计算机网络工程单元7-网络安全的设计与实施.pptx

1、单元2网络需求调查与分析单元1 网络工程与系统集成初识 目 录 单元3网络逻辑方案的设计单元5网络设备选型与配置单元4综合布线设计与施工单元6服务器与存储系统的构建单元8网络工程项目管理与验收单元7网络安全的设计与实施单元9综合案例目标导航网络安全设计网络安全系统的内容防火墙的设计与选型入侵检测系统的设计与选型XX学校的行政网络安全设计实例7.1 7.1 网络网络安全设计安全设计随着信息化进程的深入和互联网的快速发展，网络化已经成为企业信息化的发展大趋势，信息资源也得到最大程度的共享。但是，紧随信息化发展而来的网络安全问题日渐凸出，网络安全问题已成为信息时代人类共同面临的挑战，网络信息安全问题

2、成为当务之急，如果不很好地解决这个问题，必将阻碍信息化发展的进程。7.1 7.1 网络安全设计网络安全设计7.1.1 7.1.1 网络网络安全设计原则安全设计原则网络安全主要针对的是网络安全防范，在发生危险或问题之前进行阻挡。对于其设计原则主要遵循网络安全防范体系框架结构与网络安全防范体系层次来设计。1、安全攻击、安全机制和安全服务 ITU-T X.800标准将我们常说的“网络安全（networksecurity）”进行逻辑上的分别定义，即安全攻击（security attack）是指损害机构所拥有信息的安全的任何行为；安全机制（security mechanism）是指设计用于检测、预防安全

3、攻击或者恢复系统的机制；安全服务（security service）是指采用一种或多种安全机制以抵御安全攻击、提高机构的数据处理系统安全和信息传输安全的服务。2、网络安全防范体系框架结构三维安全防范技术体系框架结构7.1.1 7.1.1 网络安全设计原则网络安全设计原则3、网络安全防范体系层次（1）物理环境的安全性（物理层安全）（2）操作系统的安全性（系统层安全）（3）网络的安全性（网络层安全）（4）应用的安全性（应用层安全）（5）管理的安全性（管理层安全）7.1.1 7.1.1 网络安全设计原则网络安全设计原则4、网络安全防范体系设计准则（1）网络信息安全的木桶原则（2）网络信息安全的整体性

4、原则（3）安全性评价与平衡原则（4）标准化与一致性原则（5）技术与管理相结合原则（6）统筹规划，分步实施原则（7）等级性原则（8）动态发展原则（9）易操作性原则7.1.1 7.1.1 网络安全设计原则网络安全设计原则 1、计算机网络面临的威胁（1）信息泄漏或丢失（2）非授权访问（3）拒绝服务攻击（DDOS）（4）破坏数据完事性（5）利用网络传播病毒7.1.2 7.1.2 常用网络安全技术常用网络安全技术 2、网络安全的主要技术 （1）防火墙技术 防火墙技术是网络应用最广泛的技术，是在被保护的Internet 与Internet 之间设起的一道屏障，是用于增强Internet 的安全性，是网络访

5、问控制设备，用于确定哪些服务可以被Internet 上的用户访问，外部的哪些人可以访问内部的哪些服务以及哪些外部服务可以被内部人员访问。（2）数据加密技术 1）数据传输加密技术 2）数据存储加密技术 3）数据完整性鉴别技术 4）密钥管理技术7.1.2 7.1.2 常用网络安全技术常用网络安全技术 （3）虚拟专用户技术（VPN 技术）VPN 技术就是在公共网络上建立专用网络，使数据通过安全的“加密通道”在网络上传播，在公共网络上构建VPN 有路由过滤技术和隧道技术。目前VPN 技术主要采用四项技术来保障安全，分别是：隧道技术、加解密技术、密匙管理技术和使用者与设备身份认证技术等。（4）入侵检测系

