1. ¿Qué "línea" se utiliza para la creación de redes?
Al construir una LAN en el campus, muchos usuarios se centran en conmutadores, enrutadores, tarjetas de red y otros equipos. Esto es innegablemente correcto, pero a veces ignoran un problema poco visible, es decir, los cables de red. En la LAN del campus, el sistema de cableado integrado consta de seis subsistemas: subsistema entre edificios, subsistema de equipo a equipo, subsistema de gestión, subsistema vertical (troncal), subsistema horizontal, subsistema de área de trabajo, diferentes subsistemas y uso del espacio por parte de los equipos. En general, se utilizan tres tipos de cableado en LAN: par trenzado, cable coaxial y cable óptico. En la LAN del campus, es necesario seleccionar los cables de cableado correspondientes según la situación real. Por ejemplo, los cables de conexión entre los edificios del campus están expuestos al exterior y están sujetos a interferencias del sol, la selva tropical y los rayos durante todo el año. En este momento, el cable óptico es el medio de transmisión más adecuado. Dado que los cables ópticos tienen características importantes como gran ancho de banda, larga distancia de transmisión, gran capacidad antiinterferencias, buena seguridad, antienvejecimiento y larga vida útil, además, para la mayoría de las redes de campus, la cantidad de transmisión de información multimedia transportada por el La red del campus aumentará para aplicaciones como la enseñanza multimedia, la lectura electrónica y el vídeo a la carta, el medio de transmisión de la red troncal debe ser capaz de transportar velocidades de gigabit. En este momento, sólo los cables ópticos pueden cumplir los requisitos de cableado de las redes troncales exteriores. En el caso de los cables coaxiales, debido a la dificultad para encontrar suministros, sus costos han superado a los de los cables ópticos y son más adecuados para conexiones de equipos centrales de corta distancia, como cables de conexión entre conmutadores y enrutadores.
La red del campus es una red de campus. Los subsistemas entre los edificios están conectados a través de cables ópticos, que pueden proporcionar un ancho de banda gigabit y tener suficiente espacio para la expansión. Si se utilizan pares trenzados, al no haber una capa protectora, es fácil inducir la caída de rayos en el exterior e incluso dañar el equipo. Debido al duro entorno exterior, los cables de par trenzado son propensos a envejecer y tienen una vida útil corta. Además, los pares trenzados no pueden superar los 100 metros y no son adecuados para conectar cables principales entre edificios. Sin embargo, para los medios de cableado interior en el campus, la longitud del cable es relativamente larga porque el subsistema del área de administración debe fusionarse con el subsistema de la sala de equipos para una administración centralizada. Como los cables ópticos son caros, es más práctico elegir par trenzado. Además, el actual cable de cobre de par trenzado blindado (STP) tiene una buena distancia de transmisión y antiinterferencias. No solo puede soportar los requisitos de ancho de banda de transmisión de red de las aplicaciones generales de gestión de información escolar, sino que también admite completamente la transmisión de información multimedia en MPEG. 2 formato. En la LAN del campus, existen tres protocolos de red comúnmente utilizados: NetBEUI, IPX/SPX y TCP/IP. En la creación de redes reales, el protocolo de red a elegir depende de la escala real de la red del campus, los requisitos de la aplicación de la red, la compatibilidad de la plataforma de la red y la administración de la red. El protocolo NetBEUI está diseñado para LAN pequeñas y medianas. Utiliza un único nombre de pieza para definir los nodos de red y no admite redes de múltiples segmentos (no enrutables), pero tiene las características de una instalación muy simple, no requiere configuración y un uso reducido de memoria. Por lo tanto, para las LAN de escuelas primarias y secundarias, debido al bajo rendimiento de la máquina, a menudo sólo se instalan sistemas Windows 95/98/NT más antiguos, sólo para archivos y dispositivos simples.
