任务五办公网络安全规划部署课件

,单击此处编辑母版标题样式,单击此处编辑母版文本样式,任务五：办公网络安全规划部署,计算机安全维护,任务五：办公网络安全规划部署计算机安全维护,内容简介,一、任务内容,二、背景知识,三、风险分析,四、步骤介绍,五、任务小结,内容简介 一、任务内容,一、任务内容,任务名称,包含步骤,能力目标,支撑知识,训练内容,5办公网络安全规划部署,5.1规划设计办公网络安全,分析设计办公网络安全系统能力,组网及应用需求分析、设计,1、办公网络的功能分区，各区的安全要求,2、办公网络安全设计,5.2设置办公网络路由器安全,安全功能项设置，入口流量控制能力,部署路由器的安全目的,办公网路由器安全功能设置,5.3设置办公网交换机安全,安全功能项设置，网络地址安全管理能力,部署交换机的安全目的,办公网交换机安全功能设置,一、任务内容任务名称包含步骤能力目标支撑知识训练内容5办公网,二、背景知识,1、,网络规划设计,2、,路由器安全的部署,3、,交换机安全的部署,二、背景知识1、网络规划设计,1、网络规划设计,网络规划设计,1、用户需求分析,（1）用户需求：资源共享及共享资源的安全,（2）,技术目标：,统一性、完整性、经济实用性、可靠性与有效性、扩展性与先进性、安全性,（3）网络应用：Web、FTP、E-Mail、VOD等,2、当前网络现状分析,设备、连接、应用情况、布线、协议、性能等,1、网络规划设计 网络规划设计,1、网络规划设计,3、逻辑设计,整体结构设计、局部网络结构设计,4、物理设计,网络中心的设计、每栋楼设计,5、测试,确定测试范围、确定测试内容（连通性、性能、故障）,6、用户培训与售后服务,1、网络规划设计 3、逻辑设计,2、路由器安全的部署,1、包过滤控制访问列表,从192.168.20.0/24来的数据包可以通过！,路由器,从192.168.10.0/24来的数据包不能通过！,2、路由器安全的部署 1、包过滤控制访问列表从192.168,2、路由器安全的部署,2、网络病毒的应对办法,路由器的功能是保持网络的连通性，尽自己最大能力转发数据包。网络病毒发送的大量垃圾报文，路由器并不能识别的。需要手工配置ACL，比如最近流行的冲击波病毒，通过配置，路由器可以部分阻止这些垃圾报文。,以上只是辅助措施，根本解决办法是查杀PC的病毒，尽快安装微软操作系统的补丁，升级杀毒工具的病毒库，提高安全意识。,2、路由器安全的部署 2、网络病毒的应对办法,2、路由器安全的部署,3、远程登录telnet,Telnet协议是TCP/IP协议族中的一员，是Internet远程登陆服务的标准协议。应用Telnet协议能够把本地用户所使用的计算机变成远程主机系统的一个终端。它提供了三种基本服务：,（1）Telnet定义一个网络虚拟终端为远程系统提供一个标准接口。客户机程序不必详细了解远程系统，他们只需构造使用标准接口的程序；,（2）Telnet包括一个允许客户机和服务器协商选项的机制，而且它还提供一组标准选项；,（3）Telnet对称处理连接的两端，即Telnet不强迫客户机从键盘输入，也不强迫客户机在屏幕上显示输出。,2、路由器安全的部署 3、远程登录telnet,2、路由器安全的部署,4、IPSEC配置,IPSEC 是IP Security的缩写，它是保护IP协议安全通信的标准，它主要对IP协议分组进行加密和认证。,IPSEC 作为一个协议族由以下部分组成：(1)保护分组流的协议；(2）用来建立这些安全分组流的密钥交换协议。前者又分成两个部分：加密分组流的封装安全载荷（ESP）及较少使用的认证头（AH），认证头提供了对分组流的认证并保证其消息完整性，但不提供保密性。目前为止，IKE协议是唯一已经制定的密钥交换协议。,2、路由器安全的部署 4、IPSEC配置,3、交换机安全的部署,1、基于交换机的访问控制列表安全策略,可通过对交换机建立各种过滤规则的方式来实现整个网络分布实施接入安全性的需求。