6、统 入侵检测系统是一种积极主动的安全防护技术，提供了对内部入侵、外部入侵和失误操作的实时保护，能在网络系统受到危害之前拦截相应入侵，是当前网络安全技术研究的一个热点入侵检测系统的主要功能是能检测阻止内外部不发分子对系统的入侵，从而加以阻止、封闭。7.1.2 7.1.2 常用网络安全技术常用网络安全技术 （5）数字签名技术 数字签名（Digital Signature），就是附加在数据单元上的一些数据，或是对数据单元所作的密码变换。这种数据或变换允许数据单元的接收者用以确认数据单元的来源和数据单元的完整性并保护数据，防止被人（例如接收者）进行伪造。（6）认证技术 目前的认证技术有对用户的认证和对

7、消息的认证两种方式。用户认证用于鉴别用户的身份是否是合法用户；消息认证就是验证所收到的消息确实是来自真正的发送方且未被修改的消息，也可以验证消息的顺序和及时性。7.1.2 7.1.2 常用网络安全技术常用网络安全技术 网络安全是一项动态的、整体的系统工程，从技术上来说，网络安全由安全的操作系统、应用系统、防病毒、防火墙、入侵检测、网络监控、信息审计、通信加密、灾难恢复、安全扫描等多个安全组件组成，一个单独的组件是无法确保信息网络的安全性。1病毒防范 （1）采用多层的病毒防卫体系。（2）选择合适的防病毒产品 2黑客防范 （1）应用防火墙技术，控制访问权限，实现网络安全集中管理 （2）应用入侵检测

8、技术保护网络与主机资源，防止内外网攻击7.1.3 7.1.3 网络安全设计过程网络安全设计过程 网络入侵检测系统应具备如下特点：1）可精确判断入侵事件2）可判断应用层的入侵事件3）对入侵可以立即进行反应4）全方位的监控与保护5）针对不同操作系统特点 3应用安全扫描技术主动探测网络安全漏洞，进行网络安全评估 4应用网站实时监控与恢复系统，实现网站安全可靠的运行7.1.3 7.1.3 网络安全设计过程网络安全设计过程 5应用网络安全紧急响应体系，防范安全突发事件 紧急响应的目标：（1）故障定位及排除（2）预防问题（3）优化性能7.1.3 7.1.3 网络安全设计过程网络安全设计过程 简化的网络安全

9、设计过程：（1）网络安全需求分析（2）确立合理的目标基线和安全策略（3）明确准备付出的代价（4）制定可行的技术方案（5）工程实施方案（产品的选购与定制）（6）制定配套的法规、条例和管理办法（7）从网络安全需求上进行分析，并基于网络层次结构，提出不同层次与安全7.1.3 7.1.3 网络安全设计过程网络安全设计过程 简化的网络安全设计过程：（1）网络安全需求分析（2）确立合理的目标基线和安全策略（3）明确准备付出的代价（4）制定可行的技术方案（5）工程实施方案（产品的选购与定制）（6）制定配套的法规、条例和管理办法（7）从网络安全需求上进行分析，并基于网络层次结构，提出不同层次与安全7.1.3

10、7.1.3 网络安全设计过程网络安全设计过程 参观所在学校校园网，了解校园网中采用了哪些网络安全技术，选用了哪些品牌的网络安全产品，分别部署在校园网什么位置，主要功能有哪些。技能实训技能实训 了解校园网采用的网络安全技术了解校园网采用的网络安全技术7.2 7.2 网络安全系统的内容网络安全系统的内容 物理安全主要是指通过物理隔离实现网络安全。所谓“物理隔离”是指内部网不直接或间接地连接公共网。物理安全的目的是保护路由器、工作站、网络服务器等硬件实体和通信链路免受自然灾害、人为破坏和搭线窃听攻击。只有使内部网和公共网物理隔离，才能真正保证党政机关的内部信息网络不受来自互联网的黑客攻击。此外，物理

11、隔离也为政府内部网划定了明确的安全边界，使得网络的可控性增强，便于内部管理。7.2.1 7.2.1 物理安全物理安全 1、网络安全构架概述 在实际生活中，正在应用的网络安全构架是ITUT 推荐的X.800方案，即所谓的OSI框架。2、安全模型网络安全模型7.2.2 7.2.2 网络数据安全网络数据安全 网络环境下的信息安全体系是保证信息安全的关键，包括计算机安全操作系统、各种安全协议、安全机制（数字签名、消息认证、数据加密等），直至安全系统，其中任何一个安全漏洞便可以威胁全局安全。信息安全服务至少应该包括支持信息网络安全服务的基本理论，以及基于新一代信息网络体系结构的网络安全服务体系结构。信息