Para la LAN del campus, dado que hay muchos segmentos de red o enrutadores conectados al mundo exterior y las computadoras equipadas por la escuela tienen un buen rendimiento, el protocolo NetBEUI no puede cumplir con los requisitos de red en este momento. Se recomienda elegir el protocolo IPX/SPX o TCP/IP para la conexión en red. El protocolo IPX/SPX tiene una gran adaptabilidad a entornos complejos y potentes funciones de enrutamiento. Es adecuado para redes de gran escala, pero está limitado a entornos de red NetWare. no se puede utilizar directamente en entornos de red de Windows.
Sin embargo, para lograr la interconexión con la plataforma NetWare, el sistema Windows proporciona dos protocolos compatibles con IPX/SPX: NWLink SPX/SPX y NWLink NetBIOS. El primero sólo se puede utilizar como protocolo de cliente para acceder a servidores NetWare, mientras que el segundo puede transferir información entre la plataforma NetWare y la plataforma Windows, y también se puede utilizar como protocolo de comunicación entre sistemas Windows.
A pesar de esto, la mayoría de estudiantes y profesores todavía están acostumbrados a utilizar plataformas Windows. En este momento, es una tendencia inevitable que la red del campus elija el protocolo TCP/IP. Ya sea en una red de área local, una red de área amplia, Internet, un sistema Unix o una plataforma Windows, el protocolo TCP/IP puede satisfacer las necesidades de red de las redes de campus. TCP/IP es un protocolo enrutable que utiliza una convención de nomenclatura jerárquica. Al configurar la dirección IP, la máscara de subred, la puerta de enlace y el nombre de host para cada nodo de la red, la relación entre la red y la subred es fácil de determinar, logrando una buena adaptabilidad de la red, capacidad de administración y una alta eficiencia en la utilización del ancho de banda de la red. Sin embargo, la configuración y gestión del protocolo TCP/IP son más complejas que NetBEUI e IPX/SPX y ocupan más recursos del sistema. Por lo tanto, para las escuelas primarias y secundarias con bajo rendimiento de la máquina o conocimientos de mantenimiento insuficientes, el protocolo TCP/IP tiene un cierto umbral en la red del campus. Muchas escuelas primarias y secundarias y campus universitarios todavía tienen múltiples redes de área local que no están interconectadas. En este momento, si se reorganiza la red del campus, no solo aumentará el costo de construcción, sino que también causará ciertos problemas de mantenimiento. Por lo tanto, las escuelas deben utilizar equipos de red adecuados para interconectar múltiples redes de área local para que los estudiantes, profesores y personal de oficina puedan compartir recursos e intercambiar información. Por ejemplo, una escuela secundaria quiere conectar la red del campus y la LAN del edificio de profesores. La distancia entre la red del campus y la LAN del edificio de profesores es de 500 metros. En este momento, puede utilizar el método económico 10base5 para interconectar, utilizando un cable coaxial de 50 ohmios de espesor y 10 mm de diámetro. Cada segmento de red permite 100 sitios y la distancia máxima permitida por segmento de red es de 500 metros. Puede constar de cinco segmentos de red de 500 metros de longitud y cuatro repetidores. Sin embargo, esta solución de interconexión tiene ciertas limitaciones. Sólo es adecuada para la interconexión LAN en el campus y no puede satisfacer las necesidades de interconexión LAN de las sucursales universitarias.
Si es una red de campus universitarios, debido a que hay muchos campus, esperamos interconectar las LAN de cada campus. En este momento, se utilizan enrutadores inalámbricos o AP inalámbricos para la interconexión, pero el costo de inversión en equipos inalámbricos es alto, la velocidad de transmisión se pierde gravemente y la seguridad no está garantizada. En este momento, se recomienda utilizar una solución VPN más económica, que pueda utilizar un protocolo de comunicación cifrado especializado. Establecer una línea de comunicación dedicada para redes externas entre dos o más intranets del campus es como configurar una línea dedicada, pero en realidad no necesita tender cables ópticos ni otras líneas físicas, como solicitar una línea dedicada en el centro de telecomunicaciones. oficina Simplemente no necesita pagar por tender líneas ni comprar equipos de hardware como enrutadores. Y el intercambio de datos entre redes es muy seguro. Siempre que elija conmutadores y dispositivos de firewall que admitan funciones VPN, podrá lograr la interconexión entre varias LAN del campus.
