當(dāng)前位置:首頁 > 通信技術(shù) > 通信技術(shù)
[導(dǎo)讀]網(wǎng)絡(luò)安全域是指同一系統(tǒng)內(nèi)有相同的安全保護(hù)需求、相互信任,并具有相同的安全訪問控制和邊界控制策略的子網(wǎng)或網(wǎng)絡(luò),相同的網(wǎng)絡(luò)安全域共享一樣的安全策略。網(wǎng)絡(luò)安全域從廣義上可理解為具有相同業(yè)務(wù)要求和安全要求的IT

網(wǎng)絡(luò)安全域是指同一系統(tǒng)內(nèi)有相同的安全保護(hù)需求、相互信任,并具有相同的安全訪問控制和邊界控制策略的子網(wǎng)或網(wǎng)絡(luò),相同的網(wǎng)絡(luò)安全域共享一樣的安全策略。網(wǎng)絡(luò)安全域從廣義上可理解為具有相同業(yè)務(wù)要求和安全要求的IT系統(tǒng)要素的集合。

  網(wǎng)絡(luò)安全域從大的方面一般可劃分為四個部分:本地網(wǎng)絡(luò)、遠(yuǎn)程網(wǎng)絡(luò)、公共網(wǎng)絡(luò)、伙伴訪問。傳統(tǒng)的安全域之間需要設(shè)置防火墻以進(jìn)行安全保護(hù)。本地網(wǎng)絡(luò)域的安全內(nèi)容有:桌面管理、應(yīng)用程序管理、用戶賬號管理、登錄驗證管理、文件和打印資源管理、通信通道管理以及災(zāi)難恢復(fù)管理等與安全相關(guān)的內(nèi)容。遠(yuǎn)程網(wǎng)絡(luò)域的安全內(nèi)容為:安全遠(yuǎn)程用戶以及遠(yuǎn)程辦公室對網(wǎng)絡(luò)的訪問。公共網(wǎng)絡(luò)域的安全內(nèi)容為:安全內(nèi)部用戶訪問互聯(lián)網(wǎng)以及互聯(lián)網(wǎng)用戶訪問內(nèi)網(wǎng)服務(wù)?;锇樵L問域的安全內(nèi)容為:保證企業(yè)合作伙伴對網(wǎng)絡(luò)的訪問安全,保證傳輸?shù)目煽啃砸约皵?shù)據(jù)的真實性和機(jī)密性。

  一個大的安全域還可根據(jù)內(nèi)部不同部分的不同安全需求,再劃分為很多小的區(qū)域。一般在劃分安全域之前,還應(yīng)先把所有的計算機(jī)進(jìn)行分組。分好組后,再把各個組放到相應(yīng)的區(qū)域中去,如邊界DNS和邊界Web,都可放到邊界防護(hù)區(qū)域(即所謂的DMZ區(qū)域)中去。為了更為細(xì)粒度地對網(wǎng)絡(luò)進(jìn)行訪問控制,在劃分安全域后,可以繼續(xù)在安全域下劃分若干子安全域,子安全域不能單獨(dú)創(chuàng)建,必須屬于某個安全域,子安全域之間可以互相重疊。計算機(jī)分組并劃分到不同的安全區(qū)域中后,每個區(qū)域再根據(jù)分組劃分為幾個子網(wǎng)。每個組的安全性要求和設(shè)置是不一樣的。區(qū)域劃分后,就可設(shè)計不同區(qū)域間的通信機(jī)制,如允許和拒絕的通信流量、通信安全要求以及技術(shù)、端口開禁等。如公網(wǎng)到核心網(wǎng)通信,必須通過VPN,并且要通過雙因子驗證(需要智能卡、口令)進(jìn)行身份驗證,身份合法后再采用IP Sec進(jìn)行加密通信。歡迎轉(zhuǎn)載,本文來自電子發(fā)燒友網(wǎng)(www.elecfans.com)

  傳統(tǒng)安全域的訪問管理

  在基于傳統(tǒng)安全域的訪問控制體系模型中,有以下幾個主要模塊:

  • ID管理模塊:用戶信息管理模塊,提供用戶信息的添加、刪除和修改等功能,集中管理企業(yè)網(wǎng)絡(luò)中的用戶,同時,可以將用戶按權(quán)限進(jìn)行分組、分角色,進(jìn)而利用組和角色對特定用戶集合進(jìn)行管理;