12、安全可分为狭义安全与广义安全两个层次，狭义的安全是建立在以密码论为基础的计算机安全领域，早期国内信息安全专业通常以此为基准，辅以计算机技术、通信网络技术与编程等方面的内容；广义的信息安全本专业是一门综合性学科，从传统的计算机安全到信息安全，不但是名称的变更也是对安全发展的延伸，安全不在是单纯的技术问题，而是将管理、技术、法律等问题相结合的产物。7.2.3 7.2.3 信息安全信息安全7.3 7.3 防火墙的设计与选型防火墙的设计与选型 防火墙（firewall）是一项协助确保信息安全的设备，会依照特定的规则，允许或是限制传输的数据通过。防火墙由软件和硬件设备组合而成，它可以是一台专属的硬件也可

13、以是架设在一般硬件上的一套软件。在内部网和外部网之间、专用网与公共网之间的界面上构造保护屏障，使Internet与Intranet之间建立起一个安全网关（Security Gateway），从而保护内部网免受非法用户的侵入。防火墙的功能：1、防火墙是网络安全的屏障2、防火墙可以强化网络安全策略3、对网络存取和访问进行监控审计4、防止内部信息的外泄7.3 7.3 防火墙的设计与选型防火墙的设计与选型 1、从防火墙的软、硬件形式划分，防火墙可以分为软件防火墙和硬件防火墙以及芯片级防火墙。（1）软件防火墙 软件防火墙运行于特定的计算机上，它需要客户预先安装好的计算机操作系统的支持，一般来说这台计算机

14、就是整个网络的网关。俗称“个人防火墙”。（2）硬件防火墙 硬件防火墙基于硬件平台的网络防预系统，与芯片级防火墙相比并不需要专门的硬件。目前市场上大多数防火墙都是这种硬件防火墙，他们大多基于PC架构设计。（3）芯片级防火墙 芯片级防火墙基于专门的硬件平台，没有操作系统。专有的ASIC芯片促使它们比其他种类的防火墙速度更快，处理能力更强，性能更高。7.3.1 7.3.1 防火墙的类型防火墙的类型 2、从防火墙的技术来分的话，防火墙可以分为包过滤型、应用代理型 （1）包过滤（Packet filtering）型 包过滤型防火墙工作在OSI网络参考模型的网络层和传输层，它根据数据包头源地址，目的地址、

15、端口号和协议类型等标志确定是否允许通过。只有满足过滤条件的数据包才被转发到相应的目的地，其余数据包则从数据流中被丢弃。（2）应用代理（Application Proxy）型 应用代理型防火墙是工作在OSI的最高层，即应用层。其特点是完全“阻隔”了网络通信流，通过对每种应用服务编制专门的代理程序，实现监视和控制应用层通信流的作用。7.3.1 7.3.1 防火墙的类型防火墙的类型 3、以作用的TCP/IP堆栈区分，主要分为网络层防火墙和应用层防火墙两种，但也有些防火墙是同时运作于网络层及应用层。（1）网络层防火墙 网络层防火墙可视为一种 IP 封包过滤器，运作在底层的TCP/IP协定堆栈上。以列举

16、的方式，只允许符合特定规则的封包通过，其余的一概禁止穿越防火墙。（2）应用层防火墙 应用层防火墙是在TCP/IP堆栈的“应用层”上运作，使用浏览器时所产生的信息流或是使用 FTP 时的信息流都是属于这一层。应用层防火墙可以拦截进出某些应用程式的所有封包。理论上，这一类的防火墙可以完全阻绝外部的信息流进到受保护的计算机里。防火墙借由监测所有的封包并找出不符规则的属性，可以防范电脑蠕虫或是木马程式的快速蔓延。不过就实作而言，这个方法耗费计算机资源，同时会减缓计算机的运行速度，所以现在大部分的防火墙都不会考虑以这种方法设计。7.3.1 7.3.1 防火墙的类型防火墙的类型 防火墙相对前面介绍的交换机

