网络安全培训材料1、测试环境路由器、交换机、防火墙2、测试说明网络安全测评共有7步,分别是结构安全、访问控制、安全审计、边界完整性检查、入侵防范、恶意代码防范、网络设备防护,如下是步骤详解。3、测试步骤3.1三级等保要求3.1.1结构安全a)应保证主要网络设备的业务处理能力具备冗余空间,满足业务高峰期需要。检查方法和判断标准:询问网络管理员,主要网络设备的性能及业务高峰期流量,性能指的是网络设备中的CPU、内存等资源的占用是否合理,是否具备冗余空间,一般来说CPU、内存占用率不超过30%,未发生业务高峰流量瓶颈事件,则符合。主要网络设备是指:核心交换机、汇聚层交换机、核心到互联网出口的设备核心网络设备:核心交换机、互联网边界网络设备(看业务需求)b)应保证网络各个部分的带宽满足业务高峰期需要。检查方法和判断标准:确认内部的网络带宽,一般是千兆以上,大网络可能是万兆,主要网络设备间可能是光纤万兆接口。外部出口带宽:无论出口带宽多少,建议保持在80%一下,或看实际业务需求对出口带宽做单独要求(如学校开学期间数据流陡增,日常出口流量建议在50%左右)。c)应在业务终端与业务服务器之间进行路由控制建立安全的访问路径。检查方法和判断标准:主要查看网络设备中的路由控制是否建立了安全的访问路径,也就是说在网络设备中应配置路由认证功能,则算符合;如果网络设备中未配置此功能,则不符合。或直接采用静态路由指向。d)应绘制与当前运行情况相符的网络拓扑结构图。检测方法和判断标准:询问网络管理员,检查网络拓扑图,查看其与当前运行的网络情况是否一致应绘制与当前运行情况相符合的网络拓扑结构图,当网络拓扑结构发生改变时,应及时更新,则算符合;其他一律不符合。e)应根据各部门的工作职能、重要性和所涉及信息的重要程度等因素,划分不同的子网或网段,并按照方便管理和控制的原则为各子网、网段分配地址段。检查方法和判断标准:应在主要网络设备上进行VLAN划分或者子网划分,不同VLAN内的报文在传输时是相互隔离的。如果不同VLAN要进行通信,则需要通过路由器或者三层交换机等三层设备实现。网络设备上划分VLAN,并且为各子网分配了地址段,则算符合,如下图:f)应避免将重要网段部署在网络边界处且直接连接外部信息系统,重要网段与其他网段之间采取可靠的技术隔离手段。检查方法和判断标准:检查网络拓扑图,查看是否将重要网段部署在网络边界处,重要网段和其他网段之间是否配置安全策略进行访问控制。如网络内部有对外的应用,是否单独划分DMZ区?DMZ区和网络设备交互之间是否有安全设备进行防护;是否在服务器区/数据存储区/数据库区到网络设备直接有安全隔离设备进行访问控制和安全防护,建议做白名单的控制形式。g)应按照对业务服务的重要次序来指定带宽分配优先级,保证在网络发生拥堵的时候优先保护重要主机。检测方法和判断标准:1、出口部署有流控设备,做了流量控制的配置,如整体出口带宽有100M,单独划分10M给官方网站,防止因其他业务导致出口带宽占满官方网站无法对外提供服务。2、上网行为管理设备可以对内部的业务数据进行优先级排序,保证重要业务数据处理的优先级。如果上诉两种都没有,不符合,如有一种,部分符合,存在两种算符合(看具体应用,如无重要业务系统,存在一种也算符合)。3.1.2访问控制a)应在网络边界部署访问控制设备,启用访问控制功能。检测方法和判断标准:访问控制设备:汇聚、核心交换机、防火墙、堡垒机、VPN等在看各类设备上是否有访问控制功能,如做acl或黑、白名单的配置,如有,符合,如网络设备仅配置网络互通或未启用acl,安全设备对任意流量直接放行,不符合下图是交换机访问控制策略配置:表示192.168.30.0网段与192.168.20.0网段之间不能互相访问。Xoaccess-list1Q0denyip192.1SB.30.00.0.0.2SS192.15S.20.00-0.0.255access-listIGOpermitipanyanyipclaggle39ipflow-expoEt■vecaian9CopyPa^zeIOSCommandLineInterface'配置询耳控制策略.片开启了访『间控制功能變MultilayerSwitchZinterfaceipaddress1S2.1S8.10.12SS.255.:5S.0interface71an20ipacesaa-grcup100cut;in...
