網(wǎng)絡(luò)安全防護(hù)技術(shù)情境三：企業(yè)網(wǎng)絡(luò)安全防護(hù)第一頁，共二十二頁。任務(wù)一：企業(yè)網(wǎng)絡(luò)邊界安全規(guī)劃第二頁，共二十二頁。任務(wù)目標(biāo)掌握網(wǎng)絡(luò)邊界的概念、劃分依據(jù)及邊界防護(hù)技術(shù)能分析網(wǎng)絡(luò)和應(yīng)用需求規(guī)劃出邊界規(guī)劃方案能夠設(shè)計企業(yè)網(wǎng)絡(luò)規(guī)劃、正確配置邊界防火墻能夠理解防火墻在邊界防護(hù)中起到的作用第三頁，共二十二頁。任務(wù)引入面對一個龐大、復(fù)雜的企業(yè)信息系統(tǒng)，單獨對每項信息資產(chǎn)確定保護(hù)方法是非常復(fù)雜的工作，常由于疏忽或錯誤導(dǎo)致安全漏洞。但是將整個系統(tǒng)當(dāng)成一個安全等級來防護(hù)，也難免造成沒有防范層次和防范重點，對風(fēng)險尤其是內(nèi)部風(fēng)險的控制能力不足較好的處理方式是進(jìn)行安全域的劃分，制訂資產(chǎn)劃分的規(guī)則，將信息資產(chǎn)歸入不同安全域中，每個安全域內(nèi)部都有著基本相同的安全特性第四頁，共二十二頁。任務(wù)分析安全策略實施方法相關(guān)知識劃分系統(tǒng)安全域通過對系統(tǒng)資產(chǎn)和業(yè)務(wù)流分析劃分安全域DMZ選擇安全措施保護(hù)安全域邊界根據(jù)安全防護(hù)需求確定安全技術(shù)與產(chǎn)品身份認(rèn)證、訪問控制、內(nèi)容安全、監(jiān)控審計………………第五頁，共二十二頁。相關(guān)知識網(wǎng)絡(luò)邊界的基本概念劃分邊界的依據(jù)邊界安全防護(hù)機制邊界防護(hù)技術(shù)第六頁，共二十二頁。網(wǎng)絡(luò)邊界的基本概念網(wǎng)絡(luò)邊界的概念具有不同安全級別的網(wǎng)絡(luò)之間的分界線都可以定義為網(wǎng)絡(luò)邊界企業(yè)網(wǎng)絡(luò)常見邊界企業(yè)內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)企業(yè)部門之間重要部門與其他部門之間分公司與分公司（或總部）之間第七頁，共二十二頁。劃分邊界的依據(jù)目的實現(xiàn)大規(guī)模復(fù)雜信息系統(tǒng)安全等級保護(hù)作用把一個大規(guī)模復(fù)雜系統(tǒng)的安全問題，化解為更小區(qū)域的安全保護(hù)問題依據(jù)第八頁，共二十二頁。邊界安全防護(hù)機制2-1基本安全防護(hù)采用常規(guī)的邊界防護(hù)機制，如基本的登錄/連接控制等，實現(xiàn)基本的信息系統(tǒng)邊界安全防護(hù)較嚴(yán)格安全防護(hù)采用較嚴(yán)格的安全防護(hù)機制，如較嚴(yán)格的登錄/連接控制，普通功能的防火墻、防病毒網(wǎng)關(guān)、入侵防范、信息過濾、邊界完整性檢查等第九頁，共二十二頁。邊界安全防護(hù)機制2-2嚴(yán)格安全防護(hù)根據(jù)當(dāng)前信息安全對抗技術(shù)的發(fā)展，采用嚴(yán)格的安全防護(hù)機制，如嚴(yán)格的登錄/連接機制，高安全功能的防火墻、防病毒網(wǎng)關(guān)、入侵防范、信息過濾、邊界完整性檢查等特別安全防護(hù)采用當(dāng)前最先進(jìn)的邊界防護(hù)技術(shù)，必要時可以采用物理隔離安全機制，實現(xiàn)特別安全要求的邊界安全防護(hù)第十頁，共二十二頁。邊界安全防護(hù)——防火墻技術(shù)2-1原理采用包過濾或應(yīng)用代理技術(shù)，通過訪問控制列表ACL過濾數(shù)據(jù)第十一頁，共二十二頁。邊界安全防護(hù)——防火墻技術(shù)2-2作用控制進(jìn)出網(wǎng)絡(luò)的信息流向和信息包提供使用和流量的日志和審計隱藏內(nèi)部IP地址及網(wǎng)絡(luò)結(jié)構(gòu)的細(xì)節(jié)缺點不能對應(yīng)用層識別

