網絡架構安全設計網絡架構安全設計全文共22頁，當前為第1頁。知識域：網絡架構安全知識子域：網絡架構安全基礎理解網絡架構安全的含義及主要工作理解網絡安全域劃分應考慮的主要因素理解IP地址分配的方法理解VLAN劃分的作用與策略理解路由交換設備安全配置常見的要求理解網絡邊界訪問控制策略的類型理解網絡冗余配置應考慮的因素2網絡架構安全設計全文共22頁，當前為第2頁。網絡架構安全的內容合理劃分網絡安全區域規劃網絡IP地址設計VLAN安全配置路由交換設備網絡邊界訪問控制策略網絡冗余配置3網絡架構安全設計全文共22頁，當前為第3頁。網絡安全域劃分的目的與方法定義安全域是遵守相同安全策略的用戶和系統的集合安全域劃分的目的把大規模負責系統安全問題化解為更小區域的安全保護問題網絡抗滲透的有效防護方式，安全域邊界是災難發生時的抑制點安全域的劃分方法按信息資產劃分按業務類型劃分按地域劃分按組織架構劃分4網絡架構安全設計全文共22頁，當前為第4頁。同級別安全域

同級別安全域之間的邊界-同級別安全域之間的安全防護主要是安全隔離和可信互訪不同級別安全域

不同級別安全域之間的邊界－實際設計實施時又分為高等級安全域和低等級安全域的邊界和防護遠程連接用戶

遠程連接的用戶－對于遠程接入用戶通常采用VPN結合用戶認證授權的方式進行邊界防護同級別安全域之間的邊界遠程接入邊界的安全網絡安全域防護5網絡架構安全設計全文共22頁，當前為第5頁。IP地址規劃據IP編址特點，為所設計的網絡中的節點、網絡設備分配合適的IP地址應與網絡層次規劃、路由協議規劃、流量規劃等結合起來考慮IP地址規劃應采用自頂向下的方法6網絡架構安全設計全文共22頁，當前為第6頁。IP地址分配的方式靜態地址分配給網絡中每臺計算機、網絡設備分配一個固定的、靜態不變的IP地址提供網絡服務的網絡設備，如WEB服務器、郵件服務器、FTP服務器等服務器，一般為其分配靜態IP地址動態地址分配在計算機連接到網路時，每次為其臨時分配一個IP地址NAT地址分配將私網地址和公網地址轉換使用7網絡架構安全設計全文共22頁，當前為第7頁。VLAN設計將網內設備的邏輯地劃分成一個個網段從而實現虛擬工作組通過VLAN隔離技術，可以把一個網絡系統中眾多的網絡設備分成若干個虛擬的工作組安全作用建立VLAN之間的訪問機制，阻止蠕蟲和惡意病毒的廣泛傳播建立VLAN區域安全和資源保護，將受限制的應用程序和資源置于更為安全的VLAN中8網絡架構安全設計全文共22頁，當前為第8頁。VLAN劃分方法一個交換機上可以劃分出多個VLAN多個交換機并在一起共同劃分出若干個VLAN某些計算機可以同時處于多個VLAN中9網絡架構安全設計全文共22頁，當前為第9頁。路由交換設備的安全配置交換機安全配置要點安裝最新版本的操作系統，定期更新交換機操作系統補丁關閉空閑的物理端口帶外管理交換機明確禁止未經授權的訪問配置必要的網路服務，關閉不必要的網絡服務打開日志功能，并且將日志文件專門放到一臺安全的日志主機上對交換機配置文件進行脫機安全備份，并且限制對配置文件的訪問10網絡架構安全設計全文共22頁，當前為第10頁。路由器的安全配置要點在路由器上安裝最新版本的操作系統，定期更新對應的操作系統補丁防止欺騙性路由更新，配置路由協議鑒別路由器的配置保持下線備份，對它的訪問進行限制明確禁止未經授權的訪問防止網絡數據竊聽，適當部署加密保護技術禁用不需要的服務和組件，禁用有風險的接口服務打開日志功能，配置日志服務器進行日志收集和分析11網絡架構安全設計全文共22頁，當前為第11頁。網絡邊界的概念具有不同安全級別的網絡之間的分界線都可以定義為網絡邊界網絡常見邊界：內部網絡與外部網絡之間組織機構各部門之間重要部門與其他部門之間組織機構總部與分支機構之間12網絡邊界訪問控制網絡架構安全設計全文共22頁，當前為第12頁。基本安全防護采用常規的邊界防護機制，如基本的登錄/連接控制等，實現基本的信息系統邊界安全防護，采用路由器或者三層交換機。較嚴格安全防護采用較嚴格的安全防護機制，如較嚴格的登錄/連接控制，普通功能的防火墻、防病毒網關、入侵防御、信息過濾、邊界完整性檢查等嚴格安全防護根據當前信息安全對抗技術的發展，采用嚴格的安全防護機制，如嚴格的登錄/連接機制，高安全功能的防火墻、防病毒網關、入侵防御、信息過濾、邊界完整性檢查等特別安全防護采用當前最先進的邊界防護技術，必要時可以采用物理隔離安全機制，實現特別安全要求的邊界安全防護13邊界安全防護機制網絡架構安全設計全文共22頁，當前為第13頁。14邊界安全防護技術防火墻負載均衡IDS/IPSUTM隔離網閘抗拒絕服務攻擊……網絡架構安全設計全文共22頁，當前為第14頁。需要考慮的問題是否需要對外提供服務，提供什么服務IP數量，如何使用IP（NAT或直接服務）帶寬問題互聯網病毒傳播問題采取的防護措施路由器防火墻流量管理防病毒網關UTM……內部網絡與互聯網邊界防護15網絡架構安全設計全文共22頁，當前為第15頁。需要考慮的問題相互的服務提供及數據交換情況（在保證應用的情況下隔離）病毒傳播問題采取的防護措施路由器防火墻防病毒網關隔離網閘……內部網絡與外部網絡邊界防護16網絡架構安全設計全文共22頁，當前為第16頁。需要考慮的問題連接的方式（VPN或直接網絡訪問）病毒傳播問題采取的防護措施VPN防火墻防病毒網關……17內部網絡與分支機構邊界防護網絡架構安全設計全文共22頁，當前為第17頁。需要考慮的問題防護的程度和標準病毒傳播問題非法訪問問題采取的防護措施VLAN劃分防火墻防病毒網關……18內部網絡重要部門邊界防護網絡架構安全設計全文共22頁，當前為第18頁。19作用防止單點故障可以提高網絡的健全性、穩定性考慮因素接入互聯網時，同時采用不同電信運營商線路，相互備份且互不影響核心層、匯聚層的設備和重要的接入層設備均應雙機熱備保證網絡帶寬和網絡設備的業務處理能力具備冗余空間，滿足業務高峰期和業務發展需要網絡冗余配置網絡架構安全設計全文共22頁，當前為第19頁。知識域：網絡架構安全知識子域：網絡架構安全實踐