对于网络安全域隔CC防御离咨询题的研究与考虑-墨者安全-墨者盾
DDOS防御_CC防护_高防CDN服务器_【墨者安全】—墨者盾墨者盾—你的网站贴身保镖!
QQ:800185041
高防免费接入:400-0797-119

渠道合作:156 2527 6999

主页 > CC防护 > 对于网络安全域隔CC防御离咨询题的研究与考虑

对于网络安全域隔CC防御离咨询题的研究与考虑

小墨安全管家 2020-05-19 06:55 CC防护 89 ℃
DDoS防御

(一)物理隔离。那个地点面又分为几种:

在企业网络安全防护方面,网络安全域隔离也是网络安全谨防最重要、最基础的手段之一,也是企业数据中心、信息系统建设最先需要思量的基础性咨询题。然而在企业网络安全建设过程中,网络安全域隔离的有效降实却面临各种各样的咨询题,本文算是笔者对此咨询题的一些考虑,记录下来以供各位读者参考。

据笔者看来有四点:一是能够将坏东西、坏人隔离在一具小区域,以减小破坏程度。二是能够将坏东西、坏人集中在隔离边界对其举行集中清除泯灭。三是能够让好东西、好人隔离在一具相对安全的区域,免受其他坏东西、坏人的侵害。四是能够在隔离边界部署安全设施,以对好东西、好人加强爱护,对坏东西、坏人举行阻断拦截。

关于网络安全域隔CC谨防离问题的研究与思量

从网络攻击者的角度来讲,有一种典型的攻击方式叫横向渗透攻击,其含义是攻击者拿下了内网的某一台主机,为了扩大战果,往往会对该主机所在的C类地址段举行扫描,因为在企业内部普通同一具C类地址段不大概有进一步的网络隔离划分。此刻,这是一具C类段处于风险之中,这么假如我们没有举行网络安全域隔离,这么,整个数据中心都有大概处于攻击者的直截了当打击范围。基于这后一点,我们知道了,网络安全域隔离事实上算是将整个网络划分为一具一具比较小的安全信任域,要不然整个网络处于一张平面,攻击者拿下一具地址之后,能够对整个网络举行扫描探测发觉。

关于集团化的公司,各子公司都会逐渐明确自个儿的业务边界和战略中心,如果由集团统一提供IT基础设施服务,然而各子公司的业务大概面临的监管要求彻底不同,比如按照金融监管的要求去治理社区服务系统,或者按照社区服务系统的要求去管金融业务,都会面临或严、或松的压力。所以,集团化的数据中心要对子公司举行隔离划分,明确划分各子公司在数据中内心的访咨询边界。按子公司职能、业务特点等,划分安全信任域,建立清楚责任边界、安全边界、信任边界。

关于网络安全域隔CC谨防离问题的研究与思量

二、网络安全域隔离有啥好处

(二)逻辑隔离。逻辑隔离相关于物理隔离,要紧区别是各个网络安全域之间是有链路连接的,不过在协议上、路由上举行逻辑阻断,让两者不能直截了当相通。然而,假如两者之间想互通,直截了当在交换节点、路由节点、网关节点等上举行配置即可,不用再单独拉物理线路或者部署网闸等设备。细细想来,常用的逻辑隔离方式惟独防火墙隔离和VLAN隔离两种,VXLAN是VLAN划分在云环境下的一具变种实现。

这么关于云租户之间是如何实现安全域隔离呢?目前云厂商普遍提供的方式是VPC的方式实现。VPC即virtual private cloud,也就常讲的虚拟局域网,VPC实现了不同租户间网络隔离,由于VPC 使用了隧道封装技术,保证了不同 VPC 间,网络流量彻底不可见,而 VPC 内部网络流量则直截了当到达目的机器,从而确保了不管 VPC 内,依旧 VPC 间,用户流量都可以得到安全性保障。事实上依照企业的IT规划,假如数据中心云平台不过为了提供自个儿企业内部服务,VPC也能够实现企业内部各种网络安全域的划分,比如我们能够把DMZ划为一具VPC,把数据库划为一具安全域,把办公服务器划为一具VPC。普通事情下,每个VPC都需要指定 1 个网段,网段范围如下:

最终,关于云租户内部又有啥想法实现网络安全域隔离呢?那个地点也能够灵便思量,比如,云租户能够多租用几个VPC实现隔离。另外,在VPC内部还能够采纳安全组举行安全域划分。以下是阿里云对安全组应用场景的表述:(1)安全组用于设置单台或多台云服务器的网络访咨询操纵,它是重要的网络安全隔离手段,用于在云端划分安全域。(2)安全组是一具逻辑上的划分,那个分组由同一具地域内具有相同安全爱护需求并相互信任的实例组成。这种安全组在不同的云厂商实现中,叫法和实现方式大概也有差异,比如下图中就将VPC内的隔离成为Subnet(子网),意思应该与安全组一样。

以上普通基本上按照功能举行的安全域划分,在实际场景中,还会存在其他方式的安全域划分想法,比如,从纵深谨防的角度看,普通系统分为DMZ区(Web服务区)、外联区、APP区,DB区等。如下图所示。那个地点面的DMZ区、外联区、APP区、DB区算是一具一具的网络安全域。

从不同的站位视度、不同观看粒度来看,企业的网络安全域划分能够有不同分法。从企业外部看,安全域能够分为内网和外网,在此刻,企业内部的所有办公计算机、服务器、路由器、交换机等都属于我们要爱护的信息资产。所以,内、外网边界算是我们实施统一安全策略、部署谨防设施的“主阵地”,比如部署边界防火墙、入侵检测、上网行为治理等。

另外,刘焱老师的《基于开源软件打造企业网络安全》一书中,OA服务器是被划分为独立的安全域,但此刻应该属于数据中心安全域内。

假如我们再进一步略微细致的审视一下,事实上各安全域内部也是分为子安全域的,内部的安全域划分算是八仙过海、各显神通了。比如,在《GB/T 25070-2019 信息安全技术 网络安全等级爱护安全设计技术要求》中,将企业内部网络按照不同的等级爱护级别举行安全域划分,不同级别安全域之间采纳安全互联部件举行数据交互。


DDoS防御

当前位置:主页 > CC防护 > 对于网络安全域隔CC防御离咨询题的研究与考虑

标签列表
DDoS防御
网站分类
X
 

QQ客服

400-0797-119