一年级上册语文试题-句子复习-人教

赵楠2009.07.16网络安全方向技术交流网络安全无处不在赵楠网络安全方向网络安全无处不在1网络安全概述网络安全系列解决方案议题网络安全概述议题2安全车轮安全监视和

响应测试管理和

改进连续的多阶段过程

侧重于不断改进安全车轮安全监视测试管理3身份识别

安全连接边界安全入侵监视安全管理网络安全部件互联网认证防火墙VPN入侵检测扫描政策网络安全部件互联网认证防火墙VPN入侵检测扫描政策4网络安全概述网络安全系列解决方案议题网络安全概述议题5互联网接入平台解决方案内网安全管理解决方案SSLVPN移动办公解决方案网络安全解决方案互联网接入平台解决方案网络安全解决方案6互联网接入平台解决方案需求分析解决方案方案特点互联网接入平台解决方案需求分析7需求分析随着业务的发展，各部门都有上网的需求；目前大部分机关及其下属都是自行实现上网，没有统一管理，存在很大的安全隐患；实现统一的互联网接入平台是大势所驱，安全接入和控制是重中之重；对互联网接入平台的建设采用标准化、层次化的安全防护。需求分析随着业务的发展，各部门都有上网的需求；8互联网接入平台解决方案需求分析解决方案方案特点互联网接入平台解决方案需求分析9网络拓扑ISP1ISP2内网外网接入控制区外层防火墙区内层防火墙区DMZ区链路负载均衡IPSWEBMAILDNS防病毒网关AAA系统网络管理系统防病毒系统漏洞管理系统信息管理区内网区分支用户VPN网关内网用户上网行为管理防DDoS设备防垃圾邮件网关内网安全管理报表服务器网络拓扑ISP1ISP2内网外网接入控制区外层防火墙区内层防10区域划分——外网接入控制区外网接入控制区1、功能：该区域主要用于外网接入和控制和防攻击2、设备部署：主要部署外网接入设备、链路负载均衡设备和防攻击设备4、链路负载均衡设备：无缝监视多条链路的负载和可用性，对于出入的流量进行负载均衡5、IPS设备：自动识别网络攻击并记录，自动终结和防护攻击ISP1ISP2链路负载均衡IPS防DDoS设备3、防DDoS设备：防护DDoS攻击，保证接入平台的可用性区域划分——外网接入控制区外网接入控制区1、功能：该区域主要11区域划分——外层防火墙区1、功能：该区域主要用于对来自外网的流量做访问控制和分组过滤

