ch06-网络安全管理.ppt

《ch06-网络安全管理.ppt》由会员分享，可在线阅读，更多相关《ch06-网络安全管理.ppt（102页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、现代通信网络管理讲课：康松林Email:现代通信网络管理现代通信网络管理计算机学院现代通信网络管理第第6章章 网络安全管理网络安全管理讲课：康松林讲课：康松林现代通信网络管理 讲课：康松林（中南大学）3本章讲授内容本章讲授内容1.网络安全管理概述2.网络安全管理功能分析3.网络安全技术与设备4.网络安全管理体系的建立与维护5.网络安全部署和配置案例16.网络安全部署和配置案例27.网络安全部署和配置案例3本章小结现代通信网络管理一、一、网络安全管理概述网络安全管理概述现代通信网络管理 讲课：康松林（中南大学）51.1网络安全管理定义和提供的网络安全管理定义和提供的服务服务1网络安全管理定义网络

2、安全可以理解为：通过采用各种技术和管理措施，是网络系统正常运行，从而确保网络数据的可用性、完整性和保密性。网络安全包括网络硬件资源和信息资源的安全性，而硬件资源包括通信线路、通信设备（路由机、交换机等）、主机等，要实现信息快速安全的交换，必须有一个可靠的物理网络。信息资源包括维持网络服务运行的系统软件和应用软件，以及在网络中储存和传输的用户信息数据等。现代通信网络管理 讲课：康松林（中南大学）61.1网络安全管理定义和提供的网络安全管理定义和提供的服务服务1网络安全管理定义网络安全管理通过控制信息的访问点保护计算机网络中的敏感信息，实现对网络信息保密性、完整性和可用性的保护。敏感信息是指一个组

3、织所想保护的任何数据，比如与财务、顾客的账户以及与研究和发展的计划表相关的一些东西。从本质上来讲，网络安全包括组成网络系统的硬件、软件及其在网络上传输信息的安全性，使其不致因偶然的或者恶意的攻击遭到破坏，网络安全既有技术方面的问题，也有管理方面的问题，两方面相互补充，缺一不可。人为的网络入侵和攻击行为使得网络安全面临新的挑战。现代通信网络管理 讲课：康松林（中南大学）71.1网络安全管理定义和提供的网络安全管理定义和提供的服务服务2网络安全管理提供的服务网络安全管理提供的服务包括：（1）身份鉴别（2）访问控制（3）数据机密性（4）数据完整性（5）抗否认（6）可用性服务现代通信网络管理 讲课：康

4、松林（中南大学）81.2网络网络安全管理机制安全管理机制1加密机制借助各种加密算法对存放的数据和网络传输中的信息进行加密和解密。2数字签名机制数字签名是附加在数据单元上的一些数据，或是对数据单元所做的密码交换，这种数据或变换允许数据单元的接收者确认数据单元的来源和数据单元的完整性，并保护数据，防止被人伪造。3访问控制机制为了决定和实施一个实体的访问权限，访问控制机制可以使用该实体已鉴别的身份，或使用有关实体的信息。现代通信网络管理 讲课：康松林（中南大学）91.2网络网络安全管理机制安全管理机制4数据完整性机制数据完整性有两个方面：单个数据单元或字段的完整性和数据单元流或字段流的完整性。一般来

5、说，用来提供这两种类型完整性服务的机制是不相同的。5路由控制机制防止不利信息通过路由，目前典型的应用为网络层防火墙。带有某些安全标记的数据可能被安全策略禁止通过某些子网络、中继站或链路。6公证机制有关在两个或多个实体之间通信的数据的性质，如它的完整性、原发地、时间和目的地等能够借助公证机制得到确保。现代通信网络管理 讲课：康松林（中南大学）101.2网络网络安全管理机制安全管理机制7可信功能度机制根据某些标准被认为是正确的，就是可信的。8事件检测机制事件监测包括对已知的安全事件的检测，也可以包括对正常事件的检测。9安全审计跟踪机制安全审计就是对系统的记录与行为进行独立的评估考查，目的是测试系统

6、的控制是否恰当，保证与既定策略和操作的协调一致。10安全恢复机制现代通信网络管理 讲课：康松林（中南大学）111.3安全管理安全管理原则和途径原则和途径1安全管理原则（1）多人负责原则（2）任期有限原则（3）职责分离原则现代通信网络管理 讲课：康松林（中南大学）121.3安全管理安全管理原则和途径原则和途径2安全管理途径（1）限制用户（包括组织内部和外部）对主机和网络设备的访问；（2）在有人试图或实际突破安全时，告知管理者；（3）防止未授权的用户注册到网络上使用网络资源；（4）防止非授权用户访问网络上的共享资源；现代通信网络管理 讲课：康松林（中南大学）131.3安全管理安全管理原则和途径原则