En muchas redes de campus universitarios, las residencias de estudiantes y las residencias de profesores están interconectadas mediante una red troncal. Durante el período pico de acceso a Internet, algunos usuarios descargan BitTorrent o juegan juegos en línea, lo que provoca que se ocupen una gran cantidad de recursos de la LAN, lo que resulta en una grave escasez de ancho de banda de exportación de la red del campus y una velocidad extremadamente lenta, lo que afecta gravemente el trabajo normal e incluso provocando la vergonzosa situación de parálisis de la red del campus. Para ello, las escuelas pueden instalar un software de control de tráfico en el servidor principal. Dígales que no reproduzcan videos o juegos en línea. Si te descubren, tu IP será bloqueada durante 24 horas. Si sienten que los recursos del sistema están siendo ocupados, también pueden usar un conmutador con funciones de administración de red para restringir el uso de todas las máquinas en la LAN a través del programa de control integrado del conmutador.
En la LAN del campus, el control remoto puede ser la aplicación de enseñanza más común. Puede mejorar la eficiencia del trabajo, aprovechar al máximo los equipos audiovisuales del campus y fortalecer la gestión de los equipos audiovisuales del campus. Por ejemplo, el sistema de megafonía del campus puede reproducir ejercicios, música para izar banderas, tonos de llamada de clase y música de clase, música de fondo durante el recreo, educación moral y enseñanza de lenguas extranjeras, programas autoorganizados, etc. , como eventos a gran escala y con poca antelación, etc. , que a menudo requiere que los profesores de audiovisuales vayan al estudio a tocar música, y debido a que los intérpretes están lejos del sonido actual, es difícil ver la dinámica de la escena y, a veces, se cometen errores que provocan pérdidas innecesarias. . El control remoto resuelve el problema. Solo se necesita un cable de red para controlar la reproducción de la computadora en la sala de transmisión.
Si no hay un cable de micrófono conectado al estudio, también puede hablar con la computadora en el estudio a través de un software de voz en Internet para realizar la función del micrófono, y el sonido también se puede escuchar durante la transmisión.
Para lograr el control remoto de todos los dispositivos, cada computadora debe estar equipada con una tarjeta de red y conectada a la LAN del campus. Una red interna está conectada a cada salón de clases y oficina, y cada maestro tiene una computadora portátil. Se recomienda utilizar un servidor de control remoto dentro de la LAN, que permite a los profesores de gestión de redes a tiempo parcial completar diversas tareas de gestión en sus propias oficinas u otras computadoras de la escuela. En la red real, la computadora de control principal está conectada al sistema de reproducción automática de transmisión del campus (la computadora controla el interruptor de encendido del sistema a través de comandos de puerto). ), luego instale el software del extremo controlado en el servidor, la computadora de control principal de transmisión y la máquina de edición de TV, y agregue un usuario y una contraseña. Instale software de llamadas de voz (como MSN, sistema de conferencia LAN, QQ empresarial, NETMEETING, etc.) e instale el software de control principal y el software de llamadas de voz en otras computadoras. Si hay notificaciones o voces, abra el software de voz en ambas computadoras al mismo tiempo. En la LAN del campus, a menudo encontramos algunos problemas durante el uso y mantenimiento. Por ejemplo, la tarjeta de red puede detectarse normalmente al reiniciarse, pero no puede interconectarse con otras máquinas. Esto se debe principalmente a errores de configuración de la máscara de subred o de la dirección IP, congestión del cable de red, errores de protocolo de red y errores de enrutamiento. La solución es hacer ping a la dirección de loopback de esta tarjeta de red (127.0.0.1). Si está conectado, el TCP/IP de la computadora está funcionando bien. Si no funciona, deberá reconfigurar y reiniciar la computadora. La velocidad predeterminada de algunas tarjetas de red es 100 M, lo que también puede provocar fallas en la red. La velocidad debe configurarse en 10 M, 100 M o en la velocidad del cable de red adaptable según la velocidad del conmutador conectado.