2、设备部署：主要部署外层防火墙3、外层防火墙：隔离互联网和DMZ；访问控制：IP包过滤，仅允许从互联网到DMZ公共服务器的访问和经由内层防火墙到互联网访问的IP包进出；IP地址合法性检查，防止地址欺骗；对网络访问和分组过滤规则情况进行审计；对网络攻击情况进行审计外层防火墙区区域划分——外层防火墙区1、功能：该区域主要用于对来自外网的12区域划分——DMZ区1、功能：该区域主要用于放置对外提供服务的服务器和应用系统2、设备部署：包括防病毒网关、WEB服务器、MAIL服务器、DNS服务器、VPN网关等3、防病毒网关：用于在网络层对病毒进行防护，比如典型的蠕虫病毒等，不包括文件型病毒4、VPN网关：用于对离线网点VPN接入和对外网移动办公接入的资源发布和安全防护DMZ区WEBMAILDNS防病毒网关VPN网关防垃圾邮件网关5、防垃圾邮件网关：用于对邮件系统垃圾邮件的防护区域划分——DMZ区1、功能：该区域主要用于放置对外提供服务13区域划分——内层防火墙区内层防火墙区1、功能：该区域主要用于对DMZ区域和内网之间的流量做访问控制和分组过滤2、设备部署：主要部署内层防火墙3、外层防火墙：a）隔离DMZ和内部网b)支持代理服务器从内部网到互联网和DMZ的单向访问c)IP地址合法性检查，防止地址欺骗d)对网络访问进行监控审计e)对发生的攻击行为进行审计f)配置高速缓存加速访问、节约带宽资源区域划分——内层防火墙区内层防火墙区1、功能：该区域主要用于14区域划分——信息管理区1、功能：该区域主要放置网络管理系统2、设备部署：包括网络版防病毒系统、AAA系统、漏洞管理系统、网络管理系统、内网安全管理系统等3、AAA系统：用于对用户访问应用进行认证、授权和审计信息管理区4、网络防病毒系统：用于对用户访问应用进行认证、授权和审计5、漏洞管理系统：用于对用户和网络设备进行漏洞扫描和补丁分发6、网络管理系统：用于对关键网络设备和服务器进行管理AAA系统网络管理系统防病毒系统漏洞管理系统内网安全管理7、内网安全管理系统：管理内网桌面安全区域划分——信息管理区1、功能：该区域主要放置网络管理系统215区域划分——内网区1、功能：内网区用于连接内网用户2、设备部署：包括内网用户和代理服务器等3、内网用户：局域网用户通过以太网接入，分支机构通过专线接入4、上网行为管理：提供高性能的互联网访问加速及上网行为控制功能，具体包括身份认证、访问控制、URL过滤、流媒体控制、基于业务类型的带宽控制和QoS。内网内网区分支用户内网用户上网行为管理报表服务器区域划分——内网区1、功能：内网区用于连接内网用户2、设备部16互联网接入平台解决方案需求分析解决方案方案特点互联网接入平台解决方案需求分析17方案特点符合总体规范标准化设计思路模块化、层次化的安全防护可扩展性强可操作性强，可以分步实施方案特点符合总体规范18互联网接入平台解决方案内网安全管理解决方案SSLVPN移动办公解决方案网络安全解决方案互联网接入平台解决方案网络安全解决方案19需求分析解决方案方案特点内网安全管理解决方案需求分析内网安全管理解决方案20需求分析…网络设备管理服务器管理VPN接入无线办公接入桌面管理统一日志管理问题1：部分客户使用了ACS管理网络设备并进行授权，但没有强口令认证系统问题2：生产服务器Unix主机和Windows主机目前还没有使用安全管理系统问题3：内网桌面系统没有采用统一的安全管理系统问题4：VPN接入系统缺乏统一的AAA认证、授权和审计，没有强口令认证系统问题5：无线办公安全接入缺乏统一的身份认证和授权机制问题6：对设备和主机日志缺乏统一的存储、分析和审计系统需求分析…网络设备管理服务器管理VPN接入无线办公接入桌面管21内网安全管理解决方案桌面安全管理解决方案日志安全审计解决方案内网安全管理解决方案内网安全管理解决方案内网安全管理解决方案22内网安全管理解决方案认证…网络设备管理统一认证审计平台用户统一管理服务器管理双因素认证TACACS+授权认证转发Syslog日志登陆AD后的生产应用VPN接入服务器安全管理系统MSAD二次跳转无线办公接入双因素认证系统ACSSyslog日志Syslog日志用户自助服务802.1x认证服务器操作员双因素认证账户同步双因素认证内网安全管理解决方案认证…网络设备管理统一认证审计平台用户统23CiscoACS网络设备安全管理ACS可以实现Cisco网络设备的认证、命令级别的授权和审计功能，结合双因素认证系统