7、和途径2安全管理途径（5）防止用户查看其他网络或用户的机密文件；（6）保护网络应用程序不被拷贝、删除、修改或破坏；（7）防止用户有意或无意地删除网络上的重要文件；（8）防止用户对网络的恶意破坏（轻损伤，如故意控告拥塞等）。现代通信网络管理 讲课：康松林（中南大学）141.4安全管理安全管理过程过程1确定要保护的敏感信息2找出访问点3保护访问点安全保护可在网络上的多层采用：（1）在数据链接层，可以使用加密。（2）网络设备可基于过滤实现对流通信息流保护。（3）在主机上，每个通向信息的访问点都有一个相应服务，可以让每个能给出到敏感信息的访问的服务提供一种或多种类型的安全保护，如：主机认证，用户认证以

8、及密钥认证等。现代通信网络管理 讲课：康松林（中南大学）151.4安全管理安全管理过程过程4保护访问点的方法（1）加密（2）包过滤（3）主机认证（4）用户认证（5）密钥认证现代通信网络管理二、二、网络安全管理功能分析网络安全管理功能分析现代通信网络管理 讲课：康松林（中南大学）172.1网络安全网络安全风险分析风险分析网络安全风险由多种因素引起，与网络结构和系统的应用、网络服务器可靠性等因素密切相关。1物理安全风险分析2网络平台的安全风险分析3系统的安全风险分析4应用的安全风险分析5管理的安全风险分析6黑客攻击现代通信网络管理 讲课：康松林（中南大学）182.1网络安全网络安全风险分析风险分析

9、6黑客攻击（1）非授权访问（2）信息泄漏或丢失（3）破坏数据完整性（4）拒绝服务攻击（5）利用网络传播病毒现代通信网络管理 讲课：康松林（中南大学）192.2网络网络安全管理策略安全管理策略安全管理策略主要有：定义完善的安全管理模型；建立长远的并且可实施的安全策略；彻底贯彻规范的安全防范措施；建立恰当的安全评估尺度，并且进行经常性的规则审核。当然，还需要建立高效的管理平台。安全管理部门应根据管理原则和保密性要求，制定相应的管理制度或采用相应的规范。具体工作是：现代通信网络管理 讲课：康松林（中南大学）202.2网络网络安全管理策略安全管理策略（1）根据工作的重要程度，确定系统的安全等级。（2）

10、根据确定的安全等级，确定安全管理的范围。（3）制订相应的机房出入管理制度。对于安全等级要求较高的系统，要实行分区控制，限制工作人员出入与己无关的区域。出入管理可采用证件识别或安装自动识别登记系统，采用磁卡、身份卡等手段，对人员进行识别、登记管理。（4）制订严格的操作规程。操作规程要根据职责分离和多人负责的原则，各负其责，不能超越自己的管辖范围。现代通信网络管理 讲课：康松林（中南大学）212.2网络网络安全管理策略安全管理策略（5）制订完备的系统维护制度。对系统进行维护时，应采取数据保护措施，如数据备份等。维护时要首先经主管部门批准，并有安全管理人员在场，故障的原因、维护内容和维护前后的情况要

11、详细记录。（6）制订应急措施。要制定系统在紧急情况下，如何尽快恢复的应急措施，使损失减至最小。（7）建立人员雇用和解聘制度，对工作调动和离职人员要及时调整响应的授权。现代通信网络管理 讲课：康松林（中南大学）222.3网络网络安全管理功能安全管理功能（1）软硬件资产管理：安全设备的配置，如路由器（配置ACL)的安全设置、交换机（绑定端口、MAC）的安全设置、ASA的设置等；（2）风险分析：监视网络危险情况，对危险进行隔离，并把危险控制在最小范围内；（3）行为管理：控制和管理集团所有终端对互联网的使用，包括对网页访问过滤、网络应用控制、带宽流量管理、信息收发审计、用户行为分析等。（4）网络访问管

12、理：对所有用户访问网络资源的权限进行严格的认证和控制，进行用户身份认证，对口令加密、更新和鉴别，设置用户访问目录和文件的权限，控制网络设备配置的权限等。现代通信网络管理 讲课：康松林（中南大学）232.3网络网络安全管理功能安全管理功能（5）密钥管理：对于与密钥相关的服务器，应对其设置密钥生命期、密钥备份等管理功能；（6）安全漏洞与补丁管理；（7）冗余备份：为增加网络的安全系数，对于关键的服务器应冗余备份；（8）审计系统，对资源或用户动态的或静态的审计；对违规事件，自动生成报警或生成事件消息；现代通信网络管理三、三、网络安全技术与设备网络安全技术与设备现代通信网络管理 讲课：康松林（中南大学）

