计算机网络安全课件(沈鑫剡)第10章知识讲解.ppt

《计算机网络安全课件(沈鑫剡)第10章知识讲解.ppt》由会员分享，可在线阅读，更多相关《计算机网络安全课件(沈鑫剡)第10章知识讲解.ppt（16页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、安全网络设计实例安全网络设计实例安全网络设计实例安全网络设计实例计算机网络安全计算机网络安全计算机网络安全计算机网络安全计算机网络安全课件(沈鑫剡)第10章安全网络设计实例安全网络设计实例安全网络设计实例安全网络设计实例计算机网络安全计算机网络安全计算机网络安全计算机网络安全10.1 安全网络概述安全网络概述n安全网络设计目标；安全网络设计目标；n安全网络主要构件；安全网络主要构件；n网络资源；网络资源；n安全网络设计步骤。安全网络设计步骤。给出设计一个安全网络的基本原则、过程给出设计一个安全网络的基本原则、过程和方法。和方法。安全网络设计实例安全网络设计实例安全网络设计实例安全网络设计实例计

2、算机网络安全计算机网络安全计算机网络安全计算机网络安全安全网络设计目标安全网络设计目标n能够有效防御来自内部和外部的攻击；能够有效防御来自内部和外部的攻击；n能够对网络资源的访问过程实施有效控制；能够对网络资源的访问过程实施有效控制；n能够对用户行为进行有效监控；能够对用户行为进行有效监控；n能够对网络运行状态进行实时监测；能够对网络运行状态进行实时监测；n能够对网络性能变化过程和原因进行跟踪、能够对网络性能变化过程和原因进行跟踪、分析；分析；n能够安全传输机密信息。能够安全传输机密信息。安全网络设计实例安全网络设计实例安全网络设计实例安全网络设计实例计算机网络安全计算机网络安全计算机网络安全

3、计算机网络安全安全网络主要构件安全网络主要构件n接入控制和认证构件；接入控制和认证构件；n分组过滤和速率限制构件；分组过滤和速率限制构件；n防火墙；防火墙；n入侵防御系统；入侵防御系统；nVPN接入构件；接入构件；n认证、管理和控制服务器。认证、管理和控制服务器。安全网络设计实例安全网络设计实例安全网络设计实例安全网络设计实例计算机网络安全计算机网络安全计算机网络安全计算机网络安全网络资源网络资源n网络设备；网络设备；n网络操作信息；网络操作信息；n链路带宽；链路带宽；n主机系统；主机系统；n在网络中传输的信息；在网络中传输的信息；n用户私密信息。用户私密信息。安全网络设计实例安全网络设计实例

4、安全网络设计实例安全网络设计实例计算机网络安全计算机网络安全计算机网络安全计算机网络安全安全网络设计步骤安全网络设计步骤n确定需要保护的网络资源；确定需要保护的网络资源；n分析可能遭受的攻击类型；分析可能遭受的攻击类型；n风险评估；风险评估；n设计网络安全策略；设计网络安全策略；n实现网络安全策略；实现网络安全策略；n分析和改进网络安全策略。分析和改进网络安全策略。安全网络设计实例安全网络设计实例安全网络设计实例安全网络设计实例计算机网络安全计算机网络安全计算机网络安全计算机网络安全安全网络设计和分析安全网络设计和分析n安全网络系统结构；安全网络系统结构；n网络安全策略；网络安全策略；n网络安

5、全策略实现机制。网络安全策略实现机制。通过一个具体的、具有实用价值的安全网通过一个具体的、具有实用价值的安全网络的设计和分析过程，了解安全网络设计络的设计和分析过程，了解安全网络设计的基本原则、方法和过程。的基本原则、方法和过程。安全网络设计实例安全网络设计实例安全网络设计实例安全网络设计实例计算机网络安全计算机网络安全计算机网络安全计算机网络安全安全网络系统结构安全网络系统结构安全网络结构安全网络结构安全网络设计实例安全网络设计实例安全网络设计实例安全网络设计实例计算机网络安全计算机网络安全计算机网络安全计算机网络安全n网络分成内网、外网和非军事区三部分，非军事区提供网络分成内网、外网和非军

