企业安全设计

1CourseNumberPresentation_ID©2001,CiscoSystems,Inc.Allrightsreserved.©2001,CiscoSystems,Inc.Allrightsreserved.©2001,CiscoSystems,Inc.Allrightsreserved.111©2004,CiscoSystems,Inc.Allrightsreserved.Presentation_ID企业网络安全区域设计PDFcreatedwithpdfFactoryProtrialversion©2004CiscoSystems,Inc.Allrightsreserved.Presentation_ID汇报提纲•当今的安全威胁现状•一般解决方案及缺陷•安全区域划分解决方案•思科解决方案的部署•案例分析PDFcreatedwithpdfFactoryProtrialversion©2004CiscoSystems,Inc.Allrightsreserved.Presentation_ID园区网/广域网主干园区网/广域网主干园区局域网园区局域网大型机大型机ISDNPSTN多服务多服务广域网广域网((SonetSonet,IP,,IP,ATMATM，，帧中继帧中继))异地销售办事处异地销售办事处供应商供应商远程办公人员远程办公人员移动用户移动用户多千兆位以太网多千兆位多千兆位以太网以太网存储存储存储视频会议视频会议视频会议IP电话IPIP电话电话企业机动性企业机动性内容联网内容联网内容联网安全/VPN安全安全//VPNVPN语音、视频和集成数据体系结构语音、视频和集成数据体系结构今天的网络:网络构成与网络应用传统的安全解决方案已经不足以保护这样的网络及相关应用传统的安全解决方案已经不足以保护这样的网络及相关应用PDFcreatedwithpdfFactoryProtrialversion©2004CiscoSystems,Inc.Allrightsreserved.Presentation_ID当今存在的威胁因素•网络构建方式和网络应用日趋复杂，•一切都有可能成为攻击目标:•路由器、交换机、网络（本地或远程）•主机、应用、操作系统•安全设备、远程用户、商务合作伙伴、外部网等•传统安全供应商无法对当今网络存在的威胁提供全面解决方案－－－不存在可保护所有目标的单一安全设备！PDFcreatedwithpdfFactoryProtrialversion©2004CiscoSystems,Inc.Allrightsreserved.Presentation_ID汇报提纲•当今的安全威胁现状•一般解决方案及不足•安全区域划分解决方案•思科解决方案的部署•案例分析PDFcreatedwithpdfFactoryProtrialversion©2004CiscoSystems,Inc.Allrightsreserved.Presentation_ID传统解决办法单点安全产品解决安全问题，片面强调单点安全产品技术防火墙远程接入安全无线接入数据加密防病毒PDFcreatedwithpdfFactoryProtrialversion©2004CiscoSystems,Inc.Allrightsreserved.Presentation_ID传统安全技术部署模式分支机构策略服务器互联网远程用户公司总部分支机构B部署方式：p安全产品简单堆叠p组网方式随意，没有统一安全规划p安全防护手段部署原则不明确，无层次PDFcreatedwithpdfFactoryProtrialversion©2004CiscoSystems,Inc.Allrightsreserved.Presentation_ID传统安全技术部署模式的不足分支机构策略服务器互联网远程用户公司总部分支机构B病毒蠕虫黑病毒蠕虫黑客入客入侵总部侵总部不足之处：p网段之间边界不清晰，控制较差，攻击容易扩散p安全威胁扩散时，没有缓冲处理时间p安全设备不能很好的发挥作用p无法制定全面清晰的安全策略p不明确部署的安全设备是否真正起到作用病毒蠕虫黑病毒蠕虫黑客入客入侵分支侵分支机构机构病毒蠕虫黑病毒蠕虫黑客入客入侵其他侵其他分支机构分支机构PDFcreatedwithpdfFactoryProtrialversion©2004CiscoSystems,Inc.Allrightsreserved.Presentation_ID汇报提纲•当今的安全威胁现状•一般解决方案及缺陷•安全区域划分解决方案•思科解决方案的部署•案例分析PDFcreatedwithpdfFactoryProtrialversion©2004CiscoSystems,Inc.Allrightsreserved.Presentation_ID全面的安全解决方案--纵深防御体系•传统的安全技术及部署方式的不足•清晰的安全区域划分是纵深防御的基础•需要层次化的防御方案或“纵深防御”而不是简单的安全产品堆积PDFcreatedwithpdfFactoryProtrialversion©2004CiscoSystems,Inc.Allrightsreserved.Presentation_ID安全区域设计参考模型PDFcreatedwithpdfFactoryProtrialversion©2004CiscoSystems,Inc.Allrightsreserved.Presentation_ID安全区域划分的意义u纵深防御依赖于安全区域的清楚定义u安全区域边界清晰，可明确定义边界安全策略u加强安全区域策略控制力，控制攻击扩散，增加应对安全突发事件的缓冲处理时间u依据安全策略，可以明确需要部署的安全设备u使相应的安全设备充分运用，发挥应有的作用PDFcreatedwithpdfFactoryProtrialversion©2004CiscoSystems,Inc.Allrightsreserved.Presentation_ID安全区域相关的定义•安全区域•网络安全区域是指网络系统内具有相同安全要求、达到相同安全防护等级的区域。