Solución de seguridad de red del campus
La red del campus es una estructura de topología jerárquica, por lo que la protección de la seguridad de la red también requiere medidas de protección de topología jerárquica. En otras palabras, una solución completa de seguridad de la información de la red del campus debe cubrir todos los niveles de la red y estar integrada con la gestión de la seguridad.
1. Principios de diseño de sistemas de seguridad de la información en redes.
1.1 Cumplir con los requisitos de gestión jerárquica de Internet.
1.2 Ze original del equilibrio entre demanda, riesgo y costes
1.3 Principio de exhaustividad e integridad
1.4 Principio de disponibilidad
1,5 puntos Principios de implementación paso a paso
En la actualidad, para las redes recién construidas y las redes que se han puesto en funcionamiento, los problemas de seguridad y confidencialidad de la red deben resolverse lo antes posible. Se deben seguir las siguientes ideas durante. diseño:
(1) Mejora enormemente la seguridad y confidencialidad del sistema;
(2) Mantiene las características de rendimiento originales de la red, es decir, tiene buena transparencia para el protocolos de red y transmisión;
(3) Fácil de operar y mantener, facilita la administración automática, no es necesario agregar ni agregar operaciones adicionales;
(4) Trate de no afectar el original topología de la red y facilitar la expansión del sistema y sus funciones;
(5) El sistema de seguridad es rentable y se puede utilizar durante mucho tiempo con una inversión única;
(6) Los productos de seguridad y contraseñas son legales y fáciles de inspeccionar y supervisar por parte de las unidades de gestión de seguridad y las unidades de gestión de contraseñas.
Basado en las ideas anteriores, el sistema de seguridad de la información de la red debe seguir los siguientes principios de diseño:
Basado en las características de gran escala y gran número de usuarios de la red de Internet, un Se propone una solución de gestión jerárquica para la seguridad de la información en Internet/Intranet. El plan divide sus puntos de control en tres niveles para implementar la gestión de seguridad.
-El primer nivel: red central, que realiza principalmente el aislamiento de redes internas y externas; control de acceso de usuarios de redes internas y externas; monitoreo de la intranet y auditoría de datos de transmisión de la intranet;
-Nivel 2: nivel de departamento, que implementa principalmente control de acceso para usuarios de redes internas y externas entre departamentos del mismo nivel;
-Nivel 3: nivel de terminal/usuario individual, realizando control de acceso de hosts dentro de la red del departamento, protección de seguridad de la base de datos y los recursos de información del terminal.
Los principios de equilibrar requisitos, riesgos y costos son difíciles de lograr y no son necesariamente necesarios para ninguna red. Estudiar las cantidades reales de una red (incluidas tareas, rendimiento, estructura, confiabilidad, mantenibilidad, etc.), realizar análisis cualitativos y cuantitativos de las amenazas y posibles riesgos que enfrenta la red y luego formular especificaciones y medidas para determinar la seguridad del sistema. política.
Los principios de exhaustividad e integridad utilizan perspectivas y métodos de ingeniería de sistemas para analizar la seguridad de la red y medidas específicas. Las medidas de salvaguardia incluyen principalmente: medios administrativos y legales, diversos sistemas de gestión (revisión de personal, flujo de trabajo, sistemas de mantenimiento y garantía, etc.) y medidas profesionales (tecnología de identificación, control de acceso, contraseñas, baja radiación, tolerancia a fallos, antivirus, uso de productos de seguridad de alta tecnología, etc.). Las buenas medidas de seguridad suelen ser el resultado de la aplicación de múltiples métodos. Redes informáticas, incluidos individuos, dispositivos, software, datos, etc. El estado y la influencia de estos enlaces en la red sólo pueden verse y analizarse desde la perspectiva de la integración del sistema para derivar medidas efectivas y viables. Es decir, la seguridad de la red informática debe seguir el principio de seguridad general y formular una arquitectura de seguridad de red razonable de acuerdo con las políticas de seguridad prescritas. Las medidas de seguridad del principio de disponibilidad deben completarse manualmente. Si las medidas son demasiado complejas y exigentes, la seguridad misma se verá reducida. Por ejemplo, la gestión de claves tiene problemas similares. En segundo lugar, las medidas tomadas no pueden afectar el funcionamiento normal del sistema, como no utilizar o utilizar menos algoritmos criptográficos que reducen en gran medida la velocidad de funcionamiento. Principio de implementación paso a paso: implementación paso a paso de la gestión jerárquica. Debido a la expansión generalizada de los sistemas de red y sus aplicaciones, la vulnerabilidad de la red seguirá aumentando a medida que se expanda la escala de la red y aumenten las aplicaciones. No es realista resolver el problema de la seguridad de la red de una vez por todas. Al mismo tiempo, implementar medidas de seguridad de la información requiere un gasto considerable. Por lo tanto, si se implementa paso a paso, se pueden cumplir los requisitos básicos para los sistemas de red y la seguridad de la información, y también se pueden ahorrar gastos.
