區(qū)域防護(hù)在網(wǎng)絡(luò)安全中應(yīng)用分析

時(shí)間:2022-01-28 02:50:34

導(dǎo)語(yǔ):區(qū)域防護(hù)在網(wǎng)絡(luò)安全中應(yīng)用分析一文來(lái)源于網(wǎng)友上傳,不代表本站觀點(diǎn),若需要原創(chuàng)文章可咨詢客服老師,歡迎參考。

區(qū)域防護(hù)在網(wǎng)絡(luò)安全中應(yīng)用分析

1防護(hù)策略

構(gòu)建的安全網(wǎng)絡(luò)架構(gòu)還應(yīng)該做好相關(guān)的訪問(wèn)控制策略工作。有沒(méi)有必要在所有的網(wǎng)絡(luò)設(shè)備上都部署安全策略?經(jīng)過(guò)分析發(fā)現(xiàn),這樣做法存在兩個(gè)問(wèn)題:第一,維護(hù)人員的工作量大大增加,維護(hù)困難有所增加,將會(huì)有大量的麻煩出現(xiàn)在今后的改造和排錯(cuò)過(guò)程中;第二,網(wǎng)絡(luò)設(shè)備的工作效率將會(huì)降低,這由于網(wǎng)絡(luò)安全設(shè)備會(huì)存在巨大的負(fù)擔(dān),另外,也能夠影響終端用戶的網(wǎng)速,這是因?yàn)榫W(wǎng)絡(luò)設(shè)備的CPU和內(nèi)存會(huì)被大量的策略匹配所占用。這里,可以通過(guò)把局域網(wǎng)分為兩層,核心則是服務(wù)器區(qū),基于IP的訪問(wèn)控制在外層建立,而基于端口的訪問(wèn)控制在內(nèi)層的服務(wù)區(qū)域內(nèi)建立。這里所謂的位于內(nèi)層與外層中間的核心層則較為特殊,各個(gè)層之間和他都存在著安全設(shè)備的防護(hù)工作,而核心層往往只是相關(guān)的橋梁作用。針對(duì)核心層,策略安全并不是我們所考慮的重點(diǎn),而是考慮的互聯(lián)交換問(wèn)題比較多。另外特別注意,外層應(yīng)該包括互聯(lián)網(wǎng)接入?yún)^(qū),這點(diǎn)本應(yīng)該是通過(guò)IP來(lái)做訪問(wèn)控制,但是需要注意在互聯(lián)網(wǎng)接入?yún)^(qū)的特殊性質(zhì):(1)具有較大的風(fēng)險(xiǎn)性,也是局域網(wǎng)唯一到達(dá)公網(wǎng)的出口所在;(2)訪問(wèn)控制在其上的部署并不會(huì)太多,也不會(huì)要求具有太多的對(duì)外服務(wù)的服務(wù)器,所以,應(yīng)該盡可能做好較為詳盡的訪問(wèn)控制,區(qū)別對(duì)待這個(gè)區(qū)域。訪問(wèn)權(quán)限最小化原則則是在部署安全策略中需要考慮的,這點(diǎn)不論在內(nèi)層還是外層同樣適用。比如,一臺(tái)主機(jī)(192.168.4.1/23)要訪問(wèn)192.168.7.4的443、1521、3389等端口,可以按照如下的部署方法,首先確定此主機(jī)的區(qū)域,以及相關(guān)在此區(qū)域部署的防火墻,然后在此防火墻上設(shè)置進(jìn)行此主機(jī)到達(dá)服務(wù)器的數(shù)據(jù)包的允許策略,對(duì)于其他的服務(wù)請(qǐng)求則應(yīng)該拒絕,這里的訪問(wèn)控制是采用基于IP地址。對(duì)于服務(wù)器區(qū)防火墻來(lái)說(shuō),在達(dá)到內(nèi)層以后,根據(jù)主機(jī)對(duì)于服務(wù)器的請(qǐng)求的端口相關(guān)命令,拒絕除了開(kāi)放相應(yīng)的1521、443、3389端口的其余請(qǐng)求,這種訪問(wèn)控制則是通過(guò)端口來(lái)實(shí)現(xiàn)。這樣就完成了在局域網(wǎng)內(nèi)的訪問(wèn)控制策略。在這樣經(jīng)過(guò)上述兩層防火墻過(guò)濾以后,能夠滿足一臺(tái)主機(jī)(192.168.4.1/23)要訪問(wèn)192.168.7.4的443、1521、3389等端口的要求,則拒絕其余訪問(wèn)。相比于所有網(wǎng)絡(luò)設(shè)備上都做詳細(xì)的訪問(wèn)控制方法,上述的訪問(wèn)策略能夠滿足既安全防護(hù)又降低設(shè)備負(fù)擔(dān)的要求。在實(shí)際情況中,根據(jù)局域網(wǎng)的復(fù)雜程度,往往很多訪問(wèn)不能這樣簡(jiǎn)單實(shí)現(xiàn),要具體情況進(jìn)行具體分析。

