運用動態安全域保護企業網的方法

2021-12-30 00:01:31 字數 3369 閱讀 2322

網路安全域是指同一系統內有相同的安全保護需求、相互信任,並具有相同的安全訪問控制和邊界控制策略的子網或網路,相同的網路安全域共享一樣的安全策略。網路安全域從廣義上可理解為具有相同業務要求和安全要求的it系統要素的集合。

網路安全域從大的方面一般可劃分為四個部分:本地網路、遠端網路、公共網路、夥伴訪問。傳統的安全域之間需要設定防火牆以進行安全保護。本地網路域的安全內容有:桌面管理、應用程式管理、使用者賬號管理、登入驗證管理、檔案和列印資源管理、通訊通道管理以及災難恢復管理等與安全相關的內容。遠端網路域的安全內容為:安全遠端使用者以及遠端辦公室對網路的訪問。公共網路域的安全內容為:安全內部使用者訪問網際網路以及網際網路使用者訪問內網服務。夥伴訪問域的安全內容為:保證企業合作夥伴對網路的訪問安全,保證傳輸的可靠性以及資料的真實性和機密性。

乙個大的安全域還可根據內部不同部分的不同安全需求,再劃分為很多小的區域。一般在劃分安全域之前,還應先把所有的計算機進行分組。分好組後,再把各個組放到相應的區域中去,如邊界dns和邊界web,都可放到邊界防護區域(即所謂的dmz區域)中去。為了更為細粒度地對網路進行訪問控制,在劃分安全域後,可以繼續在安全域下劃分若干子安全域,子安全域不能單獨建立,必須屬於某個安全域,子安全域之間可以互相重疊。計算機分組並劃分到不同的安全區域中後,每個區域再根據分組劃分為幾個子網。每個組的安全性要求和設定是不一樣的。區域劃分後,就可設計不同區域間的通訊機制,如允許和拒絕的通訊流量、通訊安全要求以及技術、埠開禁等。如公網到核心網通訊,必須通過vpn,並且要通過雙因子驗證(需要智慧卡、口令)進行身份驗證,身份合法後再採用ip sec進行加密通訊。

傳統安全域的訪問管理

在基於傳統安全域的訪問控制體系模型中,有以下幾個主要模組:

•id管理模組:使用者資訊管理模組,提供使用者資訊的新增、刪除和修改等功能,集中管理企業網路中的使用者,同時,可以將使用者按許可權進行分組、分角色,進而利用組和角色對特定使用者集合進行管理;

•安全域管理模組:管理使用者劃分的安全域和子安全域資訊,使用者可以新增、刪除和修改安全域以及子安全域,可以配置安全域之間的訪問控制關係,比如在訪問安全域a的時候,不能同時訪問安全域b等;

•訪問策略管理模組:管理使用者與安全域、子安全域之間的訪問控制關係,定義使用者在什麼時間、什麼地點可以訪問哪些安全域等;

•web服務管理:為使用者提供web服務,使用者通過web服務進行身份認證以及安全域的訪問和退出等;

•通訊平台:主要是通過ssh、telnet對防火牆進行配置,為使用者開啟指定的acl訪問;

•探測模組:探測使用者pc是否**,探測方式可以採用arp、icmp、samba等協議。

在基於傳統安全域的訪問控制體系下,使用者接入網路、訪問網路資源的步驟如下:

•第0步:使用者接入網路,直接訪問安全域失敗,因為防火牆acl預設禁止使用者訪問此安全域;

•第1步:使用者通過web瀏覽器訪問安全域管理伺服器ip或url;

•第2步:使用者在身份認證頁面輸入身份資訊,安全域管理伺服器對使用者進行認證,認證成功則繼續,認證失敗需重新認證;

•第3步:使用者認證成功後,安全域管理伺服器利用管理員配置的訪問策略將使用者可訪問域顯示給使用者;

•第4、5步:使用者選擇登入其要訪問的安全域,安全域管理伺服器通過網路連線開啟使用者pc對安全域(或子安全域)的acl;

•第6步:使用者成功訪問其登入的安全域;

•第7步:當使用者退出安全域後,安全域管理伺服器將下發給防火牆的acl撤銷。同時,如果**探測模組探測到使用者下線或者使用者ip-mac發生改變的時候,也會撤銷其為此ip下發的acl。

