返回
网络安全架构设计和网络安全设备的部署.pdf

网络安全架构设计和网络安全设备的部署.pdf

ID:52978239

大小:3.32 MB

页数:43页

时间:2020-04-05

网络安全架构设计和网络安全设备的部署.pdf_第1页
网络安全架构设计和网络安全设备的部署.pdf_第2页
网络安全架构设计和网络安全设备的部署.pdf_第3页
网络安全架构设计和网络安全设备的部署.pdf_第4页
网络安全架构设计和网络安全设备的部署.pdf_第5页
资源描述:

《网络安全架构设计和网络安全设备的部署.pdf》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、网络安全架构设计和网络安全设备的部署信息安全模型P访问控制机制安全策略PD安全模型入侵检测机制MP2DRR管理MRR备份与恢复机制安全响应机制攻击的发展趋势FileServerWebServer混合型攻击:蠕虫WebServerWorkstation防病毒ViaWebPageViaEmail防火墙Workstation入侵检测风险管理WorkstationInternetMailServerMailGateway混合型、自动的攻击立体防御FileServerWebServer混合型攻击:蠕虫WebServerWorkstation防病毒ViaWebPa

2、geViaEmail防火墙入侵检测Workstation风险管理WorkstationInternetMailServerMailGateway混合型、自动的攻击网络安全防护产品防火墙、防水墙WEB防火墙、网页防篡改入侵检测、入侵防御、防病毒统一威胁管理UTM身份鉴别、虚拟专网加解密、文档加密、数据签名物理隔离网闸、终端安全与上网行为管理内网安全、审计与取证、漏洞扫描、补丁分发安全管理平台灾难备份产品防火墙安全策略内部工作子网与外网的访问控制WWWMailDNS内部WWWDMZ区域一般子网边界路由器Internet合法请求则允发起访

3、问请求许对外访问管理子网Internet区域进行访合法请求问规则发起访问请求则允许对检查重点子网外访问将访问记录防火墙在此处的功能:写进日志文1、工作子网与外部子网的物理隔离件2、访问控制3、对工作子网做NAT地址转换内部工作子网4、日志记录内部子网与DMZ区的访问控制WWWMailDNSDMZ区域内部WWW一般子网发起访问请求合法请求则允许对外访问边界路由器Internet禁止对工管理子网作子网发Internet区域发起访问起连结请进行访请求求问规则检查重点子网将访问记录写进日志文内部工作子网件DMZ区域与外网的访问控制WWWMailDNS内部WWW

4、DMZ区域一般子网发起访问请求合法请求则允许对外访问边界路由器Internet管理子网Internet区域禁止对外进行访发起连结问规则发起访问请求重点子网请求检查防火墙在此处的功能:1、DMZ网段与外部子网的物理隔离内部工作子网2、访问控制将访问记录3、对DMZ子网做MAP映射写进日志文4、日志记录件防火墙的不足防火墙并非万能,防火墙不能完成的工作:源于内部的攻击不通过防火墙的连接完全新的攻击手段不能防病毒防火墙的局限性防火墙不能防止通向站点的后门。防火墙一般不提供对内部的保护。防火墙无法防范数据驱动型的攻击。防火墙本身的防攻击能力不

5、够,容易成为被攻击的首要目标。防火墙不能根据网络被恶意使用和攻击的情况动态调整自己的策略。什么是VPNVPN(VirtualPrivateNetwork)是通过internet公共网络在局域网络之间或单点之间安全地传递数据的技术分支机构远程局域网络VPN总部GatewayInternetVPN总部Gateway网络单个用户ISPModemsVPN可以省去专线租用费用或者长距离电话费用,大大降低成本VPN可以充分利用internet公网资源,快速地建立起公司的广域连接传统VPN联网方式VPN设备公共网络VPN设备公司总部VPN设备VPN通道办事处

6、/SOHOVPNclientVPN解决方案合作伙伴内部网远程访问虚拟私有网Internet分支机构基于PPTP/L2TP的拨号VPN1.1.1.12.2.2.23.3.3.3Dial-UpNATPool10.1.1.0/24•在Internal端网络定义远程地址池10.1.1.1---10.1.1.10•每个客户端动态地在地址池中为VPN会话获取地址•客户端先得拨号(163/169)得到一个公网地址,然后和公司的防火墙设备利用PPTP/L2TP协议进行VPN的建立•建立VPN的用户可以访问公司内部网络的所有资源,就象在内部网中一样•客户端不需要附加软件

7、的安装,简单方便SSLVPNSSLVPN是解决远程用户访问敏感公司数据最简单最安全的解决技术。与复杂的IPSecVPN相比,SSL通过简单易用的方法实现信息远程连通。任何安装浏览器的机器都可以使用SSLVPN,这是因为SSL内嵌在浏览器中,它不需要象传统IPSecVPN一样必须为每一台客户机安装客户端软件。入侵检测系统IDS入侵预防系统也像入侵侦查系统一样,专门深入网路数据内部,查找它所认识的攻击代码特征,过滤有害数据流,丢弃有害数据包,并进行记载,以便事后分析。除此之外,更重要的是,大多数入侵预防系统同时结合考虑应用程序或网路传输中的异常情况,

8、来辅助识别入侵和攻击。比如,用户或用户程序违反安全条例、数据包在不应该出现的时段出现、作业系

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。