网络安全和防火墙 第8部分 通用安全原则与安全设计

第十单元第十单元通用安全原则与安全设计通用安全原则与安全设计 学习目标学习目标 描述有效的网络安全的通用指导方针和原则描述有效的网络安全的通用指导方针和原则 使用通用的指导方针来建立有效的、详细的方案使用通用的指导方针来建立有效的、详细的方案 了解网络安全设计中的网络拓朴结构了解网络安全设计中的网络拓朴结构 描述配线房的安全注意事项描述配线房的安全注意事项 描述无线网络安全描述无线网络安全 设计一个安全的网络设计一个安全的网络 通用的安全原则介绍通用的安全原则介绍 警惕所有的网络活动警惕所有的网络活动 必须要有一个安全策略必须要有一个安全策略 不要采用独立使用的系统或技术不要采用独立使用的系统或技术 尽可能使损坏最小化尽可能使损坏最小化 部署全公司范围内的执行策略部署全公司范围内的执行策略 提供培训提供培训 使用完整的安全策略使用完整的安全策略 根据需求安置设备根据需求安置设备 确定业务问题确定业务问题 考虑物理安全性考虑物理安全性损害最小化损害最小化 两种最小化损害的方法是：两种最小化损害的方法是：采取严格的用户访问控制采取严格的用户访问控制 隔离操作系统组件隔离操作系统组件 安全策略是必须的安全策略是必须的 制定安全策略要记住以下关键点：制定安全策略要记住以下关键点：强制执行的安全策略能提供贯穿组织机构的连强制执行的安全策略能提供贯穿组织机构的连续性。续性。当对攻击做出响应的时候，安全策略是第一个当对攻击做出响应的时候，安全策略是第一个需要考虑的资源。需要考虑的资源。安全策略应该可以进行变动。有时，为了反映安全策略应该可以进行变动。有时，为了反映当前业务的需求，策略将被更新。为了反映技当前业务的需求，策略将被更新。为了反映技术的变化和改进，策略也会被更新。术的变化和改进，策略也会被更新。当安全策略发生变化时，要让所有的员工都知当安全策略发生变化时，要让所有的员工都知道这些变化很重要。他们还必须确认了解这些道这些变化很重要。他们还必须确认了解这些变化的本质，并且同意遵守它们。通常，这个变化的本质，并且同意遵守它们。通常，这个确认应该被书面记录下来。确认应该被书面记录下来。不要采取独立应用的系统或技术不要采取独立应用的系统或技术 没有一种通用的产品、技术或解决方案能够提供全没有一种通用的产品、技术或解决方案能够提供全面的保护以对付所有的威胁。在各个方面使用多种面的保护以对付所有的威胁。在各个方面使用多种技巧和技术的组合，可以避免单个技术的弱点，而技巧和技术的组合，可以避免单个技术的弱点，而能够全面提高安全有效性。能够全面提高安全有效性。校验数据备份校验数据备份 措施措施描述描述数据校验让所有的管理人员和中层管理人员确认正确的数据已经备份。还要对备份数据抽样并将其恢复。介质校验保证用来备份数据的介质是可靠的。存储地点校验保证所有被存储的数据放在一个安全的场所。过程校验如果数据需要从一个地点物理传输到另一个地点，那么要采取措施保证数据确实被送到了新的地点。提供培训提供培训 终端用户培训终端用户培训 管理员培训管理员培训 高层管理人员高层管理人员实施设备需求评估审核实施设备需求评估审核 需求评估审核所涉及的步骤：需求评估审核所涉及的步骤：同管理层协商确定特殊需求。同管理层协商确定特殊需求。确定一种新技术将如何影响所有级别的终端用确定一种新技术将如何影响所有级别的终端用户的日常工作。户的日常工作。与管理层一起保证资金安全。与管理层一起保证资金安全。进行研究工作进行研究工作,确定适合组织机构的产品。确定适合组织机构的产品。研究网络以保证新的解决方案在适合的地点、研究网络以保证新的解决方案在适合的地点、正确的时间被实现。正确的时间被实现。正确安置产品正确安置产品 安放设备的时候，必须采取下列步骤：安放设备的时候，必须采取下列步骤：在独立的子网内测试系统。