>>>>>信息安全工程师培训视频

      全国计算机技术与软件专业技术资格（水平）考试，这门新开的信息安全工程师分属该考试“信息系统”专业，位处中级资格。教材《信息安全工程师教程》及考试大纲于7月1日出版，希赛小编整理了信息安全工程师教程学习笔记之网络安全基本设计，供大家参考学习。 

      网络系统的安全是一项系统工程，利用网络安全理论来规范、指导、设计、实施和监管网络安全建设，从安全制度建设和技术手段方面着手，加强安全意识的教育和培训，自始至终坚持安全防范意识，采取全面、可行的安全防护措施，并不断改进和完善安全管理，把网络安全风险降到最小程度，打造网络系统的安全堡垒。本实训将以企业网络系统为例，综合应用网络安全的各种技术（如加密技术、身份认证技术、防火墙技术、VPN技术、PGP、SSH安全通信技术、网络安全扫描、监听与入侵检测技术、数据备份与还原技术等）来实现公司网络系统中的各种网络安全服务。

      细分网络减小广播域

      将办公网的IP地址段，根据部门在S6502上划分为26位到28位不等的网段。为每台交换机配置管理IP，这样以后数据操作就可以远程进行了。另外根据节点交换机下挂的部门，分别从核心交换机透传相应部门的vlan，再在节点交换机上根据端口进行划分。

      加强通信访问控制

      访问控制根据各部门的职责不同来确定，此项工作需要由S6502核心路由器和Eudemon100防火墙共同配合来完成，下面逐一对其实现方法进行说明。

      1）对内服务器需要与互联网隔离。

      2）对内服务器应根据提供的业务与对口部门互通。

      3）营业区只能访问互联网，不能访问办公网。

      4）网络监控组的网络摄像头及监控终端只能彼此互通，与办公网内其他部门和互联网均隔离。

      利用防火墙减小外部威胁

      根据分析，需要在网络边界增设硬件防火墙一台，结合经济分析和网络设备的统一性，选用华为公司的Eudemon100硬件防火墙。

      增加了Eudemon100防火墙后，其承担了办公网私网地址的NAT转换工作。另外还进行了IP欺骗防范、SYN泛洪攻击防范、Ping攻击防范和DoS（DDoS）攻击防范等方面的配置。

      1）IP欺骗防范

      IP欺骗是一种攻击方法，即使主机系统本身没有任何漏洞，但仍然可以使用各种手段来达到攻击的目的，这种欺骗纯属技术性的，一般都是利用TCP/IP协议本身存在的一些缺陷。在Eudemon100上，我们通过滤非共有IP地址、内部网络使用的IP地址、环回地址、私有IP地址对访问内部的网络来实现或减轻危害。

      2）Ping攻击防范

      Ping是通过发送ICMP报文探寻网络主机是否存在的一个工具。部分主机不能很好的处理过大的ping包，从而出现Ping to Death攻击方式，即用超过TCP/IP最大限度65536字节的Ping包搞垮目的主机。所以，对于进入办公网的ICMP流，要禁止和与Ping命令有关的ICMP类型。

      3）DoS和DDoS攻击防范

      我们用在Eudemon100上限制DoS攻击常用端口的方法来进行防范。

      4）加强网络设备自身的安全性

      网络设备自身的安全性直接影响着整个网络的可用性和稳定性，对于网络安全起着至关重要的作用。对于办公网内的网络设备，我们通过（设备登录安全、SNMP安全、设备运行安全、无线AP安全）作来加强其安全性。

      加强办公电脑的安全

      加强终端电脑的安全性主要进行了以下几方面操作：

      1．安装集团公司下发的正版Symantec AntiVirus杀毒软件，开启更新、监控和防护功能。

      2．开启系统更新功能，及时安装漏洞补丁及软件更新。

      3．关闭Guest账户。

      4．为Administrator账户设置较为复杂的密码。

      5．对外接移动存储设备需先杀毒后打开。

    返回总目录;信息安全工程师教程学习笔记之网络安全汇总

    希赛软考网，拥有十四年软考培训经验，希赛网一直坚持自主研发，将丰富的软考培训经验有效融入教程研发过程，自成体系的软考在线题库（软考历年真题）、软考培训教材和软考视频教程，多样的培训方式包括在线辅导、面授、和，使考生的学习更具系统性，辅导更具针对性。采用全程督学机制，，软考平均通过率在全国。