13、253.1防防病毒病毒1网络病毒的定义及其发展网络病毒是指通过计算机网络传播感染网络中的可执行文件（如：COM、EXE、DOC等），网络病毒主要进行游戏等帐号的盗取工作，远程操控，或把受控者的计算机当作肉鸡使用。具有开放性的互联网成为计算机病毒广泛传播的有利环境，而互联网本身的安全漏洞为培育新一代病毒提供了绝佳的条件。人们为了让网页更加精彩漂亮、功能更加强大而开发出ActiveX技术和Java技术，然而病毒程序的制造者也利用同样的渠道，把病毒程序由网络渗透到个人计算机中。这就是所谓的“网络病毒”。现代通信网络管理 讲课：康松林（中南大学）263.1防防病毒病毒2木马特洛伊木马（简称木马），英文

14、叫做“Trojanhorse”，是指隐藏在正常程序中的一段具有特殊功能的恶意代码，是具备破坏和删除文件、发送密码、记录键盘和DoS攻击等特殊功能的后门程序。它是一种基于远程控制的黑客工具，具有隐蔽性和非授权性的特点。木马病毒的产生严重危害着现代网络的安全运行。现代通信网络管理 讲课：康松林（中南大学）273.1防防病毒病毒防范木马的攻击的主要措施：（1）运行反木马实时监控程序（2）不要执行任何来历不明的软件（3）不要轻易打开不熟悉的邮件（4）不要轻信他人（5）不要随意下载软件（6）将Windows资源管理器配置始终显示扩展名（7）尽量少用共享文件夹（8）隐藏IP地址现代通信网络管理 讲课：康松

15、林（中南大学）283.1防防病毒病毒3蠕虫病毒蠕虫的定义：“计算机蠕虫可以独立运行，并能把自身的一个包含所有功能的版本传播到另外的计算机上。”“蠕虫”本身只是“计算机病毒”利用的一种技术手段。蠕虫病毒的传染机理是利用网络进行复制和传播，蠕虫程序主要利用系统漏洞，通过网络、电子邮件以及优盘、移动硬盘等移动存储设备进行传播，象生物蠕虫一样从一台计算机传染到另一台计算机。现代通信网络管理 讲课：康松林（中南大学）293.1防防病毒病毒防范蠕虫病毒的攻击的主要措施：（1）针对通过邮件附件传播的病毒（2）针对弱口令共享传播的病毒（3）针对通过系统漏洞传播的病毒现代通信网络管理 讲课：康松林（中南大学）3

16、03.1防防病毒病毒4病毒、木马、蠕虫比较现代通信网络管理 讲课：康松林（中南大学）313.1防防病毒病毒5网络病毒的发展趋势（1）传播介质与攻击对象多元化，传播速度更快，覆盖面更广。（2）破坏性更强。（3）难以控制和根治。（4）病毒携带形式多样化。现代通信网络管理 讲课：康松林（中南大学）323.1防防病毒病毒5网络病毒的发展趋势（5）编写方式多样化，病毒变种多。（6）触发条件增多，感染与发作的几率增大。（7）智能化，隐蔽化。（8）攻击目的明确化。现代通信网络管理 讲课：康松林（中南大学）333.1防防病毒病毒6网络病毒检测技术与方法（1）实时网络流量检测（2）异常流量分析（3）蜜罐系统现代

17、通信网络管理 讲课：康松林（中南大学）343.1防防病毒病毒6网络病毒检测技术与方法常用的检测方法有：（1）程序和数据完整性检测技术（2）病毒特征码检测技术（3）启发式规则（或广谱特征码）病毒检测技术（4）基于操作系统的监视和检测技术（5）传统虚拟机病毒检测技术现代通信网络管理 讲课：康松林（中南大学）353.2防火墙防火墙防火墙是一种将内部网和外部网分开的技术方法或手段，是内部网与外部网之间的第一道屏障，实际上是一种隔离技术，是在两个网络通信的时候执行的一种访问控制手段，它能容许用户同意的人或数据进入网络，同时将用户不同意的人和数据拒之门外，最大限度地阻止网络中不明身份的人或数据访问受保护的

18、网络，防止发生更改、复制和毁坏受保护网络中的数据。现代通信网络管理 讲课：康松林（中南大学）363.2防火墙防火墙防火墙采用的主要技术包括：（1）包过滤技术（PacketFiltering）（2）应用级代理（3）网络地址翻译（NAT，Network AddressTranslation）现代通信网络管理 讲课：康松林（中南大学）373.3加密加密技术技术数据加密技术通常使用一组密码与被加密的数据进行混合运算。未加密的数据称为明文，将明文映射成不可读、但仍不失其原信息的密文的过程称为加密，而相反过程即为解密。对数据信息的加解密，密钥是安全的关键。通常有两种方法，即私人密钥法和公用密钥法。私人密钥

