网络设备安全防御策略PPT课件:网络设备安全加固技术.pptx

上传人:83****86 文档编号:428104 上传时间:2022-03-15 格式:PPTX 页数:34 大小:2.37MB
返回 下载 相关 举报
网络设备安全防御策略PPT课件:网络设备安全加固技术.pptx_第1页
第1页 / 共34页
网络设备安全防御策略PPT课件:网络设备安全加固技术.pptx_第2页
第2页 / 共34页
网络设备安全防御策略PPT课件:网络设备安全加固技术.pptx_第3页
第3页 / 共34页
网络设备安全防御策略PPT课件:网络设备安全加固技术.pptx_第4页
第4页 / 共34页
网络设备安全防御策略PPT课件:网络设备安全加固技术.pptx_第5页
第5页 / 共34页
点击查看更多>>
资源描述

《网络设备安全防御策略PPT课件:网络设备安全加固技术.pptx》由会员分享,可在线阅读,更多相关《网络设备安全防御策略PPT课件:网络设备安全加固技术.pptx(34页珍藏版)》请在工友文库上搜索。

1、Report:某某某 Date:XXXX年XX月 网络设备安全加固技术01020304ContentsContents目录设备级安全配置管理平面安全方案控制平面安全方案数据平面安全方案050607安全防护措施业务接入的详细安全策略电信级业务系统的安全防护设计网络设备的安全防护策略 三平面安全Lorem ipsum dolor sit amet kolor设备设备安全加固技术安全的网络必须建立在安全的基础架构上控制平面保护 保护网络设备核心控制平台的业务处理转发管理平面保护 保护网络设备管理平台的安全访问和信息收集数据平面保护 保护网络设备数据平台信息数据安全转发PART 1PART 1设备级安

2、全配置Lorem ipsum dolor sit amet kolor设备级安全配置关闭所有默认开启但是不必需的服务:如TCP/UDP 小包服务、finger等服务;关闭source-route、ARP代理、定向广播服务避免引发地址欺骗和DDoS攻击;关闭ICMP网络不可达、IP重定向、路由器掩码回应服务,避免引发ARP欺骗、地址欺骗和DDoS攻击; Lorem ipsum dolor sit amet kolor设备级安全配置加强网络设备的安全,增加网络设备(路由器、交换机、接入服务器等)的口令强度,所有网络设备的口令需要满足一定的复杂性要求对设备口令在本地的存储,应采用系统支持的强加密方式

3、在口令的配置策略上,所有网络设备口令不得相同,口令必须定时更新等;在口令的安全管理上,必须实施相应的用户授权及集中认证单点登录等机制,不得存在测试账户、口令现象。可以采用TACACS服务器实行集中式口令管理和操作记录管理。010203Lorem ipsum dolor sit amet kolor设备级安全配置针对设备操作系统的安全漏洞,及时升级设备操作系统;在网络设备的网络服务配置方面,必须遵循最小化服务原则,关闭网络设备不需要的所有服务,避免网络服务或网络协议自身存在的安全漏洞增加网络的安全风险;对于必须开启的网络服务,必须通过访问控制列表等手段限制远程主机地址。在边缘路由器应当关闭对于某

4、些会引起网络安全风险的协议或服务,如ARP 代理等;040506加强本地控制台的物理安全性,限制远程VTY终端的IP 地址;控制banner 信息,不得泄露任何相关信息;远程登录必须通过加密方式,禁止反向telnet 等。 PART 2PART 2管理平面安全方案 安全威胁分析安全防护措施Lorem ipsum dolor sit amet kolor管理平面安全方案 管理平面的安全威胁主要是恶意用户对路由器的非法登录,控制路由器的管理平面; 实施网络管理员的分权和分级制严格控制对网络控制访问的权限,从内部管理上避免误操作的安全隐患高级网管员可以修改配置,删除账号。低级管理员只能查看网管界面,