通常过滤规则设置有MAC和IP两种模式，可根据网络安全性需求采用MAC模式有效实现数据的隔离，也可通过IP模式实现端口过滤封包。当交换机端口需要数据交换时，就会根据过滤规则来过滤封包，决定是转发还是丢弃。,通过访问控制列表的使用，可以对数据包过滤、流量限制、流量统计等。,3、交换机安全的部署 1、基于交换机的访问控制列表安全策略,3、交换机安全的部署,2、配置交换机的802.1X认证协议,对交换机启用802.1X认证协议后，计算机只有通过授权才可以访问网络资源，否则不能接入到网络，可以有效地保证网络的安全，防止用户随便地接入到网络中。,802.1X客户端软件,端口启动了802.1X，成为,受控端口，客户只有在通,过802.1X认证后才能访问,网络资源,端口未启动802.1X，,为非受控端口，通信,数据可以畅通无阻,3、交换机安全的部署 2、配置交换机的802.1X认证协议8,3、交换机安全的部署,3、禁用SNMP,SNMP是Simple Network Management Protocol的英文缩写。它是用于在IP网络管理网络节点（服务器、工作站、路由器、交换机及HUBS等）的一种标准协议，它是一种应用层协议。,3、交换机安全的部署 3、禁用SNMP,3、交换机安全的部署,4、使用SSH进行远程管理,SSH是Secure Shell的英文缩写。通过SSH的使用，用户可把所要传输的数据信息进行加密，而且也能够防止DNS和IP欺骗。SSH可以替代Telnet，又可以为FTP、POP、PPP提供一个安全的“通道”。由于在使用SSH进行通讯时，对用户名及口令等均进行了加密，有效防止了口令被窃听，便于网络管理人员进行远程的安全网络管理。,3、交换机安全的部署 4、使用SSH进行远程管理,3、交换机安全的部署,5、交换机VLAN,（1）VLAN简介,VLAN（Virtual Local Area Network），是一种通过将局域网内的设备逻辑地而不是物理地划分成一个个网段从而实现虚拟工作组的技术。,VLAN技术允许网络管理者将一个物理的LAN逻辑地划分成不同的广播域（或称虚拟LAN，即VLAN），每一个VLAN都包含一组有着相同需求的计算机，由于VLAN是逻辑地而不是物理地划分，所以同一个VLAN内的各个计算机不必放置在同一个物理位置，即这些计算机不一定属于同一个物理LAN网段。,3、交换机安全的部署 5、交换机VLAN,3、交换机安全的部署,5、交换机VLAN,（2）VLAN划分的方法,基于端口划分的VLAN,基于MAC地址划分VLAN,基于网络层协议划分VLAN,根据IP组播划分VLAN,按策略划分VLAN,按用户定义、非用户授权划分VLAN,1,2,3,4,交换机,广播帧,交换机收到广播帧后，只转发到属于同一VLAN的其他端口。,广播域,广播帧,广播域,（3）VLAN的优越性,增加了网络连接的灵活性,控制网络上的广播,增加网络的安全性,3、交换机安全的部署 5、交换机VLAN1234交换机广播帧,三、风险分析,三、风险分析,四、步骤介绍,1、,办公网络安全分析设计,2、,办公网络路由器安全设置,具体步骤：包过滤控制访问列表；网络病毒的应对办法；远程登录telnet；IPSEC配置。,3、,办公网络交换机安全设置,具体步骤：基于交换机的访问控制列表安全策略；配置交换机的802.1X认证协议；禁用SNMP；使用SSH进行远程管理；交换机VLAN的构建。,四、步骤介绍1、办公网络安全分析设计,1、办公网络安全分析设计,1 具体案例,要组建一个50位员工公司的办公网络，该公司有如下的几个部门：A办公室（3人）、B人事部（3人）、C财务部（4人）、D市场经销部（12人）、E产品研发部（28人）等五大部门，参见,办公网络平面示意图,。,2 网络用户及安全需求,假设该办公网络中A、B、D三区的用户需要访问Internet，而C、E二区的用户可根据具体情况，允许或不允许访问Internet；A、B、D三区用户间可以相互访问，但不可访问C、E二区的用户。