补充网络安全规划.pptxVIP

补充：网络安全规划ISSUE2007。9

学习目标2logo明确网络安全规划的基本原则掌握网络安全的配置要点学习完本课程，您应该能够：

3课程内容 基本原则控制策略安全组网安全防御管理审计

网络安全规划的基本原则4网络安全是一个复杂的体系结构网络安全是一个相对的概念网络安全部署通常会带来副作用在网络的安全和性能之间找到恰当的平衡点！

课程内容501基本原则02安全组网03安全防御04管理审计05控制策略

控制策略－－认证授权（WLAN接入）6在WLAN中，当无法从物理上控制访问者的来源时，务必要使用相应的鉴权及认证手段进行识别服务：在AP上禁止ESSID广播MAC过滤对接入用户进行802.1x身份认证使用加密无线信道

控制策略－－认证授权（以太网接入）7对于来源不可靠的以太网接入使用802.1x认证配合CAMS进行。支持防代理上网，提供运营商带宽安全使用EAD（端点准入防御）技术，隔离可能危险用户

8控制策略－－认证授权（RADIUSAAA）通过RADIUS实现AAA认证，可以对各种接入用户统一集中进行认证和授权采用HWTACACS协议代替RADIUS实现对验证报文主体全部进行加密支持对路由器上的配置实现分级授权使用认证服务器Modem接入ADSL接入LAN接入WLAN接入

移动用户客户端SECPoint的远程接入验证控制策略－－认证授权（移动客户）9传统用户名＋密码方式双因素认证SecKEYPKI/CA体系验证方式01.02.03.04.

控制策略－－业务隔离（以太网接入）10普通二层以太网网络中采用VLAN进行隔离。01小区以太网接入应用中在接入层交换机上配置Isolate-user-VLAN，禁止接入用户之间互访。02建议在接入交换机接入端口配置广播抑制门限03

控制策略－－业务隔离（ACLVPN）采用访问控制列表ACL进行L1层～L4层隔离对于大型网络中可以使用MPLSVPN技术，实现在一张基础网络下多种业务间的复杂隔离需求。0102

控制策略－－网络设备访问权限12No.1所有的网络设备必须配置super密码，telnet的口令及密码，并定期修改。No.2考虑使用SSH方式登录，保证远程登录设备安全。同时禁止telnet服务。

路由欺骗防止控制策略－－路由安全13如果RIP和OSPF等动态路由协议在某些接口上（通常是以太网口）启动协议的目的仅仅是为了发布路由，而无需建立邻居，则务必将这些接口设置为silent-interface对于OSPF等在接口上支持MD5验证的路由协议，不建议配置MD5验证

课程内容1401基本原则02安全组网03控制策略04安全防御05管理审计

安全组网－－安全传输15安全传输当数据在网络传输的过程中无法确保安全时通常需要使用一定的安全技术。加密技术IPSec应用为IP协议组提供了网络层的安全能力，发送主机对IP报文进行加密，目的端点对源端点进行身份验证。可以确保报文的完整性和隐秘性。WLAN的报文传输过程可以使用WEP、WAP等加密手段确保报文的安全传送。采用WAP可以支持更长的加密密钥、避免采用静态加密密钥4132lqfqfh%^$$财务报告销售额:1860$利润:360$加密密钥

安全组网－－VPN16出差员工报文在传输的过程中将其封装在隧道里，使其对沿途经过的设备不可见，从而保证其安全性。常用对安全性要求不高的简单环境。L2TP、GRE利用同IPSEC安全协议配合，实现安全必威体育官网网址的VPNInternet总部合作伙伴

课程内容17STEP4STEP3STEP2STEP1安全组网安全防御管理审计基本原则控制策略

安全防御－－网络防护18面对安全威胁响应的时间越来越短波及全球基础设施地区网络多个网络单个网络单个计算机破坏的对象和范围第一代引导型病毒周第二代宏病毒电子邮件DoS有限的黑客攻击天第三代网络DoS混合威胁(蠕虫+病毒+特洛伊木马)Turbo蠕虫广泛的系统黑客攻击分钟下一代基础设施黑客攻击瞬间威胁大规模蠕虫DDoS破坏有效负载的病毒和蠕虫秒20世纪80年代20世纪90年代今天未来人工响应，可能人工响应，很难

自动响应，有可能人工响应，不可能

自动响应，较难

主动阻挡，有可能

安全防御－－网络防护（续）19当内部网络与外部网络相连时，需要对内部网络进行必要的网络防护措施。即使在不需要与外网相连的情况下，也需要对内部网络中异常重要的服务器进行防护。网络防护主要通过防火墙设备来实施。防火墙DoS攻击黑客Internet

安全防御－－模型20受保护服务器受保护客户机内部网络可信任区外部网络不可信任区周边网络DMZ区WWW服务器MAIL服务器入侵检测服务器漏洞扫描服务器互联网接入服务器互联网连接路由器

安全防御－－包过滤防火墙210102030