办公网络安全规划部署.ppt

内容简介 一、任务内容 二、背景知识 三、风险分析 四、步骤介绍 五、任务小结 一、任务内容 二、 背景知识 1、网络规划设计 2、路由器安全的部署 3、交换机安全的部署 1、网络规划设计 网络规划设计 1、用户需求分析 （1）用户需求：资源共享及共享资源的安全 （2）技术目标： 统一性、完整性、经济实用性、可靠性与有效性、扩展性与先进性、安全性 （3）网络应用：Web、FTP、E-Mail、VOD等 2、当前网络现状分析 设备、连接、应用情况、布线、协议、性能等 1、网络规划设计 3、逻辑设计 整体结构设计、局部网络结构设计 4、物理设计 网络中心的设计、每栋楼设计 5、测试 确定测试范围、确定测试内容（连通性、性能、故障） 6、用户培训与售后服务 2、路由器安全的部署 1、包过滤控制访问列表 2、路由器安全的部署 2、网络病毒的应对办法 路由器的功能是保持网络的连通性，尽自己最大能力转发数据包。网络病毒发送的大量垃圾报文，路由器并不能识别的。需要手工配置ACL，比如最近流行的冲击波病毒，通过配置，路由器可以部分阻止这些垃圾报文。 以上只是辅助措施，根本解决办法是查杀PC的病毒，尽快安装微软操作系统的补丁，升级杀毒工具的病毒库，提高安全意识。 2、路由器安全的部署 3、远程登录telnet Telnet协议是TCP/IP协议族中的一员，是Internet远程登陆服务的标准协议。应用Telnet协议能够把本地用户所使用的计算机变成远程主机系统的一个终端。它提供了三种基本服务： （1）Telnet定义一个网络虚拟终端为远程系统提供一个标准接口。客户机程序不必详细了解远程系统，他们只需构造使用标准接口的程序； （2）Telnet包括一个允许客户机和服务器协商选项的机制，而且它还提供一组标准选项； （3）Telnet对称处理连接的两端，即Telnet不强迫客户机从键盘输入，也不强迫客户机在屏幕上显示输出。 2、路由器安全的部署 4、IPSEC配置 IPSEC 是IP Security的缩写，它是保护IP协议安全通信的标准，它主要对IP协议分组进行加密和认证。 IPSEC 作为一个协议族由以下部分组成：(1)保护分组流的协议；(2）用来建立这些安全分组流的密钥交换协议。前者又分成两个部分：加密分组流的封装安全载荷（ESP）及较少使用的认证头（AH），认证头提供了对分组流的认证并保证其消息完整性，但不提供保密性。目前为止，IKE协议是唯一已经制定的密钥交换协议。 3、交换机安全的部署 1、基于交换机的访问控制列表安全策略 可通过对交换机建立各种过滤规则的方式来实现整个网络分布实施接入安全性的需求。通常过滤规则设置有MAC和IP两种模式，可根据网络安全性需求采用MAC模式有效实现数据的隔离，也可通过IP模式实现端口过滤封包。当交换机端口需要数据交换时，就会根据过滤规则来过滤封包，决定是转发还是丢弃。 通过访问控制列表的使用，可以对数据包过滤、流量限制、流量统计等。 3、交换机安全的部署 2、配置交换机的802.1X认证协议 对交换机启用802.1X认证协议后，计算机只有通过授权才可以访问网络资源，否则不能接入到网络，可以有效地保证网络的安全，防止用户随便地接入到网络中。 3、交换机安全的部署 3、禁用SNMP SNMP是Simple Network Management Protocol的英文缩写。它是用于在IP网络管理网络节点（服务器、工作站、路由器、交换机及HUBS等）的一种标准协议，它是一种应用层协议。 3、交换机安全的部署 4、使用SSH进行远程管理 SSH是Secure Shell的英文缩写。通过SSH的使用，用户可把所要传输的数据信息进行加密，而且也能够防止DNS和IP欺骗。SSH可以替代Telnet，又可以为FTP、POP、PPP提供一个安全的“通道”。由于在使用SSH进行通讯时，对用户名及口令等均进行了加密，有效防止了口令被窃听，便于网络管理人员进行远程的安全网络管理。 3、交换机安全的部署 5、交换机VLAN （1）VLAN简介 VLAN（Virtual Local Area Network），是一种通过将局域网内的设备逻辑地而不是物理地划分成一个个网段从而实现虚拟工作组的技术。 VLAN技术允许网络管理者将一个物理的LAN逻辑地划分成不同的广播域（或称虚拟LAN，即VLAN），每一个VLAN都包含一组有着相同需求的计算机，由于VLAN是逻辑地而不是物理地划分，所以同一个VLAN内的各个计算机不必放置在同一个物理位置，即这些计算机不一定属于同一个物理LAN网段