區(qū)域防護在網(wǎng)絡安全中應用分析_第1頁
區(qū)域防護在網(wǎng)絡安全中應用分析_第2頁
區(qū)域防護在網(wǎng)絡安全中應用分析_第3頁
區(qū)域防護在網(wǎng)絡安全中應用分析_第4頁
全文預覽已結束

下載本文檔

版權說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權,請進行舉報或認領

文檔簡介

1、區(qū)域防護在網(wǎng)絡安全中應用分析 1防護策略 構建的安全網(wǎng)絡架構還應該做好相關的訪問控制策略工作。有沒有必要在所有的網(wǎng)絡設備上都部署安全策略?經(jīng)過分析發(fā)現(xiàn),這樣做法存在兩個問題:第一,維護人員的工作量大大增加,維護困難有所增加,將會有大量的麻煩出現(xiàn)在今后的改造和排錯過程中;第二,網(wǎng)絡設備的工作效率將會降低,這由于網(wǎng)絡安全設備會存在巨大的負擔,另外,也能夠影響終端用戶的網(wǎng)速,這是因為網(wǎng)絡設備的CPU和內(nèi)存會被大量的策略匹配所占用。這里,可以通過把局域網(wǎng)分為兩層,核心則是服務器區(qū),基于IP的訪問控制在外層建立,而基于端口的訪問控制在內(nèi)層的服務區(qū)域內(nèi)建立。這里所謂的位于內(nèi)層與外層中間的核心層則較為特殊,

2、各個層之間和他都存在著安全設備的防護工作,而核心層往往只是相關的橋梁作用。針對核心層,策略安全并不是我們所考慮的重點,而是考慮的互聯(lián)交換問題比較多。另外特別注意,外層應該包括互聯(lián)網(wǎng)接入?yún)^(qū),這點本應該是通過IP來做訪問控制,但是需要注意在互聯(lián)網(wǎng)接入?yún)^(qū)的特殊性質(zhì):(1)具有較大的風險性,也是局域網(wǎng)唯一到達公網(wǎng)的出口所在;(2)訪問控制在其上的部署并不會太多,也不會要求具有太多的對外服務的服務器,所以,應該盡可能做好較為詳盡的訪問控制,區(qū)別對待這個區(qū)域。訪問權限最小化原則則是在部署安全策略中需要考慮的,這點不論在內(nèi)層還是外層同樣適用。比如,一臺主機(/23)要訪問192.168

3、.7.4的443、1521、3389等端口,可以按照如下的部署方法,首先確定此主機的區(qū)域,以及相關在此區(qū)域部署的防火墻,然后在此防火墻上設置進行此主機到達服務器的數(shù)據(jù)包的允許策略,對于其他的服務請求則應該拒絕,這里的訪問控制是采用基于IP地址。對于服務器區(qū)防火墻來說,在達到內(nèi)層以后,根據(jù)主機對于服務器的請求的端口相關命令,拒絕除了開放相應的1521、443、3389端口的其余請求,這種訪問控制則是通過端口來實現(xiàn)。這樣就完成了在局域網(wǎng)內(nèi)的訪問控制策略。在這樣經(jīng)過上述兩層防火墻過濾以后,能夠滿足一臺主機(/23)要訪問的443、1521、3389等端口的

4、要求,則拒絕其余訪問。相比于所有網(wǎng)絡設備上都做詳細的訪問控制方法,上述的訪問策略能夠滿足既安全防護又降低設備負擔的要求。在實際情況中,根據(jù)局域網(wǎng)的復雜程度,往往很多訪問不能這樣簡單實現(xiàn),要具體情況進行具體分析。 2安全配置 網(wǎng)絡設備和安全設備運行安全的關鍵就是進行合理的安全配置。除了網(wǎng)絡架構和防護策略,保障網(wǎng)絡安全中必不可少的環(huán)節(jié)就是進行合理的安全配置,其主要包括以下4個方面。第一,IP地址限制管理。設備的源地址應該進行一定的限制管理,特定的網(wǎng)絡設備管理則只能通過特定的主機,能夠有效防止任意主機嘗試登錄設備。第二,做好密碼和賬號管理工作。連接設備一般不會采用現(xiàn)場的使用console口進行,在穩(wěn)

5、定的網(wǎng)絡中,對于設備進行管理一般都是通過遠程連接設備得以實現(xiàn),因此,在此過程中重點保護對象就是賬號的用戶名和相應密碼,網(wǎng)絡設備本身的安全性可以通過用戶名和密碼得以提高。第三,SNMP(簡單網(wǎng)絡管理協(xié)議)協(xié)議關閉。簡化大型網(wǎng)絡中設備的管理和數(shù)據(jù)的獲取則是開發(fā)與九十年代的SNMP的目的。對于SNMP協(xié)議來說,由于采用明文傳輸而具有較大的風險性,因此,在不使用SNMP的時候應該進行關閉。第四,用SSH登錄方式代替telnet。對于telnet對網(wǎng)絡設備進行管理過程中,網(wǎng)絡中傳輸中的數(shù)據(jù)和命令都是以明文方式進行,這體現(xiàn)出管理的不安全性,非常容易被抓包軟件獲得。在傳輸?shù)倪^程中的SSH安全外殼協(xié)議則是通過密文傳輸,是比較安全的登錄管理方式。應該在實際應用過程中,根據(jù)情況需求而進行相關項目的加固應用,上述分析的幾點內(nèi)容只是在日常應用過程中較為常見的,其他的功能可以根據(jù)實際工作需求而定,比如限制登錄時間、關閉HTTP服務等。 3結語 信息技術的發(fā)展非常迅速,對于網(wǎng)絡安全的要求也日益提高,所以,應該把信息技術中的網(wǎng)絡安全作為一項長期工作來抓。網(wǎng)絡安全確實往往一般都落后于信息技術的發(fā)展,所以,更要要求我們走在信息技術的發(fā)展前沿,通過存在的問題去進一步加強網(wǎng)絡安全技術的發(fā)

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預覽,若沒有圖紙預覽就沒有圖紙。
  • 4. 未經(jīng)權益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責。
  • 6. 下載文件中如有侵權或不適當內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論