  •安全域管理模塊:管理用戶劃分的安全域和子安全域信息,用戶可以添加、刪除和修改安全域以及子安全域,可以配置安全域之間的訪問控制關(guān)系,比如在訪問安全域A的時候,不能同時訪問安全域B等;

  •訪問策略管理模塊:管理用戶與安全域、子安全域之間的訪問控制關(guān)系,定義用戶在什么時間、什么地點可以訪問哪些安全域等;

  •Web服務(wù)管理:為用戶提供Web服務(wù),用戶通過Web服務(wù)進(jìn)行身份認(rèn)證以及安全域的訪問和退出等;

  •通信平臺:主要是通過SSH、Telnet對防火墻進(jìn)行配置,為用戶打開指定的ACL訪問;

  •探測模塊:探測用戶PC是否在線,探測方式可以采用ARP、ICMP、SAMBA等協(xié)議。

  在基于傳統(tǒng)安全域的訪問控制體系下,用戶接入網(wǎng)絡(luò)、訪問網(wǎng)絡(luò)資源的步驟如下:

  •第0步:用戶接入網(wǎng)絡(luò),直接訪問安全域失敗,因為防火墻ACL默認(rèn)禁止用戶訪問此安全域;

  •第1步:用戶通過Web瀏覽器訪問安全域管理服務(wù)器IP或URL;

  •第2步:用戶在身份認(rèn)證頁面輸入身份信息,安全域管理服務(wù)器對用戶進(jìn)行認(rèn)證,認(rèn)證成功則繼續(xù),認(rèn)證失敗需重新認(rèn)證;

  •第3步:用戶認(rèn)證成功后,安全域管理服務(wù)器利用管理員配置的訪問策略將用戶可訪問域顯示給用戶;

  •第4、5步:用戶選擇登錄其要訪問的安全域,安全域管理服務(wù)器通過網(wǎng)絡(luò)連接開啟用戶PC對安全域(或子安全域)的ACL;

  •第6步:用戶成功訪問其登錄的安全域;

  •第7步:當(dāng)用戶退出安全域后,安全域管理服務(wù)器將下發(fā)給防火墻的ACL撤銷。同時,如果在線探測模塊探測到用戶下線或者用戶IP-MAC發(fā)生改變的時候,也會撤銷其為此IP下發(fā)的ACL。

  動態(tài)安全域助力大型企業(yè)

  基于傳統(tǒng)安全域的訪問控制體系模型是企業(yè)網(wǎng)在發(fā)展過程中形成的通用模式,在中小型企業(yè)、業(yè)務(wù)專業(yè)性較強(qiáng)和地域分布不廣的大中型企業(yè)中都有很好的實現(xiàn)。但在業(yè)務(wù)高度復(fù)雜、地域高度分散且地域及業(yè)務(wù)均呈交叉狀、人員眾多的大型或超大型企業(yè)集團(tuán)中,信息系統(tǒng)廣泛采用分布式或集中分布式部署,傳統(tǒng)的安全域模型結(jié)構(gòu)也被大量復(fù)制,其總部結(jié)構(gòu)和分支機(jī)構(gòu)安全域模型交叉,隨著人員業(yè)務(wù)變化性的增強(qiáng)和企業(yè)重組或業(yè)務(wù)快速膨脹,承載網(wǎng)和業(yè)務(wù)網(wǎng)邊界日益模糊,訪問管理模型也隨之日益復(fù)雜,安全域或安全子域的變化頻繁,ACL控制或基礎(chǔ)安全策略日益膨脹,隨之帶來的管控復(fù)雜性使網(wǎng)絡(luò)管理員面臨巨大工作量和智力挑戰(zhàn)。某大型企業(yè)集團(tuán)早在2005年就開始實施安全域,但隨著上述情況的出現(xiàn),安全域邊界不斷變化,其安全域逐步變化成為30多個,子域多達(dá)上百個,其核心交換機(jī)上的ACL就達(dá)1000余條,矩陣分離表的邏輯性也逐漸完全不可讀,最終導(dǎo)致其安全域劃分的失敗。

  安全域的核心就是通過一系列的規(guī)則控制,達(dá)到特定網(wǎng)絡(luò)群組按照指定規(guī)則訪問指定群組的關(guān)系,其組群需要具有相同的安全訪問控制和邊界控制策略的子網(wǎng)或網(wǎng)絡(luò)。傳統(tǒng)模型較為容易在集中部署的單一結(jié)構(gòu)中實現(xiàn),其組群成員的權(quán)責(zé)變化一般也需要對相應(yīng)規(guī)則做調(diào)整。假定將組群成員動態(tài)的變化和子域調(diào)整與子網(wǎng)劃分動態(tài)結(jié)合,就可以實現(xiàn)基于傳統(tǒng)復(fù)雜安全域結(jié)構(gòu)上的動態(tài)調(diào)整,從而實現(xiàn)基于傳統(tǒng)安全域基礎(chǔ)上的動態(tài)安全域的模型結(jié)構(gòu)。

