資源描述:
《《網(wǎng)絡(luò)安全方案分析》ppt課件》由會員上傳分享�,免費在線閱讀,更多相關(guān)內(nèi)容在教育資源-天天文庫�����。
1�����、典型網(wǎng)絡(luò)安全方案設(shè)計本項目主要從當前網(wǎng)絡(luò)安全的狀況做出安全需求分析�,并結(jié)合網(wǎng)絡(luò)安全的評價標準以及網(wǎng)絡(luò)安全防御體系的一般結(jié)構(gòu)來制定相關(guān)網(wǎng)絡(luò)(如校園網(wǎng)���、企業(yè)網(wǎng)�、政府網(wǎng)等)的安全方案規(guī)劃��。最后��,對后續(xù)的網(wǎng)絡(luò)安全實驗進行設(shè)計并建立一個虛擬的實驗環(huán)境��。校園網(wǎng)絡(luò)安全方案設(shè)計校園網(wǎng)安全現(xiàn)狀目前���,校園網(wǎng)在學(xué)校的辦公系統(tǒng)中起著重要作用�����,合理的使用不僅能促進各院校的現(xiàn)代化教學(xué)改革�、提高教學(xué)質(zhì)量、改善教學(xué)環(huán)境����,還將會極大的提高教育行業(yè)整體的工作效率和教育質(zhì)量,而前提就是校園網(wǎng)必須是穩(wěn)定的���、安全的和可靠的��。因此���,校園網(wǎng)安全方案的設(shè)計尤為重要。���。校園網(wǎng)安全需求分析校園網(wǎng)總體上分為校園內(nèi)網(wǎng)和校園外網(wǎng)����。校園內(nèi)網(wǎng)主
2���、要包括教學(xué)局域網(wǎng)����、圖書館局域網(wǎng)、辦公自動化局域網(wǎng)等��。校園外網(wǎng)主要指學(xué)校提供對外服務(wù)的服務(wù)器群��、與CERNET的接入以及遠程移動辦公用戶的接入等���。但具體還要根據(jù)不同校園網(wǎng)的實際情況來做簡要分析。一般情況下����,校園網(wǎng)安全主要可以從以下5個方面進行分析:(1)物理安全。是指保護校園網(wǎng)內(nèi)計算機設(shè)備��、網(wǎng)絡(luò)設(shè)備及通信線路�,使其免遭自然災(zāi)害及其它環(huán)境事故(如電磁污染)的破壞。(2)網(wǎng)絡(luò)安全�����。是指校園網(wǎng)安全建設(shè)的基礎(chǔ)���,完善的網(wǎng)絡(luò)安全防御措施可以解決大多數(shù)的校園網(wǎng)安全問題����,包括基礎(chǔ)網(wǎng)絡(luò)安全、邊界防護����、遠程接入和全局安全。(3)主機安全��。校園網(wǎng)內(nèi)�����,主機的安全問題最為常見�����,也是其他安全問題源頭�,主機安全涉及
3、到統(tǒng)一身份認證�,主機安全防護體系。通過校園網(wǎng)統(tǒng)一身份認證和校園網(wǎng)主機安全防護體系來全面實現(xiàn)校園網(wǎng)的主機安全目標�����。(4)應(yīng)用安全。校園網(wǎng)的應(yīng)用安全是最為復(fù)雜的部分��,涵蓋的內(nèi)容涉及到了業(yè)務(wù)應(yīng)用的各個層面���。(5)數(shù)據(jù)安全���。數(shù)據(jù)是當前高校信息化建設(shè)中最寶貴的資源,其重要性已經(jīng)得到越來越高的重視�����。校園網(wǎng)的安全建設(shè)中�,數(shù)據(jù)安全是一個不可忽視的方面。數(shù)據(jù)的遺失或損壞對于學(xué)校而言����,其后果不可想象�����。校園網(wǎng)安全功能設(shè)計1.設(shè)計原則為了建設(shè)全方面的�、完整的校園網(wǎng)絡(luò)安全體系結(jié)構(gòu),綜合考慮可實施性�����、可管理性、可擴展性�����、綜合完備性和系統(tǒng)均衡性等方面���,網(wǎng)絡(luò)安全防御體系在整體設(shè)計過程中應(yīng)遵循以下5項原則:(1)保密