2安全配置

網(wǎng)絡(luò)設(shè)備和安全設(shè)備運(yùn)行安全的關(guān)鍵就是進(jìn)行合理的安全配置。除了網(wǎng)絡(luò)架構(gòu)和防護(hù)策略,保障網(wǎng)絡(luò)安全中必不可少的環(huán)節(jié)就是進(jìn)行合理的安全配置,其主要包括以下4個(gè)方面。第一,IP地址限制管理。設(shè)備的源地址應(yīng)該進(jìn)行一定的限制管理,特定的網(wǎng)絡(luò)設(shè)備管理則只能通過(guò)特定的主機(jī),能夠有效防止任意主機(jī)嘗試登錄設(shè)備。第二,做好密碼和賬號(hào)管理工作。連接設(shè)備一般不會(huì)采用現(xiàn)場(chǎng)的使用console口進(jìn)行,在穩(wěn)定的網(wǎng)絡(luò)中,對(duì)于設(shè)備進(jìn)行管理一般都是通過(guò)遠(yuǎn)程連接設(shè)備得以實(shí)現(xiàn),因此,在此過(guò)程中重點(diǎn)保護(hù)對(duì)象就是賬號(hào)的用戶名和相應(yīng)密碼,網(wǎng)絡(luò)設(shè)備本身的安全性可以通過(guò)用戶名和密碼得以提高。第三,SNMP(簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議)協(xié)議關(guān)閉。簡(jiǎn)化大型網(wǎng)絡(luò)中設(shè)備的管理和數(shù)據(jù)的獲取則是開(kāi)發(fā)與九十年代的SNMP的目的。對(duì)于SNMP協(xié)議來(lái)說(shuō),由于采用明文傳輸而具有較大的風(fēng)險(xiǎn)性,因此,在不使用SNMP的時(shí)候應(yīng)該進(jìn)行關(guān)閉。第四,用SSH登錄方式代替telnet。對(duì)于telnet對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行管理過(guò)程中,網(wǎng)絡(luò)中傳輸中的數(shù)據(jù)和命令都是以明文方式進(jìn)行,這體現(xiàn)出管理的不安全性,非常容易被抓包軟件獲得。在傳輸?shù)倪^(guò)程中的SSH安全外殼協(xié)議則是通過(guò)密文傳輸,是比較安全的登錄管理方式。應(yīng)該在實(shí)際應(yīng)用過(guò)程中,根據(jù)情況需求而進(jìn)行相關(guān)項(xiàng)目的加固應(yīng)用,上述分析的幾點(diǎn)內(nèi)容只是在日常應(yīng)用過(guò)程中較為常見(jiàn)的,其他的功能可以根據(jù)實(shí)際工作需求而定,比如限制登錄時(shí)間、關(guān)閉HTTP服務(wù)等。

3結(jié)語(yǔ)

信息技術(shù)的發(fā)展非常迅速,對(duì)于網(wǎng)絡(luò)安全的要求也日益提高,所以,應(yīng)該把信息技術(shù)中的網(wǎng)絡(luò)安全作為一項(xiàng)長(zhǎng)期工作來(lái)抓。網(wǎng)絡(luò)安全確實(shí)往往一般都落后于信息技術(shù)的發(fā)展,所以,更要要求我們走在信息技術(shù)的發(fā)展前沿,通過(guò)存在的問(wèn)題去進(jìn)一步加強(qiáng)網(wǎng)絡(luò)安全技術(shù)的發(fā)展,真正意義上保護(hù)企業(yè)安全。

本文作者:鄧蘭英工作單位:湖南省邵陽(yáng)師范學(xué)校