  在基于動態(tài)安全域的訪問控制體系下,用戶接入網(wǎng)絡(luò)、訪問網(wǎng)絡(luò)資源的步驟如下:

  •第0步:用戶接入網(wǎng)絡(luò),直接訪問安全域失敗,因為強(qiáng)制器沒有通知接入交換機(jī)打開網(wǎng)絡(luò)端口,默認(rèn)用戶訪問隔離域A,做身份申請;

  •第1步:用戶身份認(rèn)證成功,強(qiáng)制器打開接入端口,做安全合規(guī)性檢測,默認(rèn)訪問隔離域B,做安全合規(guī)性完善;

  •第2步:合規(guī)性檢查通過,用戶從隔離域B中劃出到公共訪問域;

  •第3步:用戶身份信息傳送給安全域管理服務(wù)器,安全域管理服務(wù)器訪問服務(wù)域控制器,服務(wù)域控制器從人力資源數(shù)據(jù)庫權(quán)責(zé)矩陣同步列表中生成用戶安全域列表,并通知用戶;

  •第4步:用戶選擇登錄其要訪問的服務(wù),安全域控制器根據(jù)安全域列表,通知網(wǎng)管控制域服務(wù)器,網(wǎng)管控制器通知網(wǎng)絡(luò)交換域;

  •第5步:網(wǎng)絡(luò)交換域生成控制列表,生成VLAN及VCL組合,通知交換設(shè)備,生成訪問域控制隔離通道;

  •第6步:服務(wù)控制服務(wù)器通過交換域,通知相應(yīng)安全域做對應(yīng)權(quán)責(zé)匹配;

  •第7步:用戶訪問所需安全域的服務(wù);

  •第8步:當(dāng)用戶退出安全域后,安全域管理服務(wù)器將下發(fā)給交換用戶的VLAN及ACL撤銷。同時,如果在線探測模塊探測到用戶下線或者用戶進(jìn)行危險性違規(guī)性操作或IP-MAC發(fā)生改變的時候,也會通知交換域撤銷其為此身份下發(fā)的IP、VLAN及ACL,進(jìn)行隔離;如果在線探測模塊探測到用戶進(jìn)行攻擊性或高危破壞性操作,通知交換域撤銷其為此身份下發(fā)的IP、VLAN及ACL,并同時關(guān)閉端口避免入侵破壞。

  安全域是基于網(wǎng)絡(luò)和系統(tǒng)進(jìn)行安全檢查和評估的基礎(chǔ),安全域的劃分是企業(yè)網(wǎng)絡(luò)抗?jié)B透的有效防護(hù)方式,安全域邊界是災(zāi)難發(fā)生時的抑制點,同時安全域也是基于網(wǎng)絡(luò)和系統(tǒng)進(jìn)行安全建設(shè)的部署依據(jù)。動態(tài)安全域在傳統(tǒng)安全域常規(guī)手段的基礎(chǔ)上,將網(wǎng)絡(luò)成員權(quán)責(zé)與安全子域和子網(wǎng)劃分動態(tài)結(jié)合,同時將網(wǎng)絡(luò)動態(tài)接入和用戶權(quán)責(zé)矩陣有機(jī)結(jié)合,成為大型或超大型企業(yè)網(wǎng)絡(luò)的有效管控手段。當(dāng)然,上述安全域管理系統(tǒng)也有需要改進(jìn)的部分,如網(wǎng)絡(luò)設(shè)備的動態(tài)管控。由于網(wǎng)絡(luò)設(shè)備廠商的多樣化導(dǎo)致命令處理十分復(fù)雜,此模型對網(wǎng)絡(luò)設(shè)備具有較高要求,并需要網(wǎng)絡(luò)設(shè)備一致性或大量針對性網(wǎng)絡(luò)控制的二次開發(fā),同時面臨構(gòu)架復(fù)雜、實施周期長、成本較高等難題,主要原因是現(xiàn)如今還沒有這方面的業(yè)界或企業(yè)標(biāo)準(zhǔn)。不過隨著網(wǎng)絡(luò)安全的進(jìn)一步發(fā)展,這方面問題有望得到改善。
 

