渡”,传送到网闸另一侧;集成多种安全技术手段,采用强制安全策略,对数据内容进行安全检测,保障数据安全、可靠的交换。,对请求数据进行合法性检查,剥离原有协议成裸数据,进行内容检查,然后重组,对收到外网的数据进行病毒检查、解析、过滤和重组等处理,隔离网闸的工作流程,将重组的数据还原为标准通讯协议,回传到内网,将重组的数据还原为标准通讯协议,向外网发送,专用隔离硬件、专用通讯协议,专用隔离硬件、专用通讯协议,安全隔离工作示意图,安全隔离系统,非信任网络或Internet,信任网络,隔离装置,连接系统,连接系统,物理隔离技术的应用,内网和外部网之间,网闸,隔离网闸和防火墙区别,1ms
17、,防火墙是单主机 系统防火墙采用通用通讯协议即TCP/IP协议防火墙必须保证实时连接防火墙是主动响应,网闸采用双主机系统,内端机与需要保护的内部网络连接,外端机与外网连接。这种双系统模式彻底将内网保护起来网闸采用自身定义的私有通讯协议,避免了通用协议存在的漏洞。网闸采用专用硬件控制技术保证内外网之间没有实时连接。网闸对外网的任何响应都保证是内网合法用户发出的请求应答,即被动响应,而防火墙则不会对外网响应进行判断,也即主动响应。这样,网闸就避免了木马和黑客的攻击。,防火墙,44,物理隔离技术的优缺点,优点: 中断直接连接 强大的检查机制 最高的安全性 缺点: 对协议不透明,对每一种协议都要一种具
18、体的实现 效率低,防病毒软件,网络防病毒,基本功能:串接于网络中,根据网络病毒的特征在网络数据中比对,从而发现并阻断病毒传播优点:能有效阻断已知网络病毒的传播不足:只能检查已经局部发作的病毒对网络有一定影响,堡垒机,堡垒机又被称为“堡垒主机”,是一个主机系统,其自身通常经过了一定的加固,具有较高的安全性,可抵御一定的攻击,其作用主要是将需要保护的信息系统资源与安全威胁的来源进行隔离,从而在被保护的资源前面形成一个坚固的“堡垒”,并且在抵御威胁的同时又不影响普通用户对资源的正常访问。,运维审计型堡垒机 运维审计型堡垒机被部署在内网中的服务器和网络设备等核心资源的前面,对运维人员的操作权限进行控制
19、和操作行为审计;运维审计型堡垒机即解决了运维人员权限难以控制混乱局面,又可对违规操作行为进行控制和审计,而且由于运维操作本身不会产生大规模的流量,堡垒机不会成为性能的瓶颈,所以堡垒机作为运维操作审计的手段得到了快速发展。,选择要点,管理方便提供一套简单直观的账号管理、授权管理策略,管理员可快速方便地查找某个用户,查询修改访问权限;同时用户能够方便的通过登录堡垒机对自己的基本信息进行管理,包括账号、口令等进行修改更新。可扩展性当进行新系统建设或扩容时,需要增加新的设备到堡垒机时,系统应能方便的增加设备数量和设备种类。,精细审计针对传统网络安全审计产品无法对通过加密、图形运维操作协议进行为审计的缺
20、陷,系统应能实现对RDP、VNC、X-Window、SSH、SFTP、HTTPS等协议进行集中审计,提供对各种操作的精细授权管理和实时监控审计。审计可查可实时监控和完整审计记录所有维护人员的操作行为;并能根据需求,方便快速的查找到用户的操作行为日志,以便追查取证。,选择要点,安全性堡垒机自身需具备较高的安全性,须有冗余、备份措施,如日志自动备份等。部署方便系统采用物理旁路,逻辑串联的模式,不需要改变网络拓扑结构,不需要在终端安装客户端软件,不改变管理员、运维人员的操作习惯,也不影响正常业务运行。,选择要点,漏洞扫描工具,检查工具,经常性检查重要服务器、网络设备是否存在安全漏洞绿盟的漏扫设备NmapX-scan流光ISS-SCANNER等其他商业安全工具WVS,网络扫描器,通过模拟网络攻击检查目标主机是否存在已知安全漏洞优点:有利于及早发现问题,并从根本上解决安全隐患不足:只能针对已知安全问题进行扫描准确性 vs 指导性,谢谢!,