2. Pasos para el diseño del sistema de seguridad de la información de la red
Análisis de los requisitos de seguridad de la red
Establezca una línea base objetivo razonable y una estrategia de seguridad.
Tenga claro el precio que está dispuesto a pagar
Desarrollar soluciones técnicas factibles
Plan de implementación del proyecto (selección y personalización de productos)
Desarrollar paquetes de apoyo Leyes, regulaciones y medidas de gestión
Este plan analiza principalmente las necesidades de seguridad de la red y, basándose en la jerarquía de la red, propone soluciones de seguridad de la información de la red del campus con diferentes niveles y fortalezas de seguridad.
3. Requisitos de seguridad de la red
Comprender con precisión qué problemas de seguridad debe resolver el sistema de información de la red del campus es la base para establecer requisitos de seguridad razonables. En términos generales, los sistemas de información de la red del campus deben resolver los siguientes problemas de seguridad:
Problemas de seguridad interna de la LAN de la red de área local, incluida la división de segmentos de red y la implementación de VLAN.
¿Cómo lograr seguridad en la capa de red al conectarnos a Internet?
Cómo garantizar la seguridad de los sistemas de aplicaciones y cómo evitar que los piratas informáticos invadan redes, hosts y servidores.
Cómo lograr la seguridad y confidencialidad de la transmisión de información en WAN
Cómo organizar el sistema de cifrado, incluido el establecimiento de un centro de gestión de certificados, cifrado integrado del sistema de aplicaciones, etc.
Cómo lograr la seguridad del acceso remoto
Cómo evaluar la seguridad general del sistema de red
Con base en estos problemas de seguridad, los sistemas de información de la red generalmente deben incluir la siguientes mecanismos de seguridad: control de acceso, detección de seguridad, monitoreo de ataques, comunicación cifrada, autenticación, ocultación de información de la red interna (como NAT), etc.
4. Nivel de seguridad de la red y medidas de seguridad
4.1 Seguridad del enlace
4.2 Seguridad de la red
4.3 Nivel de seguridad de la red de seguridad de la información se divide en niveles de seguridad de red de seguridad de enlace, seguridad de red y seguridad de la información. Las medidas de seguridad tomadas en los niveles correspondientes se muestran en la siguiente tabla.
Seguridad de la información, seguridad de la transmisión de información (seguridad dinámica), cifrado de datos, autenticación de integridad de datos, gestión de seguridad, seguridad del almacenamiento de información (seguridad estática), seguridad de bases de datos, seguridad de terminales, prevención de fugas de información, auditoría de contenido de información, autenticación y autorización de usuario (CA)
Seguridad de red control de acceso (firewall) detección de seguridad de red detección de intrusiones (monitoreo) IPSEC (seguridad IP) análisis de auditoría seguridad de enlace cifrado de enlace
4.1 Seguridad de enlace Las medidas de protección de seguridad de enlaces son principalmente equipos de cifrado de enlaces, como varias máquinas de cifrado de enlaces. Cifra todos los datos del usuario juntos y los descifra tan pronto como los datos del usuario se envían a otro nodo a través de la línea de comunicación. Los datos cifrados no se pueden enrutar ni intercambiar. Por lo tanto, cuando los datos cifrados no requieren enrutamiento, usuarios como DDN Direct pueden elegir equipos de cifrado de enrutamiento.
