計(jì)算機(jī)網(wǎng)絡(luò)安全課件沈鑫剡第章

計(jì)算機(jī)網(wǎng)絡(luò)安全第10章第10章安全網(wǎng)絡(luò)設(shè)計(jì)實(shí)例安全網(wǎng)絡(luò)概述；安全網(wǎng)絡(luò)設(shè)計(jì)和分析。安全網(wǎng)絡(luò)是能夠保障信息安全目標(biāo)實(shí)施的網(wǎng)絡(luò)系統(tǒng)，是一個(gè)能夠保證授權(quán)用戶實(shí)現(xiàn)訪問權(quán)限內(nèi)網(wǎng)絡(luò)資源訪問過程的網(wǎng)絡(luò)系統(tǒng)，是一個(gè)能夠抵御并反制黑客任何攻擊的網(wǎng)絡(luò)。10.1安全網(wǎng)絡(luò)概述安全網(wǎng)絡(luò)設(shè)計(jì)目標(biāo)；安全網(wǎng)絡(luò)主要構(gòu)件；網(wǎng)絡(luò)資源；安全網(wǎng)絡(luò)設(shè)計(jì)步驟。給出設(shè)計(jì)一個(gè)安全網(wǎng)絡(luò)的基本原則、過程和方法。安全網(wǎng)絡(luò)設(shè)計(jì)目標(biāo)能夠有效防御來自內(nèi)部和外部的攻擊；能夠?qū)W(wǎng)絡(luò)資源的訪問過程實(shí)施有效控制；能夠?qū)τ脩粜袨檫M(jìn)行有效監(jiān)控；能夠?qū)W(wǎng)絡(luò)運(yùn)行狀態(tài)進(jìn)行實(shí)時(shí)監(jiān)測(cè)；能夠?qū)W(wǎng)絡(luò)性能變化過程和原因進(jìn)行跟蹤、分析；能夠安全傳輸機(jī)密信息。安全網(wǎng)絡(luò)主要構(gòu)件接入控制和認(rèn)證構(gòu)件；分組過濾和速率限制構(gòu)件；防火墻；入侵防御系統(tǒng)；VPN接入構(gòu)件；認(rèn)證、管理和控制服務(wù)器。網(wǎng)絡(luò)資源網(wǎng)絡(luò)設(shè)備；網(wǎng)絡(luò)操作信息；鏈路帶寬；主機(jī)系統(tǒng)；在網(wǎng)絡(luò)中傳輸?shù)男畔ⅲ挥脩羲矫苄畔?。安全網(wǎng)絡(luò)設(shè)計(jì)步驟確定需要保護(hù)的網(wǎng)絡(luò)資源；分析可能遭受的攻擊類型；風(fēng)險(xiǎn)評(píng)估；設(shè)計(jì)網(wǎng)絡(luò)安全策略；實(shí)現(xiàn)網(wǎng)絡(luò)安全策略；分析和改進(jìn)網(wǎng)絡(luò)安全策略。安全網(wǎng)絡(luò)設(shè)計(jì)和分析安全網(wǎng)絡(luò)系統(tǒng)結(jié)構(gòu)；網(wǎng)絡(luò)安全策略；網(wǎng)絡(luò)安全策略實(shí)現(xiàn)機(jī)制。通過一個(gè)具體的、具有實(shí)用價(jià)值的安全網(wǎng)絡(luò)的設(shè)計(jì)和分析過程，了解安全網(wǎng)絡(luò)設(shè)計(jì)的基本原則、方法和過程。安全網(wǎng)絡(luò)系統(tǒng)結(jié)構(gòu)安全網(wǎng)絡(luò)結(jié)構(gòu)網(wǎng)絡(luò)分成內(nèi)網(wǎng)、外網(wǎng)和非軍事區(qū)三部分，非軍事區(qū)提供公共服務(wù)；交換機(jī)等接入設(shè)備完成對(duì)接入用戶的認(rèn)證；安全工作主要針對(duì)內(nèi)部網(wǎng)絡(luò)資源展開，由防火墻負(fù)責(zé)控制內(nèi)部網(wǎng)不同VLAN之間的信息傳輸過程，限制外網(wǎng)終端對(duì)內(nèi)部網(wǎng)絡(luò)資源的訪問，允許授權(quán)終端通過建立第2層隧道接入內(nèi)部網(wǎng)絡(luò)；網(wǎng)絡(luò)入侵防御系統(tǒng)對(duì)進(jìn)出重要終端和服務(wù)器的信息流進(jìn)行檢測(cè)；主機(jī)入侵防御系統(tǒng)對(duì)訪問重要終端和重要服務(wù)器中資源的過程實(shí)施嚴(yán)密監(jiān)控；網(wǎng)絡(luò)管理系統(tǒng)及時(shí)反饋網(wǎng)絡(luò)運(yùn)行情況給管理員。