在独立的子网内测试系统。即使你熟悉新近安装的系统和网络后台程序/服务，也要确认服务器和后台程序以你希望的方式运行。对系统使用漏洞扫描作为测试的一部分。对系统使用漏洞扫描作为测试的一部分。漏洞扫描能够确定系统中是否有问题存在。有关这些扫描的更多内容，将在后面章节中学习。在生产服务器上升级所有的图表和文档。在生产服务器上升级所有的图表和文档。确保将生产中的服务器保持当前状态，这样能避免意外。安全措施对业务的影响安全措施对业务的影响 安全措施也会以下列方式影响业务和用户：安全措施也会以下列方式影响业务和用户：成本的增加成本的增加 许多安全解决方案的费用非常高。一个站点的防火墙许可证的费用在5000美元到20000美元之间，或更高。即使是能够支付这笔大额费用的组织机构也需要证明这些开销是正确的。不方便之处不方便之处 新的程序的措施可能会使用户觉得不方便，特别是那些经常出差和远程工作的用户。记住要让用户意识到：开始的时候会稍微有些不方便，但长远的好处是将节约他们的时间和保护公司安全。考虑物理安全性考虑物理安全性 有关物理安全保护的问题包括：有关物理安全保护的问题包括：公司的防火墙是在一间上了锁的房间内吗？公公司的防火墙是在一间上了锁的房间内吗？公司所有的服务器如何？司所有的服务器如何？网络设备（如路由器、网络设备（如路由器、WEBWEB服务器、服务器、FTPFTP服务器）服务器）被关严和监控了吗？被关严和监控了吗？有员工单独在敏感区域工作吗？有员工单独在敏感区域工作吗？人员维护人员维护 考虑下列问题：考虑下列问题：所有允许工作人员进入系统的钥匙、通行证和所有允许工作人员进入系统的钥匙、通行证和其他工具是否安全？其他工具是否安全？公司是否有策略准许员工在工作时监控维护人公司是否有策略准许员工在工作时监控维护人员？员？监督方法监督方法 提高物理安全性的选择包括：提高物理安全性的选择包括：用数字门卡替换标准的锁。用数字门卡替换标准的锁。将服务器放置在有锁的门后。将服务器放置在有锁的门后。安装视频监视设备。安装视频监视设备。物理攻击策略物理攻击策略 超级更改超级更改 超级更改包括使用一个应用程序或操作系统去读取另一个操作系统中的信息。使用超级更改程序可以修改用户帐号信息、读文件或创建文件和目录。结构渗透结构渗透 类型包括：从门枢卸掉带锁的门，然后进入房间。或者偷窃，或者造一把新的，从而获取房间的钥匙。爬行通过人造天花板，进入房间。网络拓朴结构网络拓朴结构网络拓朴结构网络拓朴结构网络拓朴结构网络拓朴结构电源问题电源问题 大多数桌面大多数桌面UPSUPS提供有限的清洁电源，但是却可能提供有限的清洁电源，但是却可能在发生断电时的切换过程中造成延迟，而这可能会在发生断电时的切换过程中造成延迟，而这可能会中断对延时敏感的数据传输。中断对延时敏感的数据传输。大多数发电机发出的都是所谓的大多数发电机发出的都是所谓的“脏电脏电”，即电压，即电压可能起伏波动、不稳定。对于像电子设备这类电源可能起伏波动、不稳定。对于像电子设备这类电源敏感设备来说，这可能会造成问题。敏感设备来说，这可能会造成问题。POEPOE POEPOE即即Power Over EthernetPower Over Ethernet，以太网馈电适配器，以太网馈电适配器，适配器上提供适配器上提供3 3个接口，一个直流电源接口，另外个接口，一个直流电源接口，另外两个是两个是RJ45RJ45接口。通过输电适配器把电源转接到五接口。通过输电适配器把电源转接到五类网线的辅助电源线对，在一条五类网线上集成数类网线的辅助电源线对，在一条五类网线上集成数据传输与供电功能，通过网线就可以向网络设备供据传输与供电功能，通过网线就可以向网络设备供电，而无需为这些设备单独铺设电源线。电，而无需为这些设备单独铺设电源线。线缆的选择线缆的选择 需要考虑的因素包括：需要考虑的因素包括：确定使用线缆的类别和布线的结构。