5、不能做任何改动 网络口令管理对设备的访问控制实施AAA集中管理,避免采用设备本身的认证。启动SSH用户管理安全,禁止从客户网络直接登入到网络设备。采用Radius、TACACS+(可选)等加密的认证方式,保证用户名和密码在网上的的传递是经过加密的,同时对网络口令需要有审计的功能,防止被盗用密码的现象发生。Lorem ipsum dolor sit amet kolor管理平面安全方案 关闭网络不必用的功能和端口,关闭所有默认开启但是不必需的服务:如TCP/UDP 小包服务、finger等服务;SNMP采用V2/V3版本,实施MD5认证加密,通过MIB View限制对包含大数据量的表类型变量的访

6、问(路由表和CEF表)。Lorem ipsum dolor sit amet kolor管理平面安全方案 安全防护措施PART 3PART 3控制平面安全方案Lorem ipsum dolor sit amet kolor控制平面安全方案 控制平面主要包括指路由协议、路由信息和其它协议报文,还包括承载网设备本身的主机软件,控制平面对于IP承载网是非常重要的,关系到整个网络的正常运转。控制平面的安全威胁主要包括以下三个方面:非法路由攻击,如非法邻居,发布非法路由,路由振荡等,主要来自大客户VPN网络。大客户VPN内部恶意用户对控制资源的侵占,如PE的路由表容量、ARP表容量等。恶意用户或者病毒到

7、路由器管理平面的DDOS攻击,占用CPU和内存资源。 安全威胁分析e安全目标:攻击手段:保护手段:Lorem ipsum dolor sit amet kolor控制平面安全方案ISIS 协议保护保护ISIS协议免受非法用户的攻击非法用户通过和承载网路由器建立ISIS邻居,向承载网网络产生虚假路由,可同时导致IGP路由表剧增和全网流量的乱序向外端口禁止ISIS协议运行 BGP 协议保护安全目标:保护BGP协议免受非法用户的攻击。攻击手段:建立非法BGP PEER,向承载网网络产生虚假路由,可同时导致全网路由表增和全网流量的乱序;非法用户无法建立BGP PEER,但通过伪造BGP合法Neighb

8、or的IP地址并利用TCP包头的控制字段攻击已有的TCP连接,导致合法BGP连接的异常;直接对BGP TCP端口进行DoS攻击。Lorem ipsum dolor sit amet kolor控制平面安全方案保护手段:在所有承载网路由器上限定合法PEER路由器IP地址和所在AS号;采用分组过滤策略拒绝非法的EBGP协议数据包;为进一步保证EBGP PEER的安全,对外EBGP PEER上进行MD5认证。安全防护措施 安全路由协议为了防止非法的路由邻居,关闭没有路由协议功能需求端口。对于非信任的网络启动安全路由协议,主要措施包括:BGP Damping功能,防止其它网络路由波动对IP承载网的冲击

9、,MD5认证等,避免建立非法的路由邻居关系,特别是ASBR的EBGP PEER启动MD5认证。对于非信任的小客户网络,采用静态路由方式,CE与PE之间可以通过配置静态路由增加安全性,能有效避免非法连接和路由攻击。BGP保护,限定合法PEER路由器IP地址和所在AS号,避免建立非法的BGP邻居。Lorem ipsum dolor sit amet kolor控制平面安全方案Lorem ipsum dolor sit amet kolor设备设备安全加固技术 协议包过滤和路由限制在与大客户VPN建立的路由上实施路由过滤,在PE与CE的接口上应用访问控制列表(ACL)来限制,只允许来自CE的路由协议

10、进入PE。同时在所有Access端口上采用分组过滤策略拒绝非法的EBGP协议数据包。针对大客户VPN网络,PE路由器启动路由限制,限制VRF路由条目,避免可能来自用户网络的海量路由攻击对该PE所接其他VPN的不良影响。实施NTP过滤,同时在NTP 会话上进行MD5认证。安全防护措施Lorem ipsum dolor sit amet kolor互联网+医疗路由振荡抑制 在启动了动态路由协议的P/PE路由器启动路由振荡抑制功能,主要包括三个方面:IP承载网路由器之间启动链路振荡抑制功能,防止链路波动对路由的冲击。PE路由器与外部网络的路由协议启动振荡抑制,防止客户网络路由波动对IP承载网的影响;