安全網(wǎng)絡(luò)系統(tǒng)結(jié)構(gòu)網(wǎng)絡(luò)安安全策策略允許內(nèi)內(nèi)部網(wǎng)網(wǎng)絡(luò)終終端發(fā)發(fā)起對(duì)對(duì)Internet的訪訪問，，但只只能訪訪問外外部網(wǎng)網(wǎng)絡(luò)中中的Web和FTP服務(wù)務(wù)器；；允許內(nèi)內(nèi)部網(wǎng)網(wǎng)絡(luò)終終端發(fā)發(fā)起對(duì)對(duì)非軍軍事區(qū)區(qū)中的的Web和和E-MAIL服務(wù)務(wù)器的的訪問問；允許外外部網(wǎng)網(wǎng)絡(luò)（（非信信任區(qū)區(qū)）終終端發(fā)發(fā)起對(duì)對(duì)非軍軍事區(qū)區(qū)中的的Web和和E-MAIL服務(wù)務(wù)器的的訪問問；只允許許內(nèi)部部網(wǎng)絡(luò)絡(luò)終端端訪問問內(nèi)部部網(wǎng)絡(luò)絡(luò)中的的服務(wù)務(wù)器，，但允允許內(nèi)內(nèi)部員員工通通過第第2層層隧道道經(jīng)外外部網(wǎng)網(wǎng)絡(luò)訪訪問內(nèi)內(nèi)部網(wǎng)網(wǎng)絡(luò)中中的FTP服務(wù)務(wù)器；；內(nèi)部網(wǎng)網(wǎng)絡(luò)終終端接接入內(nèi)內(nèi)部網(wǎng)網(wǎng)絡(luò)時(shí)時(shí)須經(jīng)經(jīng)身份份認(rèn)證證；內(nèi)部網(wǎng)網(wǎng)絡(luò)終終端的的平均均傳輸輸速率率和峰峰值傳傳輸速速率限限制為為3Mbps和和5Mbps；；不允許許以交交互方方式訪訪問內(nèi)內(nèi)部網(wǎng)網(wǎng)絡(luò)的的數(shù)據(jù)據(jù)庫(kù)服服務(wù)器器；能夠監(jiān)監(jiān)測(cè)對(duì)對(duì)內(nèi)部部網(wǎng)絡(luò)絡(luò)數(shù)據(jù)據(jù)庫(kù)服服務(wù)器器發(fā)起起的攻攻擊；；內(nèi)部網(wǎng)網(wǎng)絡(luò)使使用本本地IP地地址，，非軍軍事區(qū)區(qū)服務(wù)務(wù)器使使用全全球IP地地址，，內(nèi)部部網(wǎng)絡(luò)絡(luò)結(jié)構(gòu)構(gòu)對(duì)外外部網(wǎng)網(wǎng)絡(luò)終終端是是不可可見的的。網(wǎng)絡(luò)安安全策策略實(shí)實(shí)現(xiàn)機(jī)機(jī)制交換機(jī)機(jī)采用用基于于MAC地地址的的接入入控制制機(jī)制制；一旦終終端通通過認(rèn)認(rèn)證，，終端端的MAC地址址被添添加到到訪問問控制制列表表，交交換機(jī)機(jī)允許許正常常轉(zhuǎn)發(fā)發(fā)通過過該端端口接接收到到的以以MACA為為源MAC地址址的MAC幀；；交換機(jī)機(jī)采用用本地地認(rèn)證證機(jī)制制，不不采用用統(tǒng)一一的認(rèn)認(rèn)證服服務(wù)器器。交換機(jī)機(jī)接入入控制制過程程防火墻墻訪問問控制制機(jī)制制防火墻墻訪問問控制制策略略分兩兩部分分，一一是控控制內(nèi)內(nèi)網(wǎng)各各個(gè)VLAN之之間的的信息息傳輸輸過程程，限限制外外網(wǎng)終終端對(duì)對(duì)內(nèi)網(wǎng)網(wǎng)資源源的訪訪問過過程。。