17、、路由器来说，在选型方面的考虑要简单些，主要考虑是选择软件防火墙，还是硬件防火墙，以及防火墙的少数几种包过滤类型、防火墙产品的品牌和服务等方面。1、软、硬防火墙的选型考虑 2、防火墙类型的选型考虑（1）包过滤型防火墙（2）应用代理型防火墙（3）状态包过滤型防火墙7.3.2 7.3.2 防火墙的选型防火墙的选型 【实训目标】调查市场主流防火墙的品牌和近期主打产品，详细了解其配置、性能指标和应用范围 【实训条件】通过互联网了解当今几大防火墙品牌厂商在当地的代理商，走访当地经销商询问主流防火墙的性能，配置。技能实训技能实训 了解市场主流防火墙品牌及其特点了解市场主流防火墙品牌及其特点7.4 7.4

18、入侵检测系统的设计与选型入侵检测系统的设计与选型 为了保证网上信息的安全性、可靠性，保证网络的正常运行，不被不法分子破坏、窜改是整个计算机网络系统中非常重要的一个组成部分。由此诞生了入侵检测这种功能性系统。入侵检测系统应遵循如下原则设计：（1）设计中将以国家涉密计算机系统安全要求为根本（2）采用国内最先进，符合涉密系统安全要求的安全设备和产品（3）严格遵守中华人民共和国保密局、公安部相关法律和法规（4）严格遵守国家涉密计算机系统安全保密规范（5）我国各级安全主管部门还颁布了一系列条例和规定。本项目遵守国内的这些安全条例和规定。7.4 7.4 入侵检测系统的设计与选型入侵检测系统的设计与选型 经

19、过防火墙的部署后，企业网络的安全水平有了很大的提高，能够抵御来自外部网络的大部分攻击。但是防火墙也有其功能上的不足，一台单一的防火墙并不能形成一套安全的体系。防火墙的不足主要体现在以下几个方面：1）虽然部署了防火墙，对网络起到了很好的保护作用，但是毕竟有很多服务要对外开放，所以很多攻击手法是防火墙无法阻挡的。2）防火墙虽然可以挡住大部分攻击，但是通常无法留下细节的攻击记录，这对分析攻击行为以及调查取证带来了很大困难，而入侵检测系统刚好可以解决这一问题；3）防火墙对其发现的入侵行为的报警功能种类不够丰富，可能会影响对入侵行为的响应速度；4）防火墙不能防止它所保护的内部网络中同一网段之内的相互攻击

20、；7.4.1 7.4.1 单一防火墙功能的不足单一防火墙功能的不足 入侵检测的功能和优点主要体现在以下几个方面：1）能在网络中基于内容的检测，能够在对看似合法访问的信息中发现攻击的信息（比如隐藏在URL中的攻击行为），并做出相应的处理；2）能够对网络的入侵行为进行详细完整的记录，为以后的调查取证提供了有力的保障；3）对发现的入侵行为有多种灵活的处理方式，比如：中断非法连接、发出电子邮件或传呼警告等等；4）不仅可以检测来自外部的攻击，还可以检测来自内部的相互攻击；7.4.2 7.4.2 入侵检测系统的功能和优点入侵检测系统的功能和优点 网络入侵检测系统是安全防护体系的重要补充，根据对网络入侵检测

21、系统的要求，一个优秀的网络入侵检测系统产品应该满足以下几个方面要求：1）优秀的攻击发现能力2）分布部署能力3）集中管理能力4）易于安装使用5）自身安全性好7.4.3 7.4.3 入侵检测系统选型入侵检测系统选型7.5 7.5 校园行政网络安全设计实例校园行政网络安全设计实例 1、网络目标的需求 2、网络安全需求（1）根据学校现有的网络设备组网规划（2）保护网络系统的可用性（3）保护网络系统服务的连续性（4）防范网络资源的非法访问及非授权访问（5）防范入侵者的恶意攻击与破坏（6）保护信息通过网上传输过程中的机密性、完整性（7）防范病毒的侵害（8）实现网络的安全管理。3、需求分析7.5.1 7.5