6、事区三部分，非军事区提供公共服务；公共服务；n交换机等接入设备完成对接入用户的认证；交换机等接入设备完成对接入用户的认证；n安全工作主要针对内部网络资源展开，由防火墙负责控安全工作主要针对内部网络资源展开，由防火墙负责控制内部网不同制内部网不同VLAN之间的信息传输过程，限制外网终端之间的信息传输过程，限制外网终端对内部网络资源的访问，允许授权终端通过建立第对内部网络资源的访问，允许授权终端通过建立第2层隧层隧道接入内部网络；道接入内部网络；n网络入侵防御系统对进出重要终端和服务器的信息流进网络入侵防御系统对进出重要终端和服务器的信息流进行检测；行检测；n主机入侵防御系统对访问重要终端和重要服

7、务器中资源主机入侵防御系统对访问重要终端和重要服务器中资源的过程实施严密监控；的过程实施严密监控；n网络管理系统及时反馈网络运行情况给管理员。网络管理系统及时反馈网络运行情况给管理员。安全网络系统结构安全网络系统结构安全网络设计实例安全网络设计实例安全网络设计实例安全网络设计实例计算机网络安全计算机网络安全计算机网络安全计算机网络安全网络安全策略网络安全策略n允许内部网络终端发起对允许内部网络终端发起对Internet的访问，但只能访问外部网络中的的访问，但只能访问外部网络中的Web和和FTP服务器；服务器；n允许内部网络终端发起对非军事区中的允许内部网络终端发起对非军事区中的Web和和E-M

8、AIL服务器的访问；服务器的访问；n允许外部网络（非信任区）终端发起对非军事区中的允许外部网络（非信任区）终端发起对非军事区中的Web和和E-MAIL服务器的访问；服务器的访问；n只允许内部网络终端访问内部网络中的服务器，但允许内部员工通只允许内部网络终端访问内部网络中的服务器，但允许内部员工通过第过第2层隧道经外部网络访问内部网络中的层隧道经外部网络访问内部网络中的FTP服务器；服务器；n内部网络终端接入内部网络时须经身份认证；内部网络终端接入内部网络时须经身份认证；n内部网络终端的平均传输速率和峰值传输速率限制为内部网络终端的平均传输速率和峰值传输速率限制为3Mbps和和5Mbps；n不允

9、许以交互方式访问内部网络的数据库服务器；不允许以交互方式访问内部网络的数据库服务器；n能够监测对内部网络数据库服务器发起的攻击；能够监测对内部网络数据库服务器发起的攻击；n内部网络使用本地内部网络使用本地IP地址，非军事区服务器使用全球地址，非军事区服务器使用全球IP地址，内部地址，内部网络结构对外部网络终端是不可见的。网络结构对外部网络终端是不可见的。安全网络设计实例安全网络设计实例安全网络设计实例安全网络设计实例计算机网络安全计算机网络安全计算机网络安全计算机网络安全网络安全策略实现机制网络安全策略实现机制n交换机采用基于交换机采用基于MAC地址的接入控制机制；地址的接入控制机制；n一旦终

10、端通过认证，终端的一旦终端通过认证，终端的MAC地址被添加到访问控制列表，交换机允地址被添加到访问控制列表，交换机允许正常转发通过该端口接收到的以许正常转发通过该端口接收到的以MAC A为源为源MAC地址的地址的MAC帧；帧；n交换机采用本地认证机制，不采用统一的认证服务器。交换机采用本地认证机制，不采用统一的认证服务器。交交换机接入控制机接入控制过程程安全网络设计实例安全网络设计实例安全网络设计实例安全网络设计实例计算机网络安全计算机网络安全计算机网络安全计算机网络安全防火墙访问控制机制防火墙访问控制机制n防火墙访问控制策略分两部分，一是控制防火墙访问控制策略分两部分，一是控制内网各个内网各