第十二頁，共二十二頁。邊界安全防護(hù)——多重安全網(wǎng)關(guān)技術(shù)UTM介紹統(tǒng)一威脅管理(UnifiedThreatManagement，簡稱UTM)，2004年9月，IDC首度提出“統(tǒng)一威脅管理”的概念，即將防病毒、入侵檢測和防火墻安全設(shè)備劃歸統(tǒng)一威脅管理新類別特點一個更高，更強，更可靠的墻。通過高質(zhì)量的檢測技術(shù)來降低誤報有高可靠，高性能的硬件平臺支撐第十三頁，共二十二頁。邊界安全防護(hù)——數(shù)據(jù)交換網(wǎng)技術(shù)特點數(shù)據(jù)存儲更快速數(shù)據(jù)存儲更安全降低大容量存儲設(shè)備的采購成本作用增加磁盤的存取(access)速度防止數(shù)據(jù)因磁盤的故障而失落有效的利用磁盤空間第十四頁，共二十二頁。實施過程1.1規(guī)劃設(shè)計企業(yè)網(wǎng)絡(luò)1.2設(shè)置邊界防火墻安全第十五頁，共二十二頁。1.1規(guī)劃設(shè)計企業(yè)網(wǎng)絡(luò)2-1訓(xùn)練目的理解部署一個企業(yè)網(wǎng)絡(luò)規(guī)劃的步驟和方法能通過分析網(wǎng)絡(luò)需求和應(yīng)用需求規(guī)劃出一個典型的邊界規(guī)劃方案訓(xùn)練步驟網(wǎng)絡(luò)環(huán)境現(xiàn)場采集劃分安全區(qū)域企業(yè)內(nèi)部網(wǎng)絡(luò)與Internet網(wǎng)絡(luò)邊界部署第十六頁，共二十二頁。1.1規(guī)劃設(shè)計企業(yè)網(wǎng)絡(luò)2-2訓(xùn)練目的理解部署一個企業(yè)網(wǎng)絡(luò)規(guī)劃的步驟和方法能通過分析網(wǎng)絡(luò)需求和應(yīng)用需求規(guī)劃出一個典型的邊界規(guī)劃方案訓(xùn)練步驟部門內(nèi)部網(wǎng)絡(luò)邊界部署重要部門網(wǎng)絡(luò)邊界部署企業(yè)網(wǎng)絡(luò)整體邊界部署第十七頁，共二十二頁。1.2設(shè)置邊界防火墻安全3-1訓(xùn)練目的掌握網(wǎng)絡(luò)邊界的概念、劃分依據(jù)及邊界防護(hù)技術(shù)掌握設(shè)計企業(yè)網(wǎng)絡(luò)邊界的步驟和方法，能夠具備獨立設(shè)計企業(yè)網(wǎng)絡(luò)規(guī)劃、正確配置邊界防火墻的能力掌握防火墻基本配置方法，并能夠更好的理解防火墻在邊界防護(hù)中起到的作用訓(xùn)練步驟搭建郵件和WEB服務(wù)器劃分安全域（受信任區(qū)域和非受信任區(qū)域）第十八頁，共二十二頁。1.2設(shè)置邊界防火墻安全3-2訓(xùn)練目的掌握網(wǎng)絡(luò)邊界的概念、劃分依據(jù)及邊界防護(hù)技術(shù)掌握設(shè)計企業(yè)網(wǎng)絡(luò)邊界的步驟和方法，能夠具備獨立設(shè)計企業(yè)網(wǎng)絡(luò)規(guī)劃、正確配置邊界防火墻的能力掌握防火墻基本配置方法，并能夠更好的理解防火墻在邊界防護(hù)中起到的作用訓(xùn)練步驟發(fā)布受信任區(qū)域的郵件和Web服務(wù)器制訂過濾規(guī)則第十九頁，共二十二頁。1.2設(shè)置邊界防火墻安全3-3訓(xùn)練目的掌握網(wǎng)絡(luò)邊界的概念、劃分依據(jù)及邊界防護(hù)技術(shù)掌握設(shè)計企業(yè)網(wǎng)絡(luò)邊界的步驟和方法，能夠具備獨立設(shè)計企業(yè)網(wǎng)絡(luò)規(guī)劃、正確配置邊界防火墻的能力掌握防火墻基本配置方法，并能夠更好的理解防火墻在邊界防護(hù)中起到的作用訓(xùn)練步驟驗證過濾規(guī)則第二十頁，共二十二頁。小結(jié)通過相關(guān)知識的學(xué)習(xí)，能夠掌握網(wǎng)絡(luò)邊界的概念、劃分依據(jù)及邊界防護(hù)技術(shù)通過對企業(yè)網(wǎng)絡(luò)邊界部署和防火墻配置，使學(xué)生能夠掌握設(shè)計企業(yè)網(wǎng)絡(luò)邊界的流程和方法，能夠具備獨立設(shè)計企業(yè)網(wǎng)絡(luò)規(guī)劃、正確配置邊界防火墻的能力第二十一頁，共二十二頁。內(nèi)容總結(jié)網(wǎng)絡(luò)安全防護(hù)技術(shù)。掌握網(wǎng)絡(luò)邊界的概念、劃分依據(jù)及邊界防護(hù)技術(shù)。能分析網(wǎng)絡(luò)和應(yīng)用需求規(guī)劃出邊界規(guī)劃方案。重要部門與其他部門之間。邊界安全防護(hù)機制2-2。邊界安全防護(hù)——防火墻技術(shù)2-1。采用包過濾或應(yīng)用代理技術(shù)，通過訪問控制列表ACL過濾數(shù)據(jù)。邊界安全防護(hù)——防火墻技術(shù)2-2。控制進(jìn)出網(wǎng)絡(luò)的信息流向和信息包。提供使用和流量的日志和審計。邊界