二是是定義義授權(quán)權(quán)終端端通過過第2層隧隧道接接入內(nèi)內(nèi)部網(wǎng)網(wǎng)絡(luò)的的方法法；訪問控控制策策略定定義三三種信信息：：信息息傳輸輸方向向、源源和目目的終終端范范圍，，以服服務(wù)方方式確確定消消息交交換過過程。。網(wǎng)絡(luò)安安全策策略實(shí)實(shí)現(xiàn)機(jī)機(jī)制防火墻墻作為為遠(yuǎn)程程接入入控制制設(shè)備備，配配置內(nèi)內(nèi)部網(wǎng)網(wǎng)絡(luò)本本地IP地地址池池，用用戶名名和口口令等等用戶戶認(rèn)證證信息息；建立終終端和和防火火墻之之間的的第2層隧隧道，，基于于第2層隧隧道完完成終終端的的身份份認(rèn)證證和本本地IP地地址分分配；；為了實(shí)實(shí)現(xiàn)第第2層層隧道道的安安全傳傳輸，，隧道道兩端端建立立雙向向的的的安全全關(guān)聯(lián)聯(lián)；防火墻墻添加加指明明通往往終端端的傳傳輸路路徑的的路由由項(xiàng)。。網(wǎng)絡(luò)安安全策策略實(shí)實(shí)現(xiàn)機(jī)機(jī)制終端通通過VPN接入入內(nèi)部部網(wǎng)絡(luò)絡(luò)過程程數(shù)據(jù)傳傳輸過過程中中，防防火墻墻就是是一個(gè)個(gè)互連連點(diǎn)對(duì)對(duì)點(diǎn)鏈鏈路和和以太太網(wǎng)的的路由由器；；終端通通過點(diǎn)點(diǎn)對(duì)點(diǎn)點(diǎn)鏈路路和防防火墻墻相連連，因因此，，終端端采用用的鏈鏈路層層協(xié)議議是PPP；由于點(diǎn)點(diǎn)對(duì)點(diǎn)點(diǎn)鏈路路是第第2層層隧道道，因因此，，PPP幀幀必須須被封封裝成成第2層隧隧道報(bào)報(bào)文，，由于于隧道道兩端端之間間采取取安全全傳輸輸機(jī)制制，進(jìn)進(jìn)行IPSec的封封裝過過程。。網(wǎng)絡(luò)安安全策策略實(shí)實(shí)現(xiàn)機(jī)機(jī)制VPN數(shù)據(jù)據(jù)傳輸輸過程程主機(jī)入入侵防防御系系統(tǒng)監(jiān)測(cè)服服務(wù)器器安全全狀態(tài)態(tài)；檢測(cè)進(jìn)進(jìn)出服服務(wù)器器的信信息流流；控制服服務(wù)器器中資資源的的訪問問過程程；限制進(jìn)進(jìn)程調(diào)調(diào)用過過程。。網(wǎng)絡(luò)入入侵防防御系系統(tǒng)監(jiān)測(cè)進(jìn)進(jìn)出重重要終終端和和服務(wù)務(wù)器的的異常常信息息流；；對(duì)進(jìn)出出重要要終端端和服服務(wù)器器的信信息流流進(jìn)行行攻擊擊特征征匹配配；監(jiān)測(cè)是是否發(fā)發(fā)生對(duì)對(duì)重要要終端端和服服務(wù)器器的拒拒絕服服務(wù)攻攻擊；；監(jiān)測(cè)是是否發(fā)發(fā)生端端口掃掃描偵偵察；；監(jiān)測(cè)進(jìn)進(jìn)出重重要終終端和和服務(wù)務(wù)器的的信息息流是是否符符合交交互式式特性性。網(wǎng)絡(luò)安安全策策略實(shí)實(shí)現(xiàn)機(jī)機(jī)制9、靜夜四無鄰鄰，荒居舊業(yè)業(yè)貧。。12月-2212月-22Wednesday,December28,202210、雨中黃葉樹樹，燈下白頭頭人。。21:53:5121:53:5121:5312/28/20229:53:51PM11、以我獨(dú)獨(dú)沈久，，愧君相相見頻。。。12月-2221:53:5121:53Dec-2228-Dec-2212、故人人江海海別，，幾度度隔山山川。。。21:53:5121:53:5121:53Wednesday,December28,202213、乍見翻疑疑夢(mèng)，相悲悲各問年。。。