实现强口令认证问题：部分分行使用了ACS管理网络设备并进行授权，但没有强口令认证系统CiscoSecureACSTelnetAdminTACACS+RADIUSConsoleAdmin双因素认证服务器动态口令验证CiscoACS网络设备安全管理ACS可以实现Cisco网24服务器安全管理问题：生产服务器Unix主机和Windows主机目前还没有使用安全管理系统解决方案：系统通过二次跳转方式实现服务器操作员的认证授权和审计，并结合双因素认证系统实现强口令认证服务器管理认证转发服务器安全管理系统二次跳转双因素认证系统服务器操作员双因素认证服务器安全管理问题：生产服务器Unix主机和Windows主25双因素强认证系统…网络设备管理双因素认证TACACS+授权认证转发服务器安全管理系统二次跳转双因素认证系统ACS服务器操作员双因素认证服务器管理问题：网络设备管理、服务器管理、VPN接入、无线办公接入等都需要强身份认证解决方案：采用双因素强身份认证系统，实现PIN码+动态令牌的双因素认证，解决各种应用系统的身份认证问题双因素强认证系统…网络设备管理双因素认证TACACS+授权认26MSAD用户数据库问题：各个系统的用户分散在不同的数据库中，没有统一的用户管理系统解决方案：由于当前使用的各个认证接入系统均支持LDAP协议，可以通过MSAD服务器集中管理用户数据库。统一认证审计平台服务器安全管理系统MSAD双因素认证系统ACS账户同步集中的用户数据库MSAD用户数据库问题：各个系统的用户分散在不同的数据库中27统一认证审计平台问题：大量并发认证需要硬件AAA认证系统问题：多个认证系统没有统一的审计平台解决方案：1、统一认证审计平台采用硬件平台，可以处理大量并发认证请求2、统一认证审计平台用来处理除ACS和PLD之外所有不需要授权的应用的认证请求，比如VPN接入、无线接入等应用3、统一认证审计平台可以通过syslog采集各个AAA接入系统的认证、授权、审计信息，统一存储、分析，并可以通过丰富的自定义报表集中展现。4、统一认证审计平台系统可以对MSAD数据库进行配置管理，界面友好5、统一认证审计平台为用户提供自助服务功能，供用户自行修改密码及个人信息统一认证审计平台问题：大量并发认证需要硬件AAA认证系统解决28大容量认证统一认证审计平台VPN接入无线办公接入双因素认证系统802.1x认证双因素认证认证转发大容量认证统一认证审计平台VPN接入无线办公接入双因素认证系29统一审计平台统一认证审计平台Syslog日志服务器安全管理系统MSADACSSyslog日志Syslog日志统一审计平台统一认证审计平台Syslog日志服务器安全管理系30统一账户管理统一认证审计平台用户统一管理MSAD用户自助服务统一账户管理统一认证审计平台用户统一管理MSAD用户自助服31账户自助服务账户自助服务32方案特点使用CiscoACS对网络设备进行认证授权审计，并配合双因素认证服务器增强口令使用服务器安全管理系统进行Unix服务器和Windows服务器的认证授权审计，并配合双因素认证服务器增强口令对于大量需要AAA认证如VPN接入和无线接入需求采用统一硬件认证系统所有用户数据库集中配置在MSAD系统，并利用LDAP协议同步到不同模块中采用统一认证审计平台管理MSAD数据库，并提供用户自助服务，集中不同模块产生的AAAsyslog信息进行集中存储、统计分析和丰富的自定义报表集中展现方案特点使用CiscoACS对网络设备进行认证授权审计，并33内网安全管理解决方案桌面安全管理解决方案日志安全审计解决方案内网安全管理解决方案内网安全管理解决方案内网安全管理解决方案34需求分析问题3：内网桌面系统没有采用统一的安全管理系统，有很大的安全漏洞解决方案：通过采用桌面安全管理系统，对内网桌面系统进行统一的管理，具体包括终端管理、资产管理、终端安全管理、补丁及软件分发管理、非法外联管理、移动存储管理和网络接入控制等需求分析问题3：内网桌面系统没有采用统一的安全管理系统，有很35功能分析基本功能安全监控强审计补丁及文件分发管理移动存储产品管理网络接入控制管理功能分析基本功能36基本功能（1）1、终端基本管理1)终端注册管理2)终端接入交换机拓扑管理3)终端带入带出网络监控管理4)IP和MAC绑定管理5)禁止修改网关、禁用冗余网卡管理6)未注册终端拒绝入网管理（ARP阻断技术）基本功能（1）1、终端基本管理37基本功能（2）2、IT资产管理