同一安全区域要求有统一的安全管理组织和防护体系•物理网络区域•物理网络区域是指数据网中，依照在相同的物理位置定义的网络区域，通常如办公区域，远程办公室区域等•功能网络区域•功能区域是指以功能为标准，划分的逻辑网络区域，如互联网区域，生产网区域，办公网区域等•物理网络区域和安全区域的关系•一个物理网络区域或功能区域可以对应多个安全区域，一个安全区域对应一个物理网络区域或功能区域PDFcreatedwithpdfFactoryProtrialversion©2004CiscoSystems,Inc.Allrightsreserved.Presentation_ID安全区域设计原则•一体化设计原则•多重保护原则•适应性、灵活性原则•清楚的安全区域边界和边界策略•较多数量的安全域•可以提供更精确的访问控制•但增加管理复杂性PDFcreatedwithpdfFactoryProtrialversion©2004CiscoSystems,Inc.Allrightsreserved.Presentation_ID物理隔离•物理级（电磁辐射）屏蔽、干扰•终端级（双网机）双盘型、双区型•传输信道级非加密信道、加密信道•网络级（网闸）信息交换型信息共享型系统互操作型逻辑隔离•防火墙的物理管脚•VLAN•FR,ATM•L2TPV3,ATOM•IPsecVPN,MPLSVPN,GRE安全区域常用隔离技术PDFcreatedwithpdfFactoryProtrialversion©2004CiscoSystems,Inc.Allrightsreserved.Presentation_ID以物理区域为主线•优势•简单•便于实施•适用于业务简单的网络•劣势•对应用复杂的网络系统，安全区域边界模糊以业务系统为主线•优势•适用于业务复杂的网络•逻辑清楚•劣势•对安全区域需要较为复杂的划分安全区域划分方法PDFcreatedwithpdfFactoryProtrialversion©2004CiscoSystems,Inc.Allrightsreserved.Presentation_ID汇报提纲•当今的安全威胁现状•一般解决方案及缺陷•全面的解决方案•思科解决方案的部署•案例分析PDFcreatedwithpdfFactoryProtrialversion©2004CiscoSystems,Inc.Allrightsreserved.Presentation_ID思科安全区域设计蓝图--SAFEPDFcreatedwithpdfFactoryProtrialversion©2004CiscoSystems,Inc.Allrightsreserved.Presentation_ID•SAFE专门针对当今动态的网络中所面对的实际威胁而设计，一种成熟、详尽的安全蓝图•可应用于各种客户的安全解决方案，提供完整的安全设计参考与安全实现技巧•通过部署，分阶段实施的模块化、可扩展安全框架•融合了市场领先的安全产品、成熟的安全措施和集中式策略管理，并将安全的实现融入到客户现有的思科网络基础设施中去•它是企业设计和实施安全网络的最佳实践准则思科安全区域设计蓝图--SAFEPDFcreatedwithpdfFactoryProtrialversion©2004CiscoSystems,Inc.Allrightsreserved.Presentation_ID思科SAFE安全区域设计蓝图原则•安全防护是过程而不只是简单的产品•网络的所有访问点都是安全性目标•解决安全性与攻击问题的基础应该是综合的安全性策略•分层深度防御战略可确保更全面的保护•成功的安全解决方案要求在整个网络基础设施上采用集成化保护，而不能只考虑某些专用安全性设备。•安全解决方案必须能在相对独立模块中部署，这样才能提供成本效益、可扩展性和灵活性•SAFE可最大限度减少存在潜在脆弱性的方面PDFcreatedwithpdfFactoryProtrialversion©2004CiscoSystems,Inc.Allrightsreserved.Presentation_ID思科SAFE安全区域设计蓝图-路由器保护•路由器控制网络间接入•路由器安全性是安全部署中的关键元素•简单网络管理协议（SNMP）到路由器的接入•通过使用终端接入控制器接入控制系统＋（TACACS＋）来控制到路由器的接入•关闭不需要的服务•以适当级别登录•路由更新的验证PDFcreatedwithpdfFactoryProtrialversion©2004CiscoSystems,Inc.Allrightsreserved.Presentation_ID思科SAFE安全区域设计