19、法也称对称加密法，加密和解密信息使用相同的密钥。现代通信网络管理 讲课：康松林（中南大学）383.4VPN技术技术VPN（VirtualPrivateNetwork）是采用隧道技术以及加密、身份认证等方法，在公共网络上构建企业网络的技术。隧道技术是VPN的核心。隧道是基于网络协议在两点或两端建立的通信，隧道由隧道开通器和隧道终端器建立。隧道开通器的任务是在公用网络中开出一条隧道。现代通信网络管理 讲课：康松林（中南大学）393.4VPN技术技术隧道交换的优点：（1）隧道交换可以将访问导向相应的隧道终端器，使不同的网络用户进入不同的网段，实现网络虚拟工作组和权限控制；（2）隧道交换根据RADIU

20、S服务器的用户信息，开通到企业内部服务器的隧道，避免了在企业内外部防火墙之间设置应用服务器的麻烦；（3）隧道到达企业内部网络后，可以使用企业内部地址，提高了网络的安全性；（4）隧道交换可以平衡企业服务器的工作负载；（5）隧道交换可以在不同ISP之间开通隧道，使隧道灵活拓展。现代通信网络管理 讲课：康松林（中南大学）403.4VPN技术技术VPN主要有IPSecVPN、SSLVPN和MPLSVPN1IPSecVPNIPSec的英文全名为“InternetProtocolSecurity”，中文名为“因特网安全协议，这个安全协议是VPN的基本加密协议，它为数据在通过公用网络（如因特网）在网络层进行

21、传输时提供安全保障。IPSec安全体系包括3个基本协议：AH协议为IP包提供信息源验证和完整性保证；ESP协议提供加密机制；密钥管理协议(ISAKMP)提供双方交流时的共享安全信息。现代通信网络管理 讲课：康松林（中南大学）413.4VPN技术技术2SSLVPNSSL是Netscape研发的，用来保障在Internet上数据传输的安全，利用数据加密技术，可确保数据在网络上传输的过程中不会被截取及窃听。它已被广泛地用于Web浏览器与服务器之间的身份认证和加密数据传输。SSL协议位于TCP/IP协议与各种应用层协议之间，为数据通讯提供安全支持。SSL协议可分为两层：SSL记录协议，建立在可靠的传输

22、协议（如TCP）之上，为高层协议提供数据封装、压缩、加密等基本功能的支持。SSL握手协议，建立在SSL记录协议之上，用于在实际的数据传输开始前，通讯双方进行身份认证、协商加密算法、交换加密密钥等。现代通信网络管理 讲课：康松林（中南大学）423.4VPN技术技术3MPLSVPNMPLSVPN是一种基于MPLS技术的IPVPN，是在网络路由和交换设备上应用MPLS技术，简化核心路由器的路由选择方式，利用结合传统路由技术的标记交换实现的IP虚拟专用网络（IPVPN），可用来构造宽带的Intranet、Extranet，满足多种灵活的业务需求。MPLSVPN网络主要由CE、PE和P等3部分组成现代通

23、信网络管理 讲课：康松林（中南大学）433.4VPN技术技术4SSL、IPsec、MPLSVPN比较（1）协议层次不同IPSec协议是网络层协议，是为保障IP通信而提供的一系列协议簇。SSL是套接层协议，它是保障在Internet上基于Web的通信安全而提供的协议。MPLSVPN是以标签交换为底层转发机制的协议。（2）加密方式不同现代通信网络管理 讲课：康松林（中南大学）443.5IPS和和IDS技术技术 入侵检测系统（IDS）是用于检测任何损害或企图损害系统的机密性、完整性或可用性等行为的一种网络安全技术。它通过监视受保护系统的状态和活动采用异常检测或误用检测的方式，发现非授权或恶意的系统及

24、网络行为，为防范入侵行为提供有效手段。是由硬件和软件组成，用来检测系统或网络以发现可能的入侵或攻击的行为。现代通信网络管理 讲课：康松林（中南大学）453.5IPS和和IDS技术技术 入侵检测系统分为以下3类：（1）基于网络的入侵检测系统NIDS（2）基于主机的入侵检测系统（3）分布式入侵检测系统现代通信网络管理 讲课：康松林（中南大学）463.5IPS和和IDS技术技术 UTM设备具备以下特点：（1）网络安全协议层防御。（2）通过分类检测技术降低误报率。（3）有高可靠性、高性能的硬件平台支撑。（4）一体化的统一管理。现代通信网络管理 讲课：康松林（中南大学）473.6访问访问控制控制访问控制

25、是指为了限制访问主体对访问客体的访问权限。访问主体也称为发起者，是一个主动的实体，如用户、进程、服务等。访问客体是指需要保护的资源，如信息资源、处理资源、通信资源和物理资源等。现代通信网络管理 讲课：康松林（中南大学）483.6访问访问控制控制常用的访问控制模型有：（1）自主访问控制（Discretionaryaccesscontrol，简称DAC）（2）强 制 访 问 控 制 模 型（Mandatory accesscontrolModel，简称MAC）（3）基于角色的访问控制模型现代通信网络管理 讲课：康松林（中南大学）493.7存储存储和备份和备份备份简单地说就是保留一套后备系统，保存数