1)硬件资产2)软件资产3)软、硬件设备信息变更基本功能（2）2、IT资产管理38基本功能（3）3、终端桌面管理1)终端流量管理2)进程运行管理3)终端服务管理4)软件安装管理5)上网访问控制6)终端消息通知7)远程协助8)外设及端口控制9)垃圾文件清理10)终端点对点管理11)系统自动关机管理12)终端时间同步管理基本功能（3）3、终端桌面管理39基本功能（4）4.终端安全管理1)桌面密码权限管理2)终端统一防火墙3)终端杀毒软件管理4)终端安全等级管理5)IE安全设置6)恶意软件免疫7)注册表监控/保护8)终端连线/离线策略管理基本功能（4）4.终端安全管理40基本功能（5）5.网络主机运维1)运行资源监控2)流量异常监控3)进程异常监控4)客户端文件备份基本功能（5）5.网络主机运维41基本功能（6）6.非法外联行为监控1)终端非法外联互联网行为监控2)终端非法接入其它网络行为监控3)非法外联行为告警和网络锁定基本功能（6）6.非法外联行为监控42基本功能（7）7.IntelvPro(AMT)管理支持1)硬件级别的客户端程序保护及变化报警2)带外终端软硬件资产管理3)资产变更报警4)带外状态下补丁分发5)远程开关机控制6)系统崩溃下的远程修复与协助7)vPro设备扫描认证基本功能（7）7.IntelvPro(AMT)管理支持43基本功能（8）8.事件报表及报警处置1)终端信息数据统计分类2)图形化信息数据输出3)组态报表输出及查询管理4)报警结果处置管理5)安全事件源远程阻断6)联动处置接口管理基本功能（8）8.事件报表及报警处置44基本功能（9）9.第三方接口联动（可扩展）1)PKI/CA认证联动2)防火墙联动3)网管软件联动4)安全管理平台联动5)其它第三方接口基本功能（9）9.第三方接口联动（可扩展）45安全监控强审计文件保护及访问审计文件网络输出审计注册表审计文件内容检查工作目录管理审计网络共享审计上网访问行为审计邮件审计打印审计系统日志审计键盘行为审计桌面窗口审计安全监控强审计文件保护及访问审计46补丁及文件分发管理补丁自动下载补丁完整性和安全性测试补丁增量更新导入补丁库建立和分类补丁策略定制订分发补丁代理转发补丁分发流量均衡终端漏洞自动检测补丁自动修复及查询统计漏洞情况汇总统计补丁安装情况汇总统计普通文件分发及文件自动执行未安装重要补丁终端接入控制终端数据备份补丁及文件分发管理补丁自动下载47移动存储管理移动存储设备接入管理移动存储设备分组管理移动存储设备标签认证移动存储数据读写控制移动存储设备使用行为审计移动存储管理移动存储设备接入管理48网络接入控制管理802.1x接入认证管理未注册终端接入访问区域限制（vlan限制）未安装杀毒软件等必备软件自动安装下载管理未打补丁终端接入限制未达到预定义安全级别的终端接入访问区域限制自定义终端安全接入必须的桌面运行安全环境网络接入控制管理802.1x接入认证管理49部署方式IntranetWEBFTPDNSMAILDB终端系统路由器交换机防火墙内网安全管理系统补丁分发系统部署方式IntranetWEBFTPDNSMAILDB终端系50内网安全管理解决方案桌面安全管理解决方案日志安全审计解决方案内网安全管理解决方案内网安全管理解决方案内网安全管理解决方案51需求分析问题6：对设备和主机日志缺乏统一的存储、分析和审计系统解决方案：采用统一的日志安全审计产品，对内网中网络设备、安全设备、关键服务器的日志进行统一收集、分析处理、存储和审计。需求分析问题6：对设备和主机日志缺乏统一的存储、分析和审计系52日志收集日志安全审计系统路由器交换机防火墙Unix主机Windows主机SYSLOGSYSLOGSYSLOGWMITELNET数据库AGENT日志收集日志安全审计系统路由器交换机防火墙Unix主机Win53功能分析1、种类丰富的日志审计和报表访问信息入侵攻击流量信息安全设备管理信息…2、及时的告警声音邮件短信3、分级角色管理区域区分角色功能功能分析1、种类丰富的日志审计和报表2、及时的告警3、分级角54互联网接入平台解决方案内网安全管理解决方案SSLVPN移动办公解决方案网络安全解决方案互联网接入平台解决方案网络安全解决方案55需求分析应用整合是必然趋势利用互联网安全发布应用办公自动化（OA）企业财务系统企业内部信息系统企业ERP系统企业IT设备维护实现安全的现场办公和无线访问任意地点－办公室、用户现场、酒店、无线接入点任意终端－PC、手机、PDA解决性能和安全的矛盾良好的用户体验访问的合法性和操作合法性进行检查大并发业务处理投资设备投资部署维护投资LaptopDesktopPDACellKioskOn-The-GoHomeWorkerOfficeLANOfficeWLANRegionalOfficePartnerorCustomerApplicationsEmailFileShares需求分析应用整合是必然趋势LaptopDesktopPDAC56安全访问和VPN演变X.25便宜不安全安全昂贵InternetIPSecPSTNPrivate

LineFrameRelayATMMPLSSSL安全访问和VPN演变X.25便宜不安全安全昂贵Interne57IPSecVPN是传统的远程安全接入的方案，其重要缺点包括:需要在每个客户端安装、升级、维护专用的IPsec客户端软件必须是预先安装了IPsec客户端软件的终端才能接入只适用于隧道接入方式，安全度不高对接入的