動態安全域助力大型企業

基於傳統安全域的訪問控制體系模型是企業網在發展過程中形成的通用模式,在中小型企業、業務專業性較強和地域分布不廣的大中型企業中都有很好的實現。但在業務高度複雜、地域高度分散且地域及業務均呈交叉狀、人員眾多的大型或超大型企業集團中,資訊系統廣泛採用分布式或集中分布式部署,傳統的安全域模型結構也被大量複製,其總部結構和分支機構安全域模型交叉,隨著人員業務變化性的增強和企業重組或業務快速膨脹,承載網和業務網邊界日益模糊,訪問管理模型也隨之日益複雜,安全域或安全子域的變化頻繁,acl控制或基礎安全策略日益膨脹,隨之帶來的管控複雜性使網路管理員面臨巨大工作量和智力挑戰。某大型企業集團早在2023年就開始實施安全域,但隨著上述情況的出現,安全域邊界不斷變化,其安全域逐步變化成為30多個,子域多達上百個,其核心交換機上的acl就達1000餘條,矩陣分離表的邏輯性也逐漸完全不可讀,最終導致其安全域劃分的失敗。

安全域的核心就是通過一系列的規則控制,達到特定網路群組按照指定規則訪問指定群組的關係,其組群需要具有相同的安全訪問控制和邊界控制策略的子網或網路。傳統模型較為容易在集中部署的單一結構中實現,其組群成員的權責變化一般也需要對相應規則做調整。假定將組群成員動態的變化和子域調整與子網劃分動態結合,就可以實現基於傳統複雜安全域結構上的動態調整,從而實現基於傳統安全域基礎上的動態安全域的模型結構。

www.2cto.com

在基於動態安全域的訪問控制體系下,使用者接入網路、訪問網路資源的步驟如下:

•第0步:使用者接入網路,直接訪問安全域失敗,因為強制器沒有通知接入交換機開啟網路埠,預設使用者訪問隔離域a,做身份申請;

•第1步:使用者身份認證成功,強制器開啟接入埠,做安全合規性檢測,預設訪問隔離域b,做安全合規性完善;

•第2步:合規性檢查通過,使用者從隔離域b中劃出到公共訪問域;

•第3步:使用者身份資訊傳送給安全域管理伺服器,安全域管理伺服器訪問服務域控制器,服務域控制器從人力資源資料庫權責矩陣同步列表中生成使用者安全域列表,並通知使用者;

•第4步:使用者選擇登入其要訪問的服務,安全域控制器根據安全域列表,通知網管控制域伺服器,網管控制器通知網路交換域;

•第5步:網路交換域生成控制列表,生成vlan及vcl組合,通知交換裝置,生成訪問域控制隔離通道;

•第6步:服務控**務器通過交換域,通知相應安全域做對應權責匹配;

•第7步:使用者訪問所需安全域的服務; www.2cto.com

•第8步:當使用者退出安全域後,安全域管理伺服器將下發給交換使用者的vlan及acl撤銷。同時,如果**探測模組探測到使用者下線或者使用者進行危險性違規性操作或ip-mac發生改變的時候,也會通知交換域撤銷其為此身份下發的ip、vlan及acl,進行隔離;如果**探測模組探測到使用者進行攻擊性或高危破壞性操作,通知交換域撤銷其為此身份下發的ip、vlan及acl,並同時關閉埠避免入侵破壞。

安全域是基於網路和系統進行安全檢查和評估的基礎,安全域的劃分是企業網路抗滲透的有效防護方式,安全域邊界是災難發生時的抑制點,同時安全域也是基於網路和系統進行安全建設的部署依據。動態安全域在傳統安全域常規手段的基礎上,將網路成員權責與安全子域和子網劃分動態結合,同時將網路動態接入和使用者權責矩陣有機結合,成為大型或超大型企業網路的有效管控手段。當然,上述安全域管理系統也有需要改進的部分,如網路裝置的動態管控。由於網路裝置廠商的多樣化導致命令處理十分複雜,此模型對網路裝置具有較高要求,並需要網路裝置一致性或大量針對性網路控制的二次開發,同時面臨構架複雜、實施周期長、成本較高等難題,主要原因是現如今還沒有這方面的業界或企業標準。不過隨著網路安全的進一步發展,這方面問題有望得到改善

配置Tomcat 安全域

3 設定tomcat 安全域可以直接修改 catalina home conf tomcat users.xml檔案來設定安全域,修改後 的檔案如下 為了不和tomcat 已有的使用者衝突,這裡把 tomcat 以前的登陸帳號username admin 修改為username tadmin use...

Spring Cloud Config安全保護方法

由於配置中心的內容比較敏感,做一定的安全是有必要的。為了防止配置內容外洩應該採取安全保護。因為本來用的是基於springboot的,所以整合spring security比較容易。預設情況下回獲得乙個名為user的使用者名稱,並且在啟動的時候,會在日誌中列印隨機密碼。大多數情況下,我們並不採用隨機密...

H3C防火牆 安全域

一.基本概念 安全域 是乙個邏輯概念,用於管理安全防護裝置上的安全需求相 同的多個介面,便於實現安全控制策略的統一管理。預設安全域 當首次建立安全策略或域間策略時,系統會自動建立 以下安全域 local trust dmz,management和untrust。預設安全域不能被刪掉。dmz 指介於嚴...