返回
网络安全架构设计

网络安全架构设计

ID:36663621

大小:1.11 MB

页数:33页

时间:2019-05-13

网络安全架构设计_第1页
网络安全架构设计_第2页
网络安全架构设计_第3页
网络安全架构设计_第4页
网络安全架构设计_第5页
资源描述:

《网络安全架构设计》由会员上传分享,免费在线阅读,更多相关内容在学术论文-天天文库

1、安全网络架构设计崔宝江北京邮电大学信息安全中心北邮•信息安全中心•崔宝江目录一.防火墙二.IDS三.IPS四.VPN五.安全的网络架构设计北邮•信息安全中心•崔宝江防火墙分类•根据保护对象分为:¶网络防火墙¶主机防火墙•根据防范技术分为:¶包过滤防火墙¶应用层代理¶全状态检测防火墙¶地址翻译防火墙北邮•信息安全中心•崔宝江包过滤检查内容•Source•Destination•Permit•Protocol控制策略•HostA•HostC•Pass•TCP•HostB•HostC•Block•UDP查找对应的控制策略安全网域根据策略决定如何处理该数据包HostCHostD拆开数据包数据包数

2、据包数据包数据包数据包•IP报•TCP报•数据头头分组过滤判断信息数据包过滤依据主要是TCP/IP报头里面的北邮•信息安全中心•崔宝江信息,不能对应用层数据进行处理包过滤检查内容•数据包过滤一般要检查网络层的IP头和传输层的头:¶IP源地址¶IP目标地址¶协议类型(TCP包、UDP包和ICMP包)¶TCP或UDP包的目的端口¶TCP或UDP包的源端口¶ICMP消息类型¶TCP包头的ACK位¶TCP包的序列号、IP校验和等北邮•信息安全中心•崔宝江包过滤防火墙北邮•信息安全中心•崔宝江包过滤防火墙优缺点优点:应用层应用层•速度快,性能高表示层表示层•对用户透明会话层会话层传输层传输层缺点:

3、网络层网络层网络层•维护比较困难(需要对TCP/IP了解)数据链路层•安全性低(IP欺骗等)数据链路层数据链路层•不提供有用的日志,或根本就不提供物理层物理物理层层•不防范数据驱动型攻击互连的物理介质•不能根据状态信息进行控制•不能处理网络层以上的信息•无法对网络上流动的信息提供全面的控制北邮•信息安全中心•崔宝江目录一.防火墙二.IDS三.IPS四.VPN五.安全的网络架构设计北邮•信息安全中心•崔宝江IDS入侵检测系统(英文名称IntrusionDetectionSystem或者称为IDS)工作在计算机网络系统中的关键节点上,通过实时地收集和分析计算机网络或系统中的信息,来检查是否出

4、现违反安全策略的行为和遭到袭击的迹象,进而达到防止攻击、预防攻击的目的。北邮•信息安全中心•崔宝江IDS的作用智能发现攻击记录并发出报警信息启动响应动作internet交换机路由器防火墙内部网北邮•信息安全中心•崔宝江IDS的作用DMZ生产部E-MailFileTransferInternetHTTP中继工程部路由警告!市场部记录攻击Intranet人事部外部攻击终止连接企业网络企业网络北邮•信息安全中心•崔宝江IDS的作用DMZ生产部E-MailFileTransferInternetHTTP中继工程部路由内部攻击行为内部攻击行为市场部Intranet人事部警告!启动事件日志,企业网络

5、企业网络发送消息北邮•信息安全中心•崔宝江NIDS功能:在网络关键点收集信息和分析,发现可疑行为。缺陷:能发现但难以阻止北邮•信息安全中心•崔宝江FIREWALL&NIDS功能互补,通过合理搭配部署和联动提升网络安全级别:检测来自外部和内部的入侵行为和资源滥用在关键边界点进行访问控制攻击检测更新迅速,实时的发现和阻断北邮•信息安全中心•崔宝江flag1IDS&FIREWALL•相辅相成,在网络安全解决方案中承担不同的角色。FWIDS保护发现(Protect)(detect)审计(audit)北邮•信息安全中心•崔宝江幻灯片15flag1flag,2003-6-3IDS和扫描器的关系•ID

6、S和扫描器都是简化管理员的工作,发现网络中的问题扫描器是完全主动IDS是相对被动式式安全工具,能够安全工具,能够了了解网络现有的安解网络中即时发生全水平的攻击北邮•信息安全中心•崔宝江目录一.防火墙二.IDS三.IPS四.VPN五.安全的网络架构设计北邮•信息安全中心•崔宝江IPS•背景:û防火墙不能有效检测并阻断夹杂在正常流量中的攻击代码ûIDS由于旁路部署,无法阻断攻击,亡羊补牢,侧重安全状态监控•IPS的优点¶串联在线部署,主动防御,实时阻断攻击¶实现内容和应用层的拦截北邮•信息安全中心•崔宝江如何防御攻击?入侵检测系统IDSIPS入侵保护系统IPSIDS北邮•信息安全中心•崔宝江

7、内容管理•能够基于行为、时间、IP地址等多种条件组合,灵活控制用户上网行为,包括IM即时通讯、P2P下载、在线视频、网络流媒体及网络游戏等行为•对IM即时通讯、P2P下载等行为提供内容监控,及时发现恶意行为并进行阻断•全面抵御木马后门、广告软件、恶意程序等间谍软件功能,对间谍软件的通信和传播进行拦截并阻止对这些恶意程序的下载•支持审计功能,可以记录网络的通信报文,并解码回放,支持HTTP、SMTP、FTP、Telnet、POP3协议

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。