11、静态路由方式,不响应客户网络路由的波动。防控制引擎攻击目前高端设备控制引擎具备动态状态防火墙功能,能够动态访问Syn Flood、TCP伪装攻击,保护设备控制引擎CPU资源。PART 4PART 4数据平面安全方案Lorem ipsum dolor sit amet kolor数据平面安全方案业务平面主要是指承载网承载的各种业务软交换信令业务、媒体业务、分组数据和增值业务等可分为2类第一类电信类业务第二类业务是部分可信任的运营商业务Lorem ipsum dolor sit amet kolor数据平面安全方案业务平面的安全威胁不同安全域的流量互通冲击,主要是业务VPN网络或者其它网络对内部系

12、统的攻击外部系统流量过载或者内部系统流量过载,超过SLA承诺带宽,影响其它业务的正常使用;非法流量泛滥消耗带宽,主要来自业务VPN网络,这些流量会抢占IP承载网的带宽,影响其它业务,如软交换业务的使用。PART 5PART 5安全防护措施Lorem ipsum dolor sit amet kolor安全防护措施MPLS VPN安全隔离业务平面安全基础是采用MPLS VPN逻辑网络实现不同业务的安全隔离,MPLS VPN安全等级能够等同于ATM/FR,并且在IP承载网得到成熟应用。从实际使用情况来看,目前没有由于VPN客户对运营商网络的攻击导致网络瘫痪的报告,也没有MPLS VPN内用户被其他

13、VPN用户攻击的报告。Lorem ipsum dolor sit amet kolor互联网+餐饮VPN之间的互访提供三种方案A全通方案公共VPN方案业务网关方案MPLS VPN是安全的,但是仍然存在安全风险,MPLS VPN的安全风险主要存在PEPE分设防范安全隐患PECE间部署严格的安全策略BC基本的ACL过滤uRPF反向地址检测CAR进行流量限制PE分设防止异常流量攻击PART 6PART 6业务接入的详细安全策略 1. 在PE 与CE 的接口通过路由过滤或ACL的方式来限制,只允许来自CE 的路由协议进入PE。2. 通过路由过滤或ACL的方式隐藏承载网骨干路由设备及网管等系统的IP地址

14、,减少其它不可信网络的安全风险。3. 对用户VPNv4路由进行限制,避免可能来自用户网络的海量路由攻击对该PE 所接其他VPN 的不良影响。Lorem ipsum dolor sit amet kolor业务接入的详细安全策略 4. CE 与PE 之间应当通过配置静态路由或者运行带有验证功能的路由协议来进行路由交换,对路由协议交换进行MD5 和DES 加密认证控制,防止恶意路由攻击。采取相关的安全措施控制流量的冲击带来的安全风险,保证PE 的安全5. 根据SLA协议对用户流量进行限速,并进行流量监管。6. 采用uRPF 反向路径查询功能,有效地阻挡来自接入层的虚假地址的攻击。安全策略部署对设备

15、影响评估 管理平面:路由器性能不会造成任何影响。控制平面:部署相应的安全策略如路由协议加密、如网络路由策略不会对网络设备的转发性能没有影响。数据平面:不建议在AR路由器采用ACL/uRPF技术对业务流量限制。数据平面公众业务:开启该功能开启该功能对性能不会有影响,能达到线速转发。在路由器系统满负荷转发时,启用uRPF后,路由器的报文转发性能会略有下降;在路由器系统轻载的情况下,启用uRPF对路由器报文转发基本无影响。Lorem ipsum dolor sit amet kolor业务接入的详细安全策略 PART 7PART 7电信级业务系统的安全防护设计系统层安全软交换的各系统的服务软件都是构