Los productos de cifrado de líneas generales se utilizan principalmente en redes telefónicas, DDN, líneas dedicadas y entornos de comunicación satelital punto a punto, incluidas máquinas de cifrado de líneas asíncronas y máquinas de cifrado de líneas síncronas. Las máquinas de cifrado de línea asíncronas se utilizan principalmente en redes telefónicas, mientras que las máquinas de cifrado de línea síncronas se pueden utilizar en muchos entornos de línea dedicada.
4.2 Seguridad de la red Los problemas de seguridad de la red son causados principalmente por la apertura, la ausencia de fronteras y la libertad de la red. Por lo tanto, cuando consideramos la seguridad de las redes de información de la red del campus, primero debemos considerar separar la red protegida del entorno de red abierto y sin fronteras y convertirla en una red interna manejable, controlable y segura. Sólo así se puede lograr la seguridad de la red de información, y el método de aislamiento más básico es el firewall. Los firewalls se pueden utilizar para lograr aislamiento y control de acceso entre la red interna (red confiable) y redes externas no confiables (como Internet) o diferentes dominios de seguridad de red de la red interna para garantizar la disponibilidad de los sistemas y servicios de red.
Actualmente existen en el mercado varios cortafuegos relativamente maduros: uno es un cortafuegos de filtrado de paquetes, el otro es un cortafuegos de proxy de aplicaciones y el otro es un cortafuegos compuesto, que es una combinación de cortafuegos de filtrado de paquetes y cortafuegos de proxy de aplicaciones. Los firewalls de filtrado de paquetes generalmente filtran los flujos de datos según la dirección IP de origen o destino, el tipo de protocolo y el número de puerto de protocolo de los paquetes de datos IP. Los cortafuegos de filtrado de paquetes proporcionan un mayor rendimiento de la red y una mejor transparencia de las aplicaciones en comparación con otros cortafuegos. Los firewalls proxy actúan en la capa de aplicación y generalmente pueden representar múltiples protocolos de aplicación, autenticar identidades de usuarios y proporcionar registros e información de auditoría más detallados. La desventaja es que a menudo es necesario proporcionar un programa proxy correspondiente para cada protocolo de aplicación. hacer que el rendimiento de la red caiga significativamente. Cabe señalar que hoy en día, a medida que los problemas de seguridad de la red se vuelven cada vez más prominentes, la tecnología de firewall se está desarrollando rápidamente. En la actualidad, algunos fabricantes líderes de firewalls han integrado muchas funciones de borde de red y funciones de administración de red en los firewalls, incluidas funciones VPN, funciones de contabilidad, estadísticas de tráfico y funciones de control, funciones de monitoreo, funciones NAT, etc.
Los sistemas de información se desarrollan de forma dinámica. Determinar la estrategia de seguridad y elegir el producto de firewall adecuado es sólo un buen comienzo, pero sólo puede resolver entre el 60% y el 80% de los problemas de seguridad, y los problemas de seguridad restantes aún deben resolverse. Estos problemas incluyen amenazas altamente inteligentes y proactivas a los sistemas de información, el debilitamiento de las políticas y respuestas de seguridad posteriores, errores de configuración del sistema, baja percepción de riesgos de seguridad y entornos de aplicaciones dinámicos llenos de vulnerabilidades.
La seguridad de los sistemas de información debe ser un proceso de desarrollo dinámico, un proceso cíclico de detección, seguimiento y respuesta de seguridad. El desarrollo dinámico es la ley de la seguridad del sistema. Para lograr este objetivo son necesarios productos de evaluación de riesgos de ciberseguridad y detección de intrusiones.
La detección de seguridad de la red es un medio importante de evaluación de riesgos de la red. Al utilizar el sistema de análisis de seguridad de la red, podemos descubrir rápidamente los eslabones más débiles del sistema de red, verificar e informar debilidades, vulnerabilidades y configuraciones inseguras del sistema, y proponer medidas correctivas y estrategias de seguridad para mejorar la seguridad de la red.