26、据的副本，做到有备无患。数据的恢复就是将数据恢复到事故之前的状态。数据恢复总是与备份相对应，实际上可以看成备份操作的逆过程。备份是恢复的前提，恢复是备份的目的，无法恢复的备份是没有意义的。现代通信网络管理四四、网络安全管理体系的建立与网络安全管理体系的建立与维护维护现代通信网络管理 讲课：康松林（中南大学）514.1 物理物理安全安全保证计算机信息系统各种设备的物理安全是整个计算机信息系统安全的前提，物理安全是保护计算机网络设备、设施以及其它媒体免遭地震、水灾、火灾等环境事故以及人为操作失误或错误及各种计算机犯罪行为导致的破坏过程。主要包括三个方面：（1）环境安全（2）设备安全（3）媒体安全现

27、代通信网络管理 讲课：康松林（中南大学）524.2网络结构网络结构和网络系统安全和网络系统安全1网络结构安全系统是建立在网络系统之上的，网络结构的安全是安全系统成功建立的基础。在整个网络结构的安全方面，主要考虑网络结构、系统和路由优化。网络结构的建立要考虑环境、设备配置与应用情况、远程联网方式、通信量的估算、网络维护管理、网络应用与业务定位等因素。网络结构的优化，在网络拓扑上主要考虑到冗余链路；防火墙的设置和入侵检测的实时监控等。现代通信网络管理 讲课：康松林（中南大学）534.2网络结构网络结构和网络系统安全和网络系统安全2网络系统安全（1）访问控制及内外网的隔离（2）网络安全检测（3）审计

28、与监控（4）网络防病毒（5）网络备份系统现代通信网络管理 讲课：康松林（中南大学）544.2网络结构网络结构和网络系统安全和网络系统安全网络安全检测需要实现的目标具体体现在以下方面：防火墙得到合理配置内外WEB站点的安全漏洞减为最低网络体系达到强壮的耐攻击性各种服务器操作系统，如WEB服务器、应用服务器，将受黑客攻击的可能降为最低对网络访问做出有效响应，保护重要应用系统数据安全不受黑客攻击和内部人员误操作的侵害。现代通信网络管理 讲课：康松林（中南大学）554.2网络结构网络结构和网络系统安全和网络系统安全检测工具应具备以下功能：具备网络监控、分析和自动响应功能找出经常发生问题的根源所在；建立

29、必要的循环过程确保隐患时刻被纠正；控制各种网络安全危险。漏洞分析和响应配置分析和响应漏洞形势分析和响应认证和趋势分析现代通信网络管理 讲课：康松林（中南大学）564.3系统安全系统安全系统安全是各种应用程序的基础，系统的安全主要是指操作系统、应用系统的安全性以及网络硬件平台的可靠性。信息的安全性是建立在操作系统和应用系统以及网络硬件平台的基础上的，如果它们自身存在漏洞或隐蔽通道，就有可能使用户的访问绕过安全机制，使安全措施形同虚设。因此系统自身的安全性非常重要。系统安全研究的主要内容包括安全操作系统的模型和实现、操作系统的安全加固、操作系统的脆弱性分析、操作系统与其它开发平台的安全关系等。现代

30、通信网络管理 讲课：康松林（中南大学）574.3系统安全系统安全对于操作系统的安全防范可以采取如下策略：对操作系统进行安全配置，提高系统的安全性；系统内部调用不对Internet公开；关键性信息不直接公开，尽可能采用安全性高的操作系统。现代通信网络管理 讲课：康松林（中南大学）584.3系统安全系统安全应用系统在开发时，采用规范化的开发过程，尽可能的减少应用系统的漏洞。1采用高效的认证机制2采用严格的权限管理机制3采用完善的日志管理机制4采用应用软件监测机制现代通信网络管理 讲课：康松林（中南大学）594.4信息信息安全安全保证数据安全和用户安全。1数据安全数据是信息的直接表现形式，数据安全的

31、重要性则不言而喻。数据安全主要关心数据在存储和应用过程中是否会被非授权用户有意破坏，或被授权用户无意破坏。数据通常以数据库或文件形式来存储，因此，数据安全主要是数据库或数据文件的安全问题。数据库系统或数据文件系统在管理数据时采取什么样的认证、授权、访问控制及审计等安全机制，达到什么安全等级，机密数据能否被加密存储等，都是数据的安全问题。数据安全研究的主要内容有：安全数据库系统、数据存取安全策略和实现方式等。现代通信网络管理 讲课：康松林（中南大学）604.4信息信息安全安全2用户安全用户安全问题有两层含义：一方面，合法用户的权限是否被正确授权，是否有越权访问，是否只有授权用户才能使用系统资源。

