文档介绍:网络安全解决方案
演讲人:刘海洋
同组成员:周飞、顾彬、何映池、徐飞、崔凤霞、杨苏苏
2008年7月19号
安全需求分析
内部与外部隔离
子网之间通信的加密传输
外部能访问内部指定区域提供的服务
能够对内部网络与外部网络之间的通信进行审计
远程通信安全
其它安全要求
根据需求我们采用了防火墙、VPN等技术。
理由:这些技术能够满足需求。
解决方案
实现内部与外部隔离有两种方法:防火墙和物理隔离技术。
互相隔离,以此来保护内部网络或主机。
物理隔离技术将外网和内网完全断开。是用户“深度防御”的安全策略的另外一块基石。
内部与外部隔离
为实现这个需求我们决定采用防火墙技术。相比于防火墙,物理隔离技术因为是将外网和内网完全断开,就带来了很多不便。这也是没有采用物理隔离技术的原因。
将Web服务器、邮件服务器、FTP服务器置于DMZ中。而数据库服务器则置于内网中。将数据库服务器置于DMZ中不安全。
外部能访问内部指定区域提供的服务
为保证子网之间通信的安全,很显然应该采用PKI。
CA是PKI的核心,在选择PKI解决方案时,有三种选择:
。
。
,由第三方CA提供根CA,将CA颁发限定于企业内部范围。
这里采用建立自己的CA,提供证书服务。
子网之间通信的加密传输
建立自己的CA比较省钱也易于管理。
在微软的证书服务器(Windows 2000 Server)上安装企业CA。
因为是在内部的用户上发布证书,因此没有必要在组织中每个域里面安装一个CA。
针对这一需求采用以下工具对内外网络之间的通信将进行审计:
网络入侵策略管理器
安全管理器
网络***器
网络入侵检测探头
内部网络与外部网络之间的通信进行审计
因为有一个分支机构,为保证远程通信安全采用基于PPTP的VPN。数据的安全性由CA保证。
远程通信安全