El sistema de detección de intrusiones es un sistema automático de identificación y respuesta en tiempo real ante intrusiones en la red. Está en una red que tiene datos confidenciales que proteger o en cualquier lugar de la red que esté en riesgo. Al interceptar los flujos de datos de la red en tiempo real, identificando y registrando flujos de códigos intrusivos y destructivos, podemos identificar patrones de violación de la red e intentos de acceso no autorizados a la red. Cuando se descubren patrones de violación de la red y acceso no autorizado a la red, el sistema de detección de intrusiones puede responder de acuerdo con las políticas de seguridad del sistema, incluidas alarmas en tiempo real, registro de eventos, bloqueo automático de conexiones de comunicación o ejecución de políticas de seguridad definidas por el usuario.
Además, el uso de la tecnología de cifrado de canal IP (IPSEC) también puede establecer un canal cifrado transparente y seguro entre dos nodos de la red. Entre ellos, el encabezado de autenticación IP (IP AH) puede proporcionar mecanismos de autenticación e integridad de datos. La confidencialidad del contenido de la comunicación se puede lograr utilizando la carga útil de encapsulación IP (IP ESP). La ventaja de la tecnología de cifrado de canales IP es que es transparente para las aplicaciones, puede proporcionar servicios de seguridad de host a host y realiza redes privadas virtuales (VPN) mediante el establecimiento de túneles IP seguros. Actualmente, el principal producto de seguridad basado en IPSEC es la máquina de cifrado de red. Además, algunos firewalls ofrecen la misma funcionalidad.
5. Solución de Seguridad de Red Campus
5.1 Sistema de Protección Básico (Filtrado de Paquetes Firewall + NAT + Contabilidad)
Requisitos del Usuario: Cumplir con todos o parte de los siguientes requisitos: Resolver la seguridad de los límites de la red interna y externa, prevenir ataques externos, proteger la red interna, resolver problemas de seguridad de la red interna, aislar diferentes segmentos de la red interna, establecer VLAN, filtrar por dirección IP, tipo de protocolo, puerto, usar dos conjuntos de direcciones IP para redes internas y externas, necesita traducción de direcciones de red La función NAT admite el SSN de la red de servidor seguro para evitar el fraude de IP correspondiente a la dirección IP y la dirección MAC, la contabilidad basada en direcciones IP y las estadísticas y restricciones de tráfico basadas en direcciones IP.
El firewall se ejecuta en un sistema operativo seguro. Los cortafuegos son piezas de hardware independientes. Los firewalls no tienen direcciones IP. Solución: Utilice Network Guard Firewall PL FW1000.
5.2 Sistema de protección estándar (firewall de filtrado de paquetes + NAT + contabilidad + proxy + VPN)
Requisitos del usuario: En función de la configuración básica del sistema de protección, se deben incluir todos o parte de los siguientes elementos cumplir: Proporcionar servicios de proxy de aplicaciones, aislar redes internas y externas, identificación de usuarios, control de permisos, facturación basada en usuarios, control y estadísticas de tráfico basados en usuarios, gestión de seguridad basada en web, compatibilidad con VPN y su gestión, compatibilidad con acceso transparente y Tiene capacidades de autoprotección para prevenir ataques comunes de firewall.
Solución:
(1) Seleccionar Network Guard Firewall PL FW2000 (2) Configuración básica de firewall + máquina de cifrado de red (máquina de cifrado de protocolo IP).
5.3 Sistema de protección mejorado (filtrado de paquetes + NAT + contabilidad + proxy + VPN + detección de seguridad de red + monitoreo) Requisitos del usuario: Según la configuración estándar del sistema de protección, se deben cumplir todos o parte de los siguientes elementos : Detección de seguridad de red (incluidos servidores, firewalls, hosts y otros equipos relacionados con TCP/IP), detección de seguridad del sistema operativo, monitoreo de red y detección de intrusiones.
Solución: Elegir Network Guard Firewall PL FW2000 + Sistema de Análisis de Seguridad de Red + Monitor de Red.