,结合以上网络用户需求，如何通过对网络用户计算机、网络设备路由器、交换机进行相关的安全设置，以满足以上办公网络安全的需求。,由于A、B、C、D四区用户数量不多，可直接使用一个交换即可。E区用户数量较多，可单独使用一个交换机。,1、办公网络安全分析设计 1 具体案例,1、办公网络安全分析设计,1、办公网络的组网及应用需求分析,办公网络平面示意图,1、办公网络安全分析设计 1、办公网络的组网及应用需求,1、办公网络安全分析设计,3 规划设计方案,为满足以上办公网络的需求，可提出如下的规划设计方案：,（1）路由器、交换机的选型,由于以上办公网络规划不大，对路由器、交换机的选型较为简单，可选用中低端产品即可满足以上网络用户的要求。,（2）传输介质的选型,在传输介质的选择方面，不必使用光纤，可使用5类或超5类双绞线即可。,（3）网络安全规划设计,为提高办公网络的安全性，在对办公网络进行安全规划设计时，可从以下三个方面进行。,路由器的安全设置,交换机的安全设置,VLAN的使用,1、办公网络安全分析设计 3 规划设计方案,2、办公网络路由器安全设置,1、包过滤控制访问列表,安全需要,日志主机地址：192.168.1.2,08：00-22：00 禁止报文送出串口,禁止PC远程登录到路由器。如图所示。,2、办公网络路由器安全设置 1、包过滤控制访问列表,2、办公网络路由器安全设置,当前路由器提示视图,依次输入的配置命令,#,Router,info-center loghost 0 10.0.0.8,Router,#,Router,firewall enable,Router,#,Router,interface Ethernet0/0,ip address 10.0.0.1 255.255.255.0,firewall packet-filter 3000 inbound,firewall packet-filter 2000 outbound,#,Router,interface Ethernet2/0,ip address 10.0.1.1 255.255.255.0,firewall packet-filter 3000 inbound,#,2、办公网络路由器安全设置 当前路由器提示视图依次输入的配置,2、办公网络路由器安全设置,当前路由器提示视图,依次输入的配置命令,Router,acl number 2000 match-order auto,Router-acl-2000,rule 0 deny logging,#,Router,acl number 3000 match-order auto,Router-acl-3000,rule 0 deny tcp destination 10.0.1.1 0 destination-port eq telnet logging,rule 1 deny tcp destination 10.0.0.1 0 destination-port eq telnet logging,#,Router,time-range time_range 08:30 to 18:30 daily,2、办公网络路由器安全设置 当前路由器提示视图依次输入的配置,2、办公网络路由器安全设置,2、对网络病毒的应对办法,说明,路由器的功能是保持网络的连通性，尽自己最大能力转发数据包。,网络病毒发送的大量垃圾报文，路由器是并不能识别的。,需要手工配置ACL，比如最近流行的冲击波病毒，通过配置，路由器可以部分阻止这些垃圾报文。,禁止端口号为135的tcp报文。,禁止端口号为69的udp报文。,禁止icmp报文。,2、办公网络路由器安全设置2、对网络病毒的应对办法,2、办公网络路由器安全设置,3、远程登录telnet,（1）缺省情况:无需用户名和密码,均可telnet,其连接拓扑,如图所示。,2、办公网络路由器安全设置 3、远程