16、建在通用操作系统之上的。通用的操作系统如UNIX,Linux,Windows NT等一般存在系统漏洞,可能被发现并被利用来对系统发起对软交换系统攻击的。因此软交换系统服务器投入使用前必须对操作系统进行及时加固。Lorem ipsum dolor sit amet kolor电信级业务系统的安全防护设计安全网络设计 日益严重的安全攻击对核心业务系统造成了极大的威胁,造成的损失也与日俱增,为了满足核心业务系统对安全的需求,采用如下安全技术构建核心业务系统的安全保护体系。 业务安全业务安全控制设置在网络设备上,主要实现网络业务的安全防护,如通过设备相互认证进行设备间的访问控制,通过对用户的业务权限认

17、证避免业务被非法使用,通过协议信令的加密来防止网络监听等 应用层安全应用层安全需要考虑软交换中常用的媒体控制信令的安全。在信令协议中启动加密和鉴权机制,保证媒体网关控制器对媒体网关的控制权,防止非法用户对业务的盗用或干扰。防火墙技术及部署方案 入侵检测技术及部署方案在核心业务系统的网络出口部署高性能的防火墙产品,保证所有的流量通过防火墙,从而实现对网络边界的访问控制,采用冗余方式部署防火墙,保证核心业务系统的高可用性。 Lorem ipsum dolor sit amet kolor电信级业务系统的安全防护设计在业务系统的核心交换机开启SPAN功能,将关键业务流量发送给入侵检测系统,入侵检测系

18、统会对流量进行分析,及时发现可疑的攻击行为。 漏洞扫描技术及部署方案部署基于网络的漏洞扫描系统对核心业务系统进行定期的脆弱性评估,并根据评估结果做进一步的处理。 异常流量监控、清洗技术及部署方案 在网络出口处部署异常流量监控、清洗系统系统,分析并防护大规模的DDoS攻击。部署基于IPSEC 或SSL 技术VPN网关产品,确保远程访问的安全性。定期对网络系统、主机系统、应用系统进行风险评估,通过对相关IT资产的识别、脆弱性和威胁分析,确认系统各自面临的风险,根据风险等级的不同,有针对性的强化系统的安全策略。 在业务系统主机和终端部署专业的网络防病毒、防木马。NAC系统,实现桌面级的细粒度安全保护

19、。Lorem ipsum dolor sit amet kolor电信级业务系统的安全防护设计安全远程访问技术及部署方案在业务系统的网络设备和主机系统进行必要的安全加固,提升操作系统的安全等级。 系统加固及部署方案安全风险评估技术的应用终端安全技术及部署方案 安全管理中心的建设网络安全问题日益向规模化、隐蔽性发展,传统的网络静态防护、事件的局部分析已完全不能满足网络安全的需要。IP承载网安全管理需要建立一个统一安全管理体系,将技术手段与管理手段进行充分整合,发挥网络安全管理的整体优势,充分体现网络安全管理集中化、层次化的特点。在技术上层面上需要通过必要的技术手段建立全网统一的网络安全监控和管理

20、平台,从全局的层面掌握全网的安全情况。并在安全管理体制中,建立完善网络安全运行管理机制、流程、制度、策略 。Lorem ipsum dolor sit amet kolor电信级业务系统的安全防护设计Lorem ipsum dolor sit amet kolor互联网+餐饮完善安全管理策略与机制在安全管理体制中,建立完善网络安全运行管理机制、流程、制度、策略。 建立完整的安全策略体系。包括制定网络安全管理办法、安全维护规程等管理办法和流程;其次制定安全产品、操作系统、网络设备等安全操作手册等。制定预警和应急响应机制,包括制定相应的处理流程、计划、预案等。建立安全考核机制。Report:某某某 Date:XXXX年XX月 网络设备安全加固技术谢谢您的聆听

展开阅读全文
相关资源
猜你喜欢
相关搜索
资源标签

当前位置:首页 > PPT模板 > 创意新颖