本站聲明: 本文章由作者或相關(guān)機(jī)構(gòu)授權(quán)發(fā)布,目的在于傳遞更多信息,并不代表本站贊同其觀點,本站亦不保證或承諾內(nèi)容真實性等。需要轉(zhuǎn)載請聯(lián)系該專欄作者,如若文章內(nèi)容侵犯您的權(quán)益,請及時聯(lián)系本站刪除。
換一批
延伸閱讀

9月2日消息,不造車的華為或?qū)⒋呱龈蟮莫?dú)角獸公司,隨著阿維塔和賽力斯的入局,華為引望愈發(fā)顯得引人矚目。

關(guān)鍵字: 阿維塔 塞力斯 華為

加利福尼亞州圣克拉拉縣2024年8月30日 /美通社/ -- 數(shù)字化轉(zhuǎn)型技術(shù)解決方案公司Trianz今天宣布,該公司與Amazon Web Services (AWS)簽訂了...

關(guān)鍵字: AWS AN BSP 數(shù)字化

倫敦2024年8月29日 /美通社/ -- 英國汽車技術(shù)公司SODA.Auto推出其旗艦產(chǎn)品SODA V,這是全球首款涵蓋汽車工程師從創(chuàng)意到認(rèn)證的所有需求的工具,可用于創(chuàng)建軟件定義汽車。 SODA V工具的開發(fā)耗時1.5...

關(guān)鍵字: 汽車 人工智能 智能驅(qū)動 BSP

北京2024年8月28日 /美通社/ -- 越來越多用戶希望企業(yè)業(yè)務(wù)能7×24不間斷運(yùn)行,同時企業(yè)卻面臨越來越多業(yè)務(wù)中斷的風(fēng)險,如企業(yè)系統(tǒng)復(fù)雜性的增加,頻繁的功能更新和發(fā)布等。如何確保業(yè)務(wù)連續(xù)性,提升韌性,成...

關(guān)鍵字: 亞馬遜 解密 控制平面 BSP

8月30日消息,據(jù)媒體報道,騰訊和網(wǎng)易近期正在縮減他們對日本游戲市場的投資。

關(guān)鍵字: 騰訊 編碼器 CPU

8月28日消息,今天上午,2024中國國際大數(shù)據(jù)產(chǎn)業(yè)博覽會開幕式在貴陽舉行,華為董事、質(zhì)量流程IT總裁陶景文發(fā)表了演講。

關(guān)鍵字: 華為 12nm EDA 半導(dǎo)體

8月28日消息,在2024中國國際大數(shù)據(jù)產(chǎn)業(yè)博覽會上,華為常務(wù)董事、華為云CEO張平安發(fā)表演講稱,數(shù)字世界的話語權(quán)最終是由生態(tài)的繁榮決定的。

關(guān)鍵字: 華為 12nm 手機(jī) 衛(wèi)星通信

要點: 有效應(yīng)對環(huán)境變化,經(jīng)營業(yè)績穩(wěn)中有升 落實提質(zhì)增效舉措,毛利潤率延續(xù)升勢 戰(zhàn)略布局成效顯著,戰(zhàn)新業(yè)務(wù)引領(lǐng)增長 以科技創(chuàng)新為引領(lǐng),提升企業(yè)核心競爭力 堅持高質(zhì)量發(fā)展策略,塑強(qiáng)核心競爭優(yōu)勢...

關(guān)鍵字: 通信 BSP 電信運(yùn)營商 數(shù)字經(jīng)濟(jì)

北京2024年8月27日 /美通社/ -- 8月21日,由中央廣播電視總臺與中國電影電視技術(shù)學(xué)會聯(lián)合牽頭組建的NVI技術(shù)創(chuàng)新聯(lián)盟在BIRTV2024超高清全產(chǎn)業(yè)鏈發(fā)展研討會上宣布正式成立。 活動現(xiàn)場 NVI技術(shù)創(chuàng)新聯(lián)...

關(guān)鍵字: VI 傳輸協(xié)議 音頻 BSP

北京2024年8月27日 /美通社/ -- 在8月23日舉辦的2024年長三角生態(tài)綠色一體化發(fā)展示范區(qū)聯(lián)合招商會上,軟通動力信息技術(shù)(集團(tuán))股份有限公司(以下簡稱"軟通動力")與長三角投資(上海)有限...

關(guān)鍵字: BSP 信息技術(shù)
關(guān)閉
關(guān)閉