网络安全方案设计.pptVIP

第11章网络平安方案设计

主要内容11.1网络安全方案概述111.2网络安全方案的框架211.3某企业网络安全解决案例32

11.1.1网络平安方案设计的目标 在设计网络平安方案时，一定要实地考察网络系统的环境，对当前可能遇到的平安风险和威胁做一个合理的量化和评估，只有这样才能设计出一份可观的解决方案。好的方案是一个网络工程工程中很重要的局部，也是网络工程实施的根底和前提。 网络平安方案设计的目标是实现动态平安，不会因为随着时间的推移和环境的变化而使得系统变得不平安，所以不仅需要考虑当前的状况，还要考虑到未来的需求，能为今后的网络升级准备好升级的接口。 没有一个网络是绝对平安的，即只有相对平安。而且现在相对平安的方案可能因为时间和空间的不断变化而出现平安问题，因此在设计方案时必须注意到这一点，并在方案中也应该告诉用户，只能做到防止风险，消除风险的根源，降低由于风险所带来的损失，而不能做到消灭风险。3

1网络平安方案设计的原那么1.系统性原那么 网络平安系统的建设需要有系统性和适应性，而且不能因为网络技术的开展、网络信息系统的攻防技术的深化和演变、系统升级和配置的变化而导致在系统的整个生命周期内的平安保障能力和抵御风险的能力降低。2.技术先进性原那么 技术先进性是网络平安系统设计必须考虑的原那么之一，只有选用先进、成熟的平安技术和设备，并在方案实施时采用先进可靠的工艺和技术，才能提高整个网络系统运行的可靠性和稳定性。4

1网络平安方案设计的原那么3.管理可控性原那么 网络系统的所有平安设备〔包括管理、维护和配置〕都应该自主可控，网络系统平安设备的采购也必须有严格的手续和相应机构的认证或许可标记，另外，平安设备的供给商也须具备相应的资质并具有可信度。4.适度平安性原那么 网络系统平安方案应该充分考虑被保护对象的价值与保护本钱之间的平衡性，在允许的风险范围内应该尽量减少平安效劳的规模和复杂性，使之具有可操作性，防止超出用户所能理解的范围，从而造成方案的执行困难，甚至无法执行。5

1网络平安方案设计的原那么5.技术和管理相结合原那么 网络系统平安建设是一个复杂的系统工程，它包括产品、过程和人的因素，因此它的平安解决方案必须在考虑技术解决方案的同时充分考虑管理、法律和法规方面的制约和调控作用。单靠技术或单靠管理都不可能真正解决平安问题，而必须坚持技术和管理相结合的原那么。6.测评认证原那么 平安方案的设计必须通过国家有关部门的评审，采用的平安产品和必威体育官网网址设备需经过国家主管部门的认可。7.系统可伸缩性原那么 企业的网络系统会随着网络和应用技术的开展而发生变化，同时信息平安技术也在开展，因此，网络平安系统的建设必须考虑系统的可升级性和可伸缩性。重要和关键的平安设备不因网络的变化而更换或废弃。6

1技术解决方案1.防火墙 防火墙是指设置在不同网络〔如可信任的企业内部网和不可信的公共网〕或网络平安域之间的一系列部件的组合。它是不同网络或网络平安域之间信息的唯一出入口，能根据企业的平安政策控制〔允许、拒绝、监测〕出入网络的信息流，且本身具有较强的抗攻击能力。它是提供信息平安效劳，实现网络和信息平安的根底设施。 防火墙在局域网中一般安装在局域网与路由器之间；在托管效劳器机房中一般安装在效劳器与托管机房局域网之间。7

1技术解决方案1)局域网防火墙的主要作用(1)实现单向访问，允许局域网用户访问Internet资源，但是严格限制Internet用户对局域网资源的访问；(2)通过防火墙，将整个局域网划分Internet，DMZ区，内网访问区这三个逻辑上分开的区域，有利于对整个网络进行管理；(3)局域网所有工作站和效劳器处于防火墙地整体防护之下，只要通过防火墙设置的修改，就能有限绝大局部防止来自Internet上的攻击，网络管理员只需要关注DMZ区对外提供效劳的相关应用的平安漏洞；(4)通过防火墙的过滤规那么，实现端口级控制，限制局域网用户对Internet的访问；(5)进行流量控制，确保重要业务对流量的要求；(6)通过过滤规那么，以时间为控制要素，限制大流量网络应用在上班时间的使用。8

1技术解决方案2)托管效劳器机房防火墙的主要作用(1)通过防火墙的过滤规那么，限制Internet用户对WWW效劳器的访问，将访问权限控制在最小的限度，在这种情况下，网络管理员可以忽略效劳器系统的平安漏洞，只需要关注WWW应用效劳软件的平安漏洞；(2)通过过滤规那么，对远程更新的时间、来源(通过IP地址)进行限制。9

1技术解决方案2.入侵检测与入侵防御 入侵检测〔IDS〕与入侵防御〔IPS〕设备一般局域网DMZ区以及托管效劳器机房效劳器区。1)入侵检测的作用 (1)作为旁路设备，监控网络中的信息，统计