返回
8、网络安全规划new

8、网络安全规划new

ID:34520431

大小:1.12 MB

页数:26页

时间:2019-03-07

8、网络安全规划new_第1页
8、网络安全规划new_第2页
8、网络安全规划new_第3页
8、网络安全规划new_第4页
8、网络安全规划new_第5页
资源描述:

《8、网络安全规划new》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、网络安全规划---李高丰前进中的华迪公司四川华迪信息技术有限公司学习目标学习完本课程,您应该能够:ò明确网络安全规划的基本原则ò掌握网络安全的配置要点课程内容基本原则控制策略安全组网安全防御管理审计网络安全规划的基本原则ò网络安全是一个复杂的体系结构ò网络安全是一个相对的概念ò网络安全部署通常会带来副作用在网络的安全和性能之间找到恰当的平衡点!课程内容基本原则控制策略安全组网安全防御管理审计控制策略--认证授权(WLAN接入)ò在WLAN中,当无法从物理上控制访问者的来源时,务必要使用相应的鉴权及认证手段进行识别服务

2、:Î在AP上禁止ESSID广播ÎMAC过滤Î对接入用户进行802.1x身份认证Î使用加密无线信道控制策略--认证授权(以太网接入)ò对于来源不可靠的以太网接入使用802.1x认证Î配合CAMS进行。支持防代理上网,提供运营商带宽安全Î使用EAD(端点准入防御)技术,隔离可能危险用户控制策略--认证授权(RADIUS&AAA)ò通过RADIUS实现AAA认证,可以对各种接入用户统一集中进行认证和授权ò采用HWTACCCSACS协议代替RADIUSÎ实现对验证报文主体全部进行加密Î支持对路由器上的配置实现分级授权使用认证

3、服务器控制策略--认证授权(移动客户)移动用户客户端SECPoint的远程接入验证ò传统用户名+密码方式ò双因素认证òSecKEYòPKI/CA体系验证方式控制策略--业务隔离(以太网接入)ò普通二层以太网网络中采用VLAN进行隔离。ò小区以太网接入应用中在接入层交换机上配置Isolate-user-VLAN,禁止接入用户之间互访。ò建议在接入交换机接入端口配置广播抑制门限1234控制策略--业务隔离(ACL&VPN)ò采用访问控制列表ACL进行L1层~L4层隔离ò对于大型网络中可以使用MPLSVPN技术,实现在一张

4、基础网络下多种业务间的复杂隔离需求。控制策略--网络设备访问权限ò所有的网络设备必须配置super密码,telnet的口令及密码,并定期修改。ò考虑使用SSH方式登录,保证远程登录设备安全。同时禁止telnet服务。控制策略--路由安全路由欺骗防止ò如果RIP和OSPF等动态路由协议在某些接口上(通常是以太网口)启动协议的目的仅仅是为了发布路由,而无需建立邻居,则务必将这些接口设置为silent-interfaceò对于OSPF等在接口上支持MD5验证的路由协议,不建议配置MD5验证课程内容基本原则控制策略安全组网安

5、全防御管理审计安全组网--安全传输ò安全传输Î当数据在网络传输的过程中无法确保安全时通常需要使用一定的安全技术。ò加密技术ÎIPSec应用为IP协议组提供了网络层的安全能力,发送主机对IP报文进行加密,目的端点对源端点进行身份验证。可以确保报文的完整性和隐秘性。ÎWLAN的报文传输过程可以使用WEP、WAP等加密手段确保报文的安全传送。采用WAP可以支持更长的加密密钥、避免采用静态加密密钥密钥财务报告4132lqfq销售额:1860$加密fh%&^$$利润:360$安全组网--VPNò报文在传输的过程中将其封装在隧道

6、里,使其对沿途经过的设备不可见,从而保证其安全性。常用对安全性要求不高的简单环境。òL2TP、GRE利用同IPSEC安全协议配合,实现安全保密的VPN总部合作伙伴ItInternett出差员工课程内容基本原则控制策略安全组网安全防御管理审计安全防御--网络防护ò面对安全威胁响应的时间越来越短人工响应,不可能破坏的对自动响应,较难象和范围主动阻挡,有可能秒波及全球人工响应,很难基础设施自动响应,有可能下一代•基础设施黑客攻击地区网络人工响应,可能分钟•瞬间威胁第三代•大规模蠕天•网络DoS虫多个网络第二代•DDoS•混

7、合威胁(周•宏病毒蠕虫+病毒•破坏有效+特洛伊木负载的病单个网络第代第一代•电子邮件马)毒和蠕虫•引导型病毒•DoS•Turbo蠕虫•有限的黑客•广泛的系统单个计算攻击黑客攻击机20世纪80年代20世纪90年代今天未来安全防御--网络防护(续)ò当内部网络与外部网络相连时,需要对内部网络进行必要的网络防护措施。ò即使在不需要与外网相连的情况下,也需要对内部网络中异常重要的服务器进行防护。ò网络防护主要通过防火墙设备来实施。防火墙黑客DoS攻击Internet安全防御--模型受保护服务器内部网络外部网络可信任区不可信任

8、区互联网周边网络DMZ区连接路由器受保护客户机入侵检测服务器WWW服务器互联网漏洞扫描服务器MAIL服务器接入服务器安全防御--包过滤防火墙ò容易实施,几乎所有网络设备都支持ACL特性ò应用于接口或者安全区域,分出入方向ò采用ACL进行物理层到传输层的控制。ò配置包过滤防火墙进行网络病毒防范安全防御--ASPFASPF状态防火墙ASPF(App

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。