22、.1 需求分析需求分析 1、网络设计主要功能（1）资源共享功能。（2）通信服务功能。（3）多媒体功能。2、网络设计原则（1）实用性和经济性。（2）先进性和成熟性。（3）可靠性和稳定性。（4）安全性和保密性。（5）可扩展性和易维护性。7.5.2 7.5.2 网络安全的设网络安全的设计计 3、网络的设计 （1）物理位置选择 机房应选择在具有防震、防风和防雨的建筑内；机房的承重要求应满足设计要求；（2）电力供应 机房供电应与其他市电供电分开；应设置稳压器和过电压防护设备；应提供短期的备用电力供应（如UPS设备）；应建立备用供电系统（如备用发电机)。（3）电磁防护要求 应采用接地方式防止外界电磁干扰和

23、相关服务器寄生耦合干扰；电源线和通信线缆应隔离，避免互相干扰。4、通信保密 （1）链路层加密 （2）网络层加密7.5.2 7.5.2 网络安全的设网络安全的设计计 5、病毒防护（1）预防病毒技术（2）检测病毒技术（3）杀毒技术 6、应用安全（1）内部OA系统中资源享 （2）信息存储 7.5.2 7.5.2 网络安全的设网络安全的设计计 7、配置防火墙（1）管理、维护简单、方便;（2）安全性高（可有效降低在安全设备使用上的配置漏洞）;（3）硬件成本和维护成本低;（4）网络运行的稳定性更高;7.5.2 7.5.2 网络安全的设网络安全的设计计 8、网络结构学校网络结构7.5.2 7.5.2 网络安

24、全的设网络安全的设计计 1、系统设计 安全系统设计是在信息系统安全策略的基础上，从安全策略的分析中抽象出安全系统及其服务。安全系统的设计。安全系统设计的目标是设计出系统安全防御体系，设计和部署体系中各种安全机制从而形成自动的安全防御、监察和反应体系，忠实地贯彻系统安全策略。2、系统组建 目前市场主流终端架构有独立PC机、无盘工作站和虚拟化终端。从节约成本和简化管理工作量角度来看，PC机的模式基本不予以考虑。综合对比无盘工作站和虚拟化终端无盘工作站要求前端硬件型号及配置一致，扩展性较差。而瘦客户机访问虚拟桌面时采用的是统一架构与协议，与瘦客户机及后端服务器品牌及型号均无要求。7.5.3 系统安全

25、架构系统安全架构 1、数据层的架构 该数据层架构主要是针对实验计算机上所有机密数据采用何种数据存储而言。首先要对实验计算机每日生成的机密实验数据需要进行集中存储，而且要实现自动存储。2、数据安全测试 数据加密保护通过每台实验计算机上安装加密程序，对存储设备对应本地的磁盘空间进行全盘加密，这样保存在上面的文件即为密文。只有安装了加密程序并且被授权的计算机才有权限以明文方式看到对应的文档。7.5.4 数据安全设计数据安全设计本单元小结在网络飞速发展的今天，网络安全成为了一道难题。网络发展初期网络安全仅仅涉及到物理安全域数据安全，现今信息安全也成为了网络安全的重中之重。网络安全的第一选择就是防火墙，如何选择一套适合的防火墙，需要根据网络所具有的的条件与需求来选择。本单元实训通过本单元学习的知识内容，参考任务实例，根据分析本校的网络实际情况，做出一套网络安全设计书。本单元习题1、网络安全防范体系层次包含哪些？2、计算机网络面临有哪些威胁？3、物理隔离有什么作用？4、设计特殊安全性服务的四个基本任务？5、信息安全实现的目标？6、防火墙的类型有哪些？7、单一防火墙防的不足主要体现在哪几个方面？8、网络入侵检测系统产品一般应该满足哪几个方面要求？