32、如，一个普通的合法用户可能被授予了管理员的身份和权限。另一方面，被授权的用户是否获得了必要的访问权限，是否存在多业务系统的授权矛盾等。用户安全研究的主要内容有：用户账户管理、用户登录模式、用户权限管理、用户的角色管理等。现代通信网络管理 讲课：康松林（中南大学）614.5应用应用安全安全在应用安全上，主要考虑通信的授权，传输的加密和审计记录。这必须加强登录过程的认证（特别在到达服务器主机之前的认证），确保用户的合法性；其次应该严格限制登录者的操作权限，将其完成的操作限制在最小的范围内。另外，在加强主机的管理上，除了访问控制和系统漏洞检测外，还可以采用访问存取控制，对权限进行分割和管理。应用安全

33、平台要加强资源目录管理和授权管理、传输加密、审计记录和安全管理。对应用安全，主要考虑确定不同服务的应用软件并紧密注视其Bug。现代通信网络管理五、五、网络安全部署和配置案例网络安全部署和配置案例1 1现代通信网络管理 讲课：康松林（中南大学）635.1 防火墙防火墙产品的部署产品的部署某公司网络采用典型的三层结构，核心和汇聚层都是采用CISCO交换机设备，接入层使用DLINK交换机，服务器直接接在核心交换机上面，终端除了工作站以外还部署了IP电话系统，具体部署拓扑图如图6-1所示。现代通信网络管理 讲课：康松林（中南大学）645.1 防火墙防火墙产品的部署产品的部署现代通信网络管理 讲课：康松

34、林（中南大学）655.1 防火墙防火墙产品的部署产品的部署1NetScreen防火墙及其特点在路由器与核心交换机之间部署NetScreen防火墙，具体部署拓扑图如图6-1所示。NetScreen防火墙提供了可扩展的网络安全解决方案，适用于包括宽带移动用户、大中型企业，电子商务网站。它采用实时检测技术，可以防止入侵者和拒绝服务(denial-of-service)的攻击。NetScreen防火墙的ScreenOS软件是ICSA认证的实时检测防火墙。现代通信网络管理 讲课：康松林（中南大学）665.1 防火墙防火墙产品的部署产品的部署1NetScreen防火墙及其特点具有以下3个特点：（1）全功能

35、解决方案，采用安全优化的硬件、操作系统和防火墙，比拼凑而成的软件类方案提供更高级的安全水平。（2）强大的攻击防御能力，包括SYN攻击、ICMP泛滥、端口扫描(PortScan)等攻击防御能力，配备硬件加速的会话斜率(sessionramprates)性能，即使在最关键性的环境下也可以提供安全保护。（3）提供网络地址翻译(NAT)、端口地址翻译(PAT)-隐藏内部、无法路由的IP地址。请确认有无问题没问题现代通信网络管理 讲课：康松林（中南大学）675.1 防火墙防火墙产品的部署产品的部署2虚拟专用(VPN)所有NetScreen安全设备中都整合了一个全功能VPN解决方案，支持端到端VPN及远程

36、接入VPN应用。（1）通过VPNC测试，与其他通过IPSec认证的厂商设备兼容。（2）采用DES和AES加密使用数字证书(PKIX.509)，自动的或手动的IKE。（3）实现了SHA-1和MD5认证。（4）同时支持网状式(mesh)及集中星型(hub andspoke)的VPN网络，可按VPN部署的需求，配置用其一或整合两种网络拓扑。现代通信网络管理 讲课：康松林（中南大学）685.1 防火墙防火墙产品的部署产品的部署3流量管理实时监视、分析和分配各类网络流量使用的带宽，有助确保在用户上网浏览时或在执行其他非关键性应用时而不会影响关键性业务的流量。（1）根据IP地址、用户、应用或时间段进行管理

37、。（2）设定保障带宽和最大带宽。（3）以八种优先等级，为流量分配优先权。（4）支持符合行业标准的diffserv数据包标记，允许NetScreen安全设备在MPLS的环境下运行。现代通信网络管理 讲课：康松林（中南大学）695.1 防火墙防火墙产品的部署产品的部署4强大的ASIC功能NetScreen防火墙的安全机制采用ASIC，在硬件中处理防火墙访问策略和加密算法，这方面运算的速度是软件类方案不能相比的；同时它还可以省出中央处理器资源用于管理数据流。现代通信网络管理 讲课：康松林（中南大学）705.1 防火墙防火墙产品的部署产品的部署5设备的可靠性和安全性NetScreen防火墙将所有功能集