11、个VLAN之间的信息传输过程，限之间的信息传输过程，限制外网终端对内网资源的访问过程。二是制外网终端对内网资源的访问过程。二是定义授权终端通过第定义授权终端通过第2层隧道接入内部网络层隧道接入内部网络的方法；的方法；n访问控制策略定义三种信息：信息传输方访问控制策略定义三种信息：信息传输方向、源和目的终端范围，以服务方式确定向、源和目的终端范围，以服务方式确定消息交换过程。消息交换过程。网络安全策略实现机制网络安全策略实现机制安全网络设计实例安全网络设计实例安全网络设计实例安全网络设计实例计算机网络安全计算机网络安全计算机网络安全计算机网络安全n防火墙作为远程接入控制设备，配置内部网络本地防火

12、墙作为远程接入控制设备，配置内部网络本地IP地址池，用户名地址池，用户名和口令等用户认证信息；和口令等用户认证信息；n建立终端和防火墙之间的第建立终端和防火墙之间的第2层隧道，基于第层隧道，基于第2层隧道完成终端的身份层隧道完成终端的身份认证和本地认证和本地IP地址分配；地址分配；n为了实现第为了实现第2层隧道的安全传输，隧道两端建立双向的的安全关联；层隧道的安全传输，隧道两端建立双向的的安全关联；n防火墙添加指明通往终端的传输路径的路由项。防火墙添加指明通往终端的传输路径的路由项。网络安全策略实现机制网络安全策略实现机制终端通端通过VPN接入内部网接入内部网络过程程安全网络设计实例安全网络设

13、计实例安全网络设计实例安全网络设计实例计算机网络安全计算机网络安全计算机网络安全计算机网络安全n数据传输过程中，防火墙就是一个互连点对点链路和以太网的路由器；数据传输过程中，防火墙就是一个互连点对点链路和以太网的路由器；n终端通过点对点链路和防火墙相连，因此，终端采用的链路层协议是终端通过点对点链路和防火墙相连，因此，终端采用的链路层协议是PPP；n由于点对点链路是第由于点对点链路是第2层隧道，因此，层隧道，因此，PPP帧必须被封装成第帧必须被封装成第2层隧道报层隧道报文，由于隧道两端之间采取安全传输机制，进行文，由于隧道两端之间采取安全传输机制，进行IPSec的封装过程。的封装过程。网络安全

14、策略实现机制网络安全策略实现机制VPN数据数据传输过程程安全网络设计实例安全网络设计实例安全网络设计实例安全网络设计实例计算机网络安全计算机网络安全计算机网络安全计算机网络安全主机入侵防御系统主机入侵防御系统n监测服务器安全状态；监测服务器安全状态；n检测进出服务器的信息流；检测进出服务器的信息流；n控制服务器中资源的访问过程；控制服务器中资源的访问过程；n限制进程调用过程。限制进程调用过程。网络入侵防御系统网络入侵防御系统n监测进出重要终端和服务器的异常信息流；监测进出重要终端和服务器的异常信息流；n对进出重要终端和服务器的信息流进行攻击特征匹配；对进出重要终端和服务器的信息流进行攻击特征匹配；n监测是否发生对重要终端和服务器的拒绝服务攻击；监测是否发生对重要终端和服务器的拒绝服务攻击；n监测是否发生端口扫描侦察；监测是否发生端口扫描侦察；n监测进出重要终端和服务器的信息流是否符合交互式特性。监测进出重要终端和服务器的信息流是否符合交互式特性。网络安全策略实现机制网络安全策略实现机制安全网络设计实例安全网络设计实例安全网络设计实例安全网络设计实例计算机网络安全计算机网络安全计算机网络安全计算机网络安全此课件下载可自行编辑修改，仅供参考！此课件下载可自行编辑修改，仅供参考！感谢您的支持，我们努力做得更好！谢谢感谢您的支持，我们努力做得更好！谢谢