网管五网络安全幻灯片.ppt

防火墙的体系结构 屏蔽主机防火墙 由包过滤路由器和堡垒主机组成，其中包过滤路由器有两个接口分别接到内部网络和外部网络。堡垒主机有一块网卡，接到内部网络。在堡垒主机上运行代理服务程序，可以实现认证和代理功能。 防火墙的体系结构 屏蔽子网防火墙 采用了两个包过滤路由器和一个堡垒主机，定义了“非军事区”(DMZ)网络。堡垒主机，信息服务器，以及其它公用服务器放在DMZ网络中。 对于进来的信息，外部路由器只允许外部系统访问堡垒主机(还可能有信息服务器)，内部路由器只接受源于堡垒主机的数据包。 对于到Internet的数据包，内部路由器允许内部系统只访问堡垒主机(还可能有信息服务器)，外面的路由器只接受来自堡垒主机到Internet的数据包(即要使用代理服务) 回节目录 防火墙配置举例 Cisco PIX防火墙功能简介 Cisco PIX防火墙结合了包过滤和代理服务技术，它应用安全算法，将内部主机的地址映射为外部地址，拒绝未经允许的包入境，实现了动态，静态地址映射，从而有效地屏蔽了内部网络拓扑结构，并通过管道技术，出境访问列表，有效地控制内、外部各资源的访问。 Cisco PIX-525-UR-BUN防火墙可连接多达六个不同的网络，每个网络都可定义一个安全级别，级别低的相对于级别高的总是被视为外部网络， 防火墙配置举例 设备选型 ：Cisco Secure PIX 525防火墙 防火墙配置举例 PIX防火墙提供4种管理访问模式 非特权模式 特权模式 配置模式 监视模式 Cisco PIX Firewall 的配置过程 在配置之前，应先规划好网络拓扑结构，制定较为祥细的安全策略 防火墙配置举例 Cisco PIX Firewall 的配置过程 用一条串行电缆连接防火墙console口和电脑COM口，进行防火墙初始化配置 激活以太网端口，配置以太网端口 命名端口与安全级别 配置以太网接口IP地址 屏蔽内部网络拓扑结构，指定对外的地址范围 设置指向内部网和外部网的缺省路由 对资源主机的访问控制 对Internet上的敏感主机和资源的控制 防范内部网络的非法IP和MAC地址 启用防火墙将报警和日志记录功能 保存配置 回节目录 防火墙访问控制列表配置举例 明确网络服务方式 内部人员如何访问外部网络的服务、外部人员如何访问内部网络的服务 将网络服务转化为访问规则，形成访问控制列表 写出以上各种网络服务的协议、源地址、目标地址、源端口、目的端口、行为(允许或者拒绝)、流向(出或入)，形成规则集。 将上述访问控制列表布署到防火墙上 在防火墙的相应端口上用防火墙命令实现访问控制列表 回节目录 网络安全设计举例 项目介绍 安全设计 网络安全逻辑结构图 回章目录 项目介绍 校园网安全需求 安全的认证计费 业务系统的可用性 网络可用性 数据安全性 访问的可控性 网络操作的可管理性 有效地防范病毒 回节目录 安全设计 物理安全 认证计费系统 防火墙系统 入侵检测系统 漏洞扫描系统 防病毒系统 数据备份系统 回节目录 回节目录 网络安全和管理 网络管理工具 网络风险评估 网络安全机制设计 防火墙技术 网络安全设计举例 网络管理工具 网络管理概述 网络管理协议 网络管理工具 回章目录 网络管理概述 网络管理是指对网络进行配置、对网络的运行状态和性能进行监视和调整、对网络的故障进行检测和维护，使网络能正常、高效地运行。 网络管理的功能 配置管理(Configuration Management)、 故障管理(Fault Management) 安全管理(Security Management) 性能管理(Performance Management) 计费管理(Accounting Management) 网络管理概述 网络管理模型 管理实体 运行在工作站、微机上，负责发出管理操作的指令，并接收和处理来自代理的信息 代理进程 运行在受管理设备上，定期收集设备信息，存入管理数据库中，并通过网络管理协议向管理实体提供相应的数据 管理数据库 用于记录受管理设备的状态参数值 公共网络管理协议 定义管理实体与被管代理间的通信方法 图 回节目录 管理数据库 代理进程 管理数据库 代理进程 管理数据库 代理进程 管理代理 网络 受管设备 图8-1 网络管理系统模型 管理实体 网络管理协议 网络管理协议 CMIP 国际标准化组织ISO针对开放系统互连(OSI)提出的公共管理信息协议 采用远程操作模型的请求/应答协议，属于应用层协议 管理信息以对象方式描述，所有的对象都存放在MIB(管理信息库)中 在网络管理过程中，CMIP通过事件报告进行工作 提供两种服务： ① 传输由受管对象产生的事件通知