网络架构安全设计

1、网络架构安全设计知识域：网络架构安全知识子域：网络架构安全基础 理解网络架构安全的含义及主要工作理解网络安全域划分应考虑的主要因素理解IP地址分配的方法理解VLAN划分的作用与策略理解路由交换设备安全配置常见的要求理解网络边界访问控制策略的类型理解网络冗余配置应考虑的因素2网络架构安全的内容合理划分网络安全区域规划网络IP地址设计VLAN安全配置路由交换设备网络边界访问控制策略网络冗余配置3网络安全域划分的目的与方法定义安全域是遵守相同安全策略的用户和系统的集合安全域划分的目的把大规模负责系统安全问题化解为更小区域的安全保护问题网络抗渗透的有效防护方式，安全域边界是灾难发生时的抑制点安全域的划

2、分方法按信息资产划分按业务类型划分按地域划分按组织架构划分4同级别安全域 同级别安全域之间的边界-同级别安全域之间的安全防护主要是安全隔离和可信互访不同级别安全域 不同级别安全域之间的边界实际设计实施时又分为高等级安全域和低等级安全域的边界和防护远程连接用户 远程连接的用户对于远程接入用户通常采用VPN结合用户认证授权的方式进行边界防护同级别安全域之间的边界远程接入边界的安全网络安全域防护5IP地址规划据IP编址特点，为所设计的网络中的节点、网络设备分配合适的IP地址应与网络层次规划、路由协议规划、流量规划等结合起来考虑IP地址规划应采用自顶向下的方法6IP地址分配的方式静态地址分配给网络中每

3、台计算机、网络设备分配一个固定的、静态不变的IP地址提供网络服务的网络设备，如WEB服务器、邮件服务器、FTP服务器等服务器，一般为其分配静态IP地址动态地址分配在计算机连接到网路时，每次为其临时分配一个IP地址NAT地址分配将私网地址和公网地址转换使用7VLAN设计将网内设备的逻辑地划分成一个个网段从而实现虚拟工作组通过VLAN隔离技术，可以把一个网络系统中众多的网络设备分成若干个虚拟的工作组安全作用建立VLAN之间的访问机制，阻止蠕虫和恶意病毒的广泛传播建立VLAN区域安全和资源保护，将受限制的应用程序和资源置于更为安全的VLAN中8VLAN划分方法一个交换机上可以划分出多个VLAN多个交

4、换机并在一起共同划分出若干个VLAN某些计算机可以同时处于多个VLAN中9路由交换设备的安全配置交换机安全配置要点安装最新版本的操作系统，定期更新交换机操作系统补丁关闭空闲的物理端口带外管理交换机明确禁止未经授权的访问配置必要的网路服务，关闭不必要的网络服务打开日志功能，并且将日志文件专门放到一台安全的日志主机上对交换机配置文件进行脱机安全备份，并且限制对配置文件的访问10路由器的安全配置要点在路由器上安装最新版本的操作系统，定期更新对应的操作系统补丁防止欺骗性路由更新，配置路由协议鉴别路由器的配置保持下线备份，对它的访问进行限制明确禁止未经授权的访问防止网络数据窃听，适当部署加密保护技术禁用

5、不需要的服务和组件，禁用有风险的接口服务打开日志功能，配置日志服务器进行日志收集和分析11网络边界的概念 具有不同安全级别的网络之间的分界线都可以定义为网络边界 网络常见边界： 内部网络与外部网络之间 组织机构各部门之间 重要部门与其他部门之间 组织机构总部与分支机构之间 12网络边界访问控制基本安全防护 采用常规的边界防护机制，如基本的登录/连接控制等，实现基本的信息系统边界安全防护，采用路由器或者三层交换机。较严格安全防护 采用较严格的安全防护机制，如较严格的登录/连接控制，普通功能的防火墙、防病毒网关、入侵防御、信息过滤、边界完整性检查等严格安全防护 根据当前信息安全对抗技术的发展，采用

6、严格的安全防护机制，如严格的登录/连接机制， 高安全功能的防火墙、防病毒网关、入侵防御、信息过滤、边界完整性检查等特别安全防护 采用当前最先进的边界防护技术，必要时可以采用物理隔离安全机制，实现特别安全要求的边界安全防护13边界安全防护机制14边界安全防护技术防火墙负载均衡IDS/IPSUTM隔离网闸抗拒绝服务攻击需要考虑的问题是否需要对外提供服务，提供什么服务IP数量，如何使用IP（NAT或直接服务）带宽问题互联网病毒传播问题采取的防护措施路由器防火墙流量管理防病毒网关UTM内部网络与互联网边界防护15需要考虑的问题相互的服务提供及数据交换情况（在保证应用的情况下隔离）病毒传播问题采取的防护措施路由器防火墙防病毒网关隔离网闸内部网络与外部网络边界防护16需要考虑的问题连接的方式（VPN或直接网络访问）病毒传播问题采取的防护措施VPN防火墙防病毒网关17内部网络与分支机构边界防护需要考虑的问题防护的程度和标准病毒传播问题非法访问问题采取的防护措施VLAN划分防火墙防病毒网关18内部网络重要部门边界防护19作用防止单点故障可以提高网络的健全性、稳定性考虑因素接入互联网时，同时采用不同电信运营商线路，相互备份且互不影响核心层、汇聚层的设备和重要的接入层设备均应双机热备保证网络带宽和网络设备的业务处理能力具备冗余空