确定使用线缆的类别和布线的结构。传输频率与传输速率。传输频率与传输速率。屏蔽与非屏蔽。屏蔽与非屏蔽。抗电磁干扰抗电磁干扰(EMI)(EMI)的程度。的程度。系统复元能力、网络扩展性。系统复元能力、网络扩展性。网络要求的生命周期。网络要求的生命周期。其它特性，如防火、防腐蚀等。其它特性，如防火、防腐蚀等。无线网络安全问题无线网络安全问题 对无线网络的威胁主要包括：对无线网络的威胁主要包括：偷听传输的数据偷听传输的数据 可能导致机密数据泄漏、曝光未保护的用户凭据、身份被盗用等。中途截获或修改传输数据中途截获或修改传输数据 如果攻击者可访问网络，他可接入恶意计算机来中途截获、修改或延迟两个合法方的通信。哄骗哄骗 现有网络访问允许恶意用户使用在网络外同样有效的方法来发送表面上似乎来自合法用户的数据（例如，哄骗的电子邮件消息）。免费下载免费下载 入侵者还有可能利用您的网络作为他自己访问 Internet 的自由访问点。拒绝服务拒绝服务(DoS)复杂的攻击多是针对低层无线协议本身；不很复杂的攻击则通过向 WLAN 发送大量的随机数据而使网络堵塞。实施无线网络实施无线网络 考虑以下安全措施：考虑以下安全措施：掌控信号覆盖的范围掌控信号覆盖的范围 启用无线设备的安全功能启用无线设备的安全功能 使用安全性高的部署方式使用安全性高的部署方式 使用一些针对无线网络环境的入侵检测软件使用一些针对无线网络环境的入侵检测软件 无线加密协议无线加密协议(WEP)(WEP)和和IEEE 802.11iIEEE 802.11i WEP(wired equivalent privacy)WEP(wired equivalent privacy)是一种以是一种以40 40 位位共享密钥算法为基础的数据加密机制。它是无线网共享密钥算法为基础的数据加密机制。它是无线网络上信息加密的一种标准方法，它可以对每一个企络上信息加密的一种标准方法，它可以对每一个企图访问无线网络的人的身份进行识别，同时对网络图访问无线网络的人的身份进行识别，同时对网络传输内容进行加密。传输内容进行加密。IEEE 802.11iIEEE 802.11i规定使用规定使用802.1x802.1x认证和密钥管理方式，认证和密钥管理方式，在数据加密方面，定义了在数据加密方面，定义了TKIPTKIP（Temporal Key Temporal Key Integrity ProtocolIntegrity Protocol）、）、CCMPCCMP（Counter-Counter-Mode/CBC-MAC ProtocolMode/CBC-MAC Protocol）和）和WRAPWRAP（Wireless Wireless Robust Authenticated ProtocolRobust Authenticated Protocol）三种加密机制。）三种加密机制。巩固汇聚层网络巩固汇聚层网络 对汇聚层网络设备提出的安全建议主要有以下几点：对汇聚层网络设备提出的安全建议主要有以下几点：使用用户认证机制和安全密码体系。使用用户认证机制和安全密码体系。进行进行IPIP地址、地址、MACMAC地址、用户名及卡号绑定。地址、用户名及卡号绑定。配置访问控制列表（配置访问控制列表（ACLACL）、）、IPIP地址数量及连接地址数量及连接数的限制。数的限制。流量整形、拥塞控制、队列调度及流量整形、拥塞控制、队列调度及CARCAR等等QOSQOS保保障。障。进行安全日志管理和流量监控。进行安全日志管理和流量监控。应用实例应用实例 网络系统及安全性分析网络系统及安全性分析 网络系统的安全性需求网络系统的安全性需求 网络安全整体解决方案的提出网络安全整体解决方案的提出 企业网络结构企业网络结构典型企业的网络安全实施拓扑图典型企业的网络安全实施拓扑图 演讲完毕，谢谢观看！