38、成于单一硬件产品中，它不仅易于安装和管理，而且能够提供更高可靠性和安全性。采用NetScreen防火墙设备，只需要对防火墙、VPN和流量管理功能进行配置和管理，减轻了配置另外的硬件和操作系统。现代通信网络管理 讲课：康松林（中南大学）715.2 防防病毒产品的部署病毒产品的部署防病毒产品采用趋势科技的客户机防护产品OfficeScanCorporateEdition6.5、服务器防护产品ServerProtect、网络防病毒墙NVW2500以及集中式管理控制中心。1客户机防护客户机防护采用趋势科技防毒墙网络版6.5 OfficeScanCorporateEdition6.5。现代通信网络管理

39、讲课：康松林（中南大学）725.2 防防病毒产品的部署病毒产品的部署1客户机防护它具有如下特点：（1）支持防护策略的自动/手动配置：有效控制病毒扩散（通过主控服务器，在设定的时间段内，关闭所有客户机的共享文件，特定端口，保护文件或文件夹不被病毒修改）；（2）集成网络版防火墙：通过Officescan服务器端统一配置和管理每个计算上安装的网络版网络墙；（3）集成专杀工具：病毒专杀工具和客户端防病毒软件无缝集成，专杀工具的扫描引擎和病毒码可以自动更新，完全摆脱传统防病毒软件需要独立使用专杀工具，并且每一个病毒都有特定的专杀工具，造成数量巨大；现代通信网络管理 讲课：康松林（中南大学）735.2 防

40、防病毒产品的部署病毒产品的部署1客户机防护它具有如下特点：（4）安全的通信机制：Officescan服务器和客户机的通讯不依赖ICMP（Ping），而采用WinsockAPI的方式；（5）移动管理界面：HTTPBase具有Web管理功能，可以跨WAN进行管理；（6）实时更新病毒日志：方便而简单的配置管理与实时报告；（7）自动更新：先进的自动更新技术，无须管理员与用户的手动操作，不需要重新启动；支持客户端自行上互联网更新防毒组件；现代通信网络管理 讲课：康松林（中南大学）745.2 防防病毒产品的部署病毒产品的部署1客户机防护它具有如下特点：（8）灵活的更新代理设置：通过设定网络中任意计算机做为

41、病毒码更新源，将其它计算机指定到该计算机更新，以节省网络带宽。对低带宽网络环境特别有效；（9）检测为安装防病毒软件的计算机：支持网段扫描侦测尚未安装OfficeScan的用户机，杜绝防毒漏洞；（10）强大的数据库管理：支持将纪录数据导入SQL服务器方便数据分析与管理；（11）灵活的客户端迁移：支持在客户端可以在不同的OfficeScan服务器中转移，不需重新安装；现代通信网络管理 讲课：康松林（中南大学）755.2 防防病毒产品的部署病毒产品的部署1客户机防护它具有如下特点：（12）预扫描系统病毒：软件安装时可对病毒进行预处理；（13）定位病毒源头病毒：客户机的排行榜功能，帮助网管了解毒源、善

42、后处理、报告领导；（14）POP3病毒邮件的查杀；（15）支持多种WebServer:IIS和Apache;现代通信网络管理 讲课：康松林（中南大学）765.2 防防病毒产品的部署病毒产品的部署2服务器防护服务器防护采用趋势科技防毒墙服务器版 ServerProtect。趋势科技的ServerProtect可以对Windows2000/NT、NovellNertWare或LinuxRedhat网络上的档案服务器，提供全面性的病毒防护。现代通信网络管理 讲课：康松林（中南大学）775.2 防防病毒产品的部署病毒产品的部署2服务器防护它具有如下特点：（1）防毒软件可通过单一的主控台来管理。（2）安

43、装时可以依照网域分组，同时替多部服务器进行安装。（3）利用集中式报表，管理人员可以监看整个网络的状态。（4）通过TaskManager，管理人员可以轻松地完成各种病毒维护工作，例如设定扫毒模式、更新病毒码和程序、编辑病毒报告，以及设定实时扫描的参数等现代通信网络管理 讲课：康松林（中南大学）785.2 防防病毒产品的部署病毒产品的部署2服务器防护它具有如下特点：（5）反复扫描经过多层压缩的档案，支持的格式包括ARJ、Diet、LZEXE、LZH、PKLITE、PKZIP、MicrosoftCompress，以及UUENCODE和MIME等邮件附件格式。（6）自动下载和分发病毒码、扫毒引擎和程序

44、文件（7）支持MPLSVPN和IPSec等VPN。现代通信网络管理 讲课：康松林（中南大学）795.2 防防病毒产品的部署病毒产品的部署3网络防毒墙（Networkviruswall）TrendMicroTMNetworkVirusWallTM是基于网络层，针对网络病毒防御的硬件防护设备，可协助公司企业防制Internet蠕虫之类的网络病毒，在爆发病毒疫情时隔绝高危险的网络脆弱环节，在网络层部署由趋势科技提供的安全防御策略，并能在缺乏防毒保护的设备等潜在感染源连接网络时，予以隔离和清除。现代通信网络管理 讲课：康松林（中南大学）805.2 防防病毒产品的部署病毒产品的部署3网络防毒墙（Netw

