区域防护在网络安全中应用分析.docx

编号：时间：2021年X月X日书山有路勤为径，学海无涯苦作舟 页码：第1页共3页区域防护在网络安全中应用分析1防护策略构建的安全网络架构还应该做好相关的访问控制策略工作。有没有必 要在所有的网络设备上都部署安全策略？经过分析发现，这样做法存在两个问题: 第一，维护人员的工作量大大增加，维护困难有所增加，将会有大量的麻烦出现 在今后的改造和排错过程中；第二，网络设备的工作效率将会降低，这由于网络 安全设备会存在巨大的负担，另外，也能够影响终端用户的网速，这是因为网络 设备的CPU和内存会被大量的策略匹配所占用。这里，可以通过把局域网分为 两层，核心则是服务器区，基于IP的访问控制在外层建立，而基于端口的访问 控制在内层的服务区域内建立。这里所谓的位于内层与外层中间的核心层则较为 特殊，各个层之间和他都存在着安全设备的防护工作，而核心层往往只是相关的 桥梁作用。针对核心层，策略安全并不是我们所考虑的重点，而是考虑的互联交 换问题比较多。另外特别注意，外层应该包括互联网接入区，这点本应该是通过 IP来做访问控制，但是需要注意在互联网接入区的特殊性质：（1）具有较大的风 险性，也是局域网唯一到达公网的出口所在；（2）访问控制在其上的部署并不会 太多，也不会要求具有太多的对外服务的服务器，所以，应该尽可能做好较为详 尽的访问控制，区别对待这个区域。访问权限最小化原则则是在部署安全策略中 需要考虑的，这点不论在内层还是外层同样适用。比如，一台主机（192.168.4.1/23） 要访问192.168.7.4的443、1521、3389等端口，可以按照如下的部署方法,首 先确定此主机的区域，以及相关在此区域部署的防火墙，然后在此防火墙上设置 进行此主机到达服务器的数据包的允许策略，对于其他的服务请求则应该拒绝，这里的访问控制是采用基于IP地址。对于服务器区防火墙来说，在达到内层以 后，根据主机对于服务器的请求的端口相关命令，拒绝除了开放相应的1521、 443、3389端口的其余请求，这种访问控制则是通过端口来实现。这样就完成了 在局域网内的访问控制策略。在这样经过上述两层防火墙过滤以后，能够满足一 台主机(192.168.4.1/23)要访问 192.168.7.4 的 443、1521、3389 等端口的要求, 则拒绝其余访问。相比于所有网络设备上都做详细的访问控制方法，上述的访问 策略能够满足既安全防护乂降低设备负担的要求。在实际情况中，根据局域网的 复杂程度，往往很多访问不能这样简单实现，要具体情况进行具体分析。2安全配置网络设备和安全设备运行安全的关键就是进行合理的安全配置。除了 网络架构和防护策略，保障网络安全中必不可少的环节就是进行合理的安全配置, 其主要包括以下4个方面。第一，IP地址限制管理。设备的源地址应该进行一定 的限制管理，特定的网络设备管理则只能通过特定的主机，能够有效防止任意主 机尝试登录设备。第二，做好密码和账号管理工作。连接设备一般不会采用现场 的使用console 口进行，在稳定的网络中，对于设备进行管理一般都是通过远程 连接设备得以实现，因此，在此过程中重点保护对象就是账号的用户名和相应密 码，网络设备本身的安全性可以通过用户名和密码得以提高。第三，SNMP(简单 网络管理协议)协议关闭。简化大型网络中设备的管理和数据的获取则是开发与 九十年代的SNMP的目的。对于SNMP协议来说，由于采用明文传输而具有较大 的风险性，因此，在不使用SNMP的时候应该进行关闭。第四，用SSH登录方式 代替telnet。对于telnet对网络设备进行管理过程中，网络中传输中的数据和命 令都是以明文方式进行，这体现出管理的不安全性，非常容易被抓包软件获得。在传输的过程中的SSH安全外壳协议则是通过密文传输，是比较安全的登录管理 方式。应该在实际应用过程中，根据情况需求而进行相关项目的加固应用，上述 分析的几点内容只是在日常应用过程中较为常见的，其他的功能可以根据实际工 作需求而定，比如限制登录时间、关闭HTTP服务等。3结语信息技术的发展非常迅速，对于网络安全的要求也日益提高，所以，应该把信息技术中的网络安全作为一项长期工作来抓。网络安全确实往往一般都 落后于信息技术的发展，所以，更要要求我们走在信息技术的发展前沿，通过存 在的问题去进一步加强网络安全技术的发展，真正意义上保护企业安全。本文 第3页共3页