第1章 网络安全规划

计算机网络安全主讲人刘晓辉第1章网络安全规划31项目背景323334项目分析项目需求项目规划1.1项目背景企业网络概况：网络覆盖整个厂区，机房位于智能大厦3层（共15层）“星形+树形”拓扑结构。接入用户数量500个，通过路由器接入Internet。会议室、展厅部署无线漫游网络。已部署Web、文件、打印、邮件、活动目录等服务器。网络服务器系统平台为WindowsServer2003/2008。分支机构通过VPN远程接入总部局域网。项目背景1.2项目分析1.2.1安全设备分布1.2.2网络设备安全现状1.2.3服务器部署现状1.2.4客户端计算机1.2.5无线局域网安全现状1.2.1安全设备分布1.防火墙网络防火墙部署在网络边缘，既可以作为Internet接入设备，又可以防护局域网安全。在会议室、展厅等公共环境接入局域网处部署网络防火墙，可以有效隔离公共环境中可能存在的安全风险。2.IPSIPS部署在Internet接入区的路由器和核心交换机之间，用于扫描所有来自Internet的信息，以便及时发现网络攻击和制定解决方案。3.IDSIDS部署在安全需求最高的服务器区，用于实时侦测服务器区交换机转发的所有信息。3.CiscoSecurityMARSMARS直接连接在核心交换机上，用于收集经过核心交换机的所有数据信息，自动生成状态日志，供管理员调阅。1.2.2网络设备安全现状1.交换机和路由器安全配置交换机安全配置包括VLAN划分、Enable密码、Telnet密码、流量控制、远程监控、802.1x安全认证等。路由器安全配置包括静态路由、访问控制列表、NAT等。2.办公设备安全配置通过为不同的用户群体分配不同的访问权限，避免其对打印机、传真机等办公设备的滥用。1.2.3服务器部署现状网络服务器包括域控制器、DHCP服务器、文件服务器、打印服务器、传真服务器、网络办公平台、数据库服务器等，其中有多种网络服务合用一台服务器，通过单独的交换机高速连接至核心交换机，完全采用链路冗余技术双线连接，确保连接的可靠性。1.2.4客户端计算机客户端以Windows系统为主，主要安全措施包括设置登录密码、启用个人防火墙、安装杀毒软件、启用WindowsUpdate等。通过部署组策略、WSUS服务器、防病毒服务器、NAP系统等可以大大提升客户端计算机的安全性。1.2.5无线局域网安全现状1.WEP密钥的发布问题802.11本身并未规定密钥如何分发，一般手动设置，并长期固定使用4个可选密钥之一，不仅繁琐而且安全性低。2.WEP用户身份认证方法的缺陷WEP加密采用开放式认证系统，入侵者可以通过抓住加密前后的询问消息，加以简单的数学运算就可得到共享密钥，进入WLAN。3.SSID和MAC地址过滤SSID本身就是明文信息，很容易被获取，而MAC地址是可以被伪造的，所以这两种方式都不够安全性。4.WEP加密机制的天生脆弱性WEP加密机制的天生脆弱性是受网络攻击的最主要原因。1.3项目需求1.3.1网络安全需求隔离来自Internet的所有网络风险。通过汇聚交换机部署内部网络安全。划分VLAN做到部门间信息安全。通过加密和身份验证做到无线网络安全。实时监控设备运行状态，及时发现安全隐患。1.3.2网络访问安全需求客户端更新需要集中管理。网络病毒不得不防。网络访问控制需求。远程访问安全的保护。1.4项目规划1.4.1服务器安全规划1.4.2客户端安全规划1.4.3网络设备安全规划1.4.4无线设备安全规划1.4.5安全设备规划1.4.6局域网接入安全规划1.4.7Internet接入安全规划1.4.8远程接入安全规划1.4.9网络可靠性规划1.4.1服务器安全规划1.服务器硬件安全（1）增加内存和硬盘容量。（2）定期为服务器除尘。（3）控制机房温度和湿度。2.操作系统安全（1）采用高安全性操作系统。（2）减少系统漏洞。（3）定期进行系统安全检测。3.网络应用服务安全（1）网络与应用平台安全。（2）应用服务提供安全。（3）信息存储与传输安全。（4）信息内容安全。1.4.2客户端安全规划使用组策略统一管理客户端安全。部署WSUS服务器部署Symantec网络防病毒客户端软件启用或配置Windows系统集成的安全防护工具。1.4.3网络设备安全规划1.网络设备的脆弱性（1）不必要的服务和配置。（2）不正确的访问控制。（3）固有的安全漏洞。（4）物理安全。2.部署网络安全设备网络防火墙、入侵检测设备、入侵防御设备3.IOS安全（1）登录密码。（2）用户访问安全级别。（3）终端访问安全。（4）备份IOS映像。（5）升级IOS版本。1.4.4无线设备安全规划提高WLAN用户的自身安全性。启用加密传输。保护SSID安全。启用802.1x身份验证。实时监控无线网络运行状况。1.4.5安全设备规划1.网络防火墙防火墙适用于用户网络系统的边界，属于用户网络边界的安全保护设备。2.IDSIDS通过对计算机网络或计算机系统中的若干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。3.IPSIPS主要用于拦截和处理传统网络防火墙无法解决的网络攻击，部署在网络中的Internet接入区。1.4.6局域网接入安全规划1.常规接入安全措施（1）在有线局域网中配置802.1x身份验证系统。（2）在WLAN中配置安全SSID、WEP加密、MAC地址过滤等安全措施。2.NAP技术NAP平台提供了一套完整性校验的方法来判断接入网络的客户端的健康状态，对不符合健康策略需求的客户端限制其网络访问权限。1.4.7Internet接入安全规划在接入区的网络防火墙后部署TMG代理服务器，提供如下功能：网络防火墙Web访问缓存安全VPN接入功能1.4.8远程接入安全规划1.IPSecVPN远程安全接入IPSec标准提供数据完整性或数据加密二种功能。2.SSLVPN远程安全接入SSLVPN是工作在应用层和TCP层之间的远程接入技术。1.4.9网络可靠性规划在硬件设备方面，可以通过配置交换机生成树、链路汇聚和链路冗余技术，来提高局域网线路连接的可靠性。在软件方面则可以通过服务器群集技术和网络负载均衡技术，来提高重要服务器的可靠性。