45、orkviruswall）它主要功能包括：（1）病毒爆发防护服务（2）网络病毒扫描（3）网络病毒爆发监控（4）隔离病毒爆发的那些特定网段（5）损害清除服务DamageCleanupService，主动并且自动清除被病毒感染的系统（6）强制策略。现代通信网络管理 讲课：康松林（中南大学）815.2 防防病毒产品的部署病毒产品的部署4中央控管体系中央控管体系采用趋势科技中央控管产品TrendMicroControlManager。趋势科技TMCM是一个管理控制台，为部署在网络中的趋势科技防毒和内容安全产品和服务提供集中的管理和保证它们在整个企业范围内的协调运行。现代通信网络管理 讲课：康松林（中南

46、大学）825.2 防防病毒产品的部署病毒产品的部署4中央控管体系它的主要功能如下：（1）通过TMCM可实现对防毒软件的病毒代码、扫描引擎、升级程序、预防策略、垃圾邮件列表的集中分发、管理。（2）可实现对病毒侵入情况、各系统防毒情况、防毒软件的工作情况等的集中监控。并且由于TMCM采用Web管理方式，使得管理人员可以通过任何一台联网的计算机方便地访问TMCM，减轻了管理人员的负担。现代通信网络管理 讲课：康松林（中南大学）835.2 防防病毒产品的部署病毒产品的部署4中央控管体系它的主要功能如下：（3）可实现对所有防毒软件集中管理、集中设置、集中维护。（4）可集中反映整个系统内的病毒入侵情况，设

47、置各种消息通报方式，对病毒的爆发进行报警。（5）漏洞扫描和防御（6）病毒发作防御（7）评估与恢复现代通信网络管理 讲课：康松林（中南大学）845.3入侵入侵检测和防护产品的部署检测和防护产品的部署入侵检测和防护产品IDP部署在防火墙与核心交换机之间。IDP的实施过程是一个较为复杂的过程，涉及网络业务内容、攻击类型、安全级别等多方面的因素。因此 对 IDP设 备 的 实 施 不 是 一 个 简 单 的 过 程，NetScreen建议采用一个三段式实施。现代通信网络管理 讲课：康松林（中南大学）855.3入侵入侵检测和防护产品的部署检测和防护产品的部署1第一阶段，嗅探模式在这个阶段，将在网络中实施

48、嗅探模式的IDP系统。此时IDP起到一个被动入侵监测系统的作用。安装一个管理主机和管理接口软件，并且装入能够立即开始生成安全日志的安全策略，以便随时回顾日志记录。现代通信网络管理 讲课：康松林（中南大学）865.3入侵入侵检测和防护产品的部署检测和防护产品的部署1第一阶段，嗅探模式可以完成：（1）安装、配置IDP组件（IDP传感器、管理主机、用户接口软件）（2）安装IDP用户接口软件，然后用对象编辑器将IDP传感器当作一个网络对象加入到网络当中。（3）根据实施向导，检查、加载初始安全策略现代通信网络管理 讲课：康松林（中南大学）875.3入侵入侵检测和防护产品的部署检测和防护产品的部署2第二阶

49、段，微调在第二个实施阶段，将开始定制安全策略以减少误报、漏报率，检测到真正的针对网络的攻击。在这个阶段将会开始理解网络流量的种类，并学习识别良性和恶意的行为。现代通信网络管理 讲课：康松林（中南大学）885.3入侵入侵检测和防护产品的部署检测和防护产品的部署2第二阶段，微调可以完成：（1）使 用 Log Viewer，Log Investigator和 IDPReports观察日志纪录。（2）通过修改IDP的Main规则库，识别攻击，并减少错报、漏报。（3）通过生成报警、设置email通知等方法识别出真正的针对网络的攻击，并进行响应。（4）使用多手段检测方法预防攻击。现代通信网络管理 讲课：康

50、松林（中南大学）895.3入侵入侵检测和防护产品的部署检测和防护产品的部署3第三阶段，线内模式在实施的最后一个步骤，将IDP从被动的嗅探模式迁移到主动的线内模式，以便使之能够在恶意流量到达网络之前将它们丢掉。现代通信网络管理 讲课：康松林（中南大学）905.3入侵入侵检测和防护产品的部署检测和防护产品的部署3第三阶段，线内模式可以完成：（1）重新配置IDP系统使之工作在线内模式。（2）检查日志记录，看看IDP发现了什么，警告了什么。（3）在IDP规则库中将“DROP”指令加入到规则中现代通信网络管理六、六、网络安全部署和配置案例网络安全部署和配置案例2 2现代通信网络管理 讲课：康松林（中南大