4�����、性:防止信息泄露給非授權(quán)用戶的特性�����。達到保密性可選擇VLAN的劃分��,并能在VLAN之間進行第三層交換時進行有效的安全控制����,以保證系統(tǒng)的安全性����;(2)完整性:防止信息在存儲或傳輸過程中被修改�����、破壞和丟失的特性�����。達到完整性采用VPN技術(shù)�����,用它的專用通道進行通信保證了信息的完整性����;(3)可用性:就是易于操作�����、維護���,并便于自動化管理。達到可用性可以利用圖形化的管理界面和簡潔的操作方式�,合理地網(wǎng)絡(luò)規(guī)劃策略,提供強大的網(wǎng)絡(luò)管理功能,使日常的維護和操作變得直觀���,便捷和高效���;(4)可控性:就是對信息的傳播及內(nèi)容具有控制能力。達到可控性對于網(wǎng)絡(luò)管理來說����,要求采用智能化網(wǎng)絡(luò)管理軟件,并支持虛擬網(wǎng)絡(luò)功能���,
5��、對網(wǎng)絡(luò)用戶具有分類控制功能����,從而來實現(xiàn)對網(wǎng)絡(luò)的自動監(jiān)測和控制�;(5)擴展性:就是便于系統(tǒng)及系統(tǒng)功能的擴展。達到擴展性對選擇的網(wǎng)絡(luò)設(shè)備最好是模塊化的�,便于網(wǎng)絡(luò)的擴大和更改,其中核心交換機應(yīng)具有多種模塊類型��,以滿足各種網(wǎng)絡(luò)類型的接入����,所選擇的設(shè)備都應(yīng)具有良好的軟件再升級能力��。���。3.功能模塊及設(shè)備需求分析1)主要功能模塊(1)交換機安全模塊主要實現(xiàn)的功能:IP與MAC的綁定、VLAN的劃分����、端口的安全和訪問控制列表(ACL);(2)防火墻模塊:包過濾����、地址轉(zhuǎn)換(NAT);(3)VPN模塊:建立專用通道IPSECVPN和SSLVPN�;(4)DMZ區(qū)域模塊:IDS與防火墻的聯(lián)動。2)設(shè)備需求方
6����、案主要設(shè)備如表11-3所示。(1)三層交換機的主要功能包括:高背板帶寬為所有的端口提供非阻塞性能���、靈活完備的安全控制策略�����、強大的多應(yīng)用支持能力和完善的QoS策略等���。(2)防火墻的主要功能包括:擴展的狀態(tài)檢測功能、防范入侵及其它(如URL過濾����、HTTP透明代理、SMTP代理���、分離DNS���、NAT功能和審計/報告等)附加功能。(3)入侵檢測系統(tǒng)主要功能包括:能夠阻止來自外部或內(nèi)部的蠕蟲����、病毒和攻擊帶來的安全威脅,確保企業(yè)信息資產(chǎn)的安全���,能夠檢測各種IM即時通訊軟件����、P2P下載等網(wǎng)絡(luò)資源濫用行為�,保證重要業(yè)務(wù)的正常運轉(zhuǎn)��,能夠高效�、全面的事件統(tǒng)計分析���;能迅速定位網(wǎng)絡(luò)故障�,提高網(wǎng)絡(luò)穩(wěn)定運行時間�。
7、(4)VPN的主要功能包括:嚴格的身份認證���、權(quán)限管理��、細粒度控制����、傳輸加密和終端安全檢查等機制保障移動用戶SSL安全接入可實現(xiàn)用戶身份和PC硬件信息的對應(yīng)���;通過人機捆綁可以為遠程用戶分配內(nèi)部IP地址�;真正實現(xiàn)遠程局域網(wǎng)可以為遠程移動用戶分配內(nèi)部服務(wù)器地址����;真正實現(xiàn)移動辦公通過證書管理器為用戶生成證書、私鑰��,可通過郵件通知用戶自己到證書管理器上下載軟件安裝包和配置文件,用戶只需在本地安裝就可實現(xiàn)快速部署��。校園網(wǎng)安全模塊詳細設(shè)計1.交換模塊安全設(shè)計與實施為了更