12月-2212月-2221:53:5121:53:51December28,202214、他他鄉(xiāng)鄉(xiāng)生生白白發(fā)發(fā)，，舊舊國(guó)國(guó)見見青青山山。。。。28十十二二月月20229:53:51下下午午21:53:5112月月-2215、比不不了得得就不不比，，得不不到的的就不不要。。。。十二月月229:53下下午午12月月-2221:53December28,202216、行動(dòng)動(dòng)出成成果，，工作作出財(cái)財(cái)富。。。2022/12/2821:53:5121:53:5128December202217、做做前前，，能能夠夠環(huán)環(huán)視視四四周周；；做做時(shí)時(shí)，，你你只只能能或或者者最最好好沿沿著著以以腳腳為為起起點(diǎn)點(diǎn)的的射射線線向向前前。。。。9:53:51下下午午9:53下下午午21:53:5112月月-229、沒有失失敗，只只有暫時(shí)時(shí)停止成成功！。。12月-2212月-22Wednesday,December28,202210、很多事事情努力力了未必必有結(jié)果果，但是是不努力力卻什么么改變也也沒有。。。21:53:5121:53:5121:5312/28/20229:53:51PM11、成成功功就就是是日日復(fù)復(fù)一一日日那那一一點(diǎn)點(diǎn)點(diǎn)點(diǎn)小小小小努努力力的的積積累累。。。。12月月-2221:53:5121:53Dec-2228-Dec-2212、世間間成事事，不不求其其絕對(duì)對(duì)圓滿滿，留留一份份不足足，可可得無無限完完美。。。21:53:5121:53:5121:53Wednesday,December28,202213、不知香香積寺，，數(shù)里入入云峰。。。12月-2212月-2221:53:5121:53:51December28,202214、意志堅(jiān)堅(jiān)強(qiáng)的人人能把世世界放在在手中像像泥塊一一樣任意意揉捏。。28十十二月20229:53:51下午午21:53:5112月-2215、楚塞三湘湘接，荊門門九派通。。。。十二月229:53下下午12月-2221:53December28,202216、少少年年十十五五二二十十時(shí)時(shí)，，步步行行奪奪得得胡胡馬馬騎騎。。。。2022/12/2821:53:5121:53:5128December202217、空山新雨后后，天氣晚來來秋。。9:53:51下午9:53下下午21:53:5112月-229、楊柳散和和風(fēng)，青山山澹吾慮。。。12月-2212月-22Wednesday,December28,202210、閱讀一切切好書如同同和過去最最杰出的人人談話。21:53:5121:53:5121:5312/28/20229:53:51PM11、越是沒有本本領(lǐng)的就越加加自命不凡。。12月-2221:53:5121:53Dec-2228-Dec-2212、越是無能能的人，越越喜歡挑剔剔別人的錯(cuò)錯(cuò)兒。21:53:5121:53:5121:53Wednesday,December28,202213、知知人人者者智智，，自自知知者者明明。。勝勝人人者者有有力力，，自自勝勝者者強(qiáng)強(qiáng)。。12月月-2212月月-2221:53:5121:53:51December28,202214、意志堅(jiān)堅(jiān)強(qiáng)的人人能把世世界放在在手中像像泥塊一一樣任意意揉捏。。28十十二月20229:53:51下午午21:53:5112月-2215、最具挑戰(zhàn)戰(zhàn)性的挑戰(zhàn)戰(zhàn)莫過于提提升自我。。。十二月229:53下下午12月-2221:53December28,202216、業(yè)業(yè)余余生生活活要要有有意意義義，，不不要要越越軌軌。。20