《网络安全原理与实践》一2.1 安全区介绍
本节书摘来自异步社区《网络安全原理与实践》一书中的第2章,第2.1节,作者 【美】Saadat Malik, CCIE #4955,更多章节内容可以访问云栖社区“异步社区”公众号查看
2.1 安全区介绍
网络安全原理与实践
虽然不同网络设备中可用的安全特性在抵制网络攻击中起到了重要的作用,但事实上对网络攻击最好的防御方法之一是网络的安全拓扑设计。关注安全的网络拓扑设计对阻止网络攻击大有帮助,并且能使不同设备的安全特性得到最有效的使用。
在现代安全网络设计中用到的最关键的思想之一是用区去隔离开网络上的不同区域。置于不同区中的设备具有不同的安全需求,而区基于这些需求提供保护。况且,一些设备(例如Web服务器)所担负的任务使它们特别容易受到网络攻击,并且更难于保护。因而,用安全性较低的区将这些设备与包含更敏感和不易受攻击设备的区隔离开来,这在整体的网络安全方案中占有关键的地位。
分区也使得网络更具扩展性,从而使其更加稳定。稳定性(stability)是安全的基石之一。一个比其他网络更稳定的网络,在遭受针对网络带宽等资源的攻击的时候也会更加安全。
创建区域的基本策略如下。
具有最大安全需求(私有网络)的设备在网络的最安全区中。通常这个区只允许很少或者不允许来自公共网络和其他网络的访问。访问通常使用防火墙或者其他安全部件控制,比如安全远程访问(SRA)。这个区中经常需要有严格的认证和授权。
仅需在内部访问的服务器要置于一个单独的专用安全区中。使用防火墙控制对这些设备的访问。对这些服务器的访问经常是受到严密监控和记录的。
需要从公共网络上访问的服务器,置于一个不允许访问网络中更安全的区的隔离区之中。万一这些服务器中的一个被攻陷1,这样做可以避免危及其他区域的网络。另外,如果可能,这些服务器中的每一个也同其他服务器隔离开来,这样如果其中的一个服务器被攻陷时,其他的服务器也不会受到攻击。每个服务器或者每种类型服务器的隔离区按照最安全的类型配置。这意味着一个Web服务器,通过将其置入一个同FTP服务器完全隔离的区中,从而与FTP服务器完全隔离开来。用这种方法,如果这个Web服务器被攻陷,FTP服务器被攻击者访问的机会和攻击者利用从该Web服务器获得权限而对FTP服务器造成危害的可能性都有限(这种隔离也可以在Cisco 6509交换机中使用私有VLAN来完成)。这种区被称作DMZ,使用防火墙来控制对它们的进出访问。
用这种方法分区,分层的防火墙可以置于通向网络中最敏感或者最易受攻击部分的路径中。这可以避免因在一个防火墙中的配置错误而导致私有网络遭受攻击。许多有安全需求的大型网络在网络层中使用不同类型的防火墙,以阻止因防火墙软件中的漏洞(bug)而使网络受损。一前一后使用一个PIX防火墙和一个代理服务器就是这样的一个例子。这有时也叫做深层防御原则。
1译者注:这里被攻陷是指某台服务器被攻击者控制。划分安全区域可以避免攻击者将被远程控制的服务器当作跳板去入侵网络中的其他设备。
《网络安全原理与实践》一2.1 安全区介绍相关推荐
- 《网络安全原理与实践》一第1章 网络安全介绍
本节书摘来自异步社区<网络安全原理与实践>一书中的第1章,作者 [美]Saadat Malik, CCIE #4955,更多章节内容可以访问云栖社区"异步社区"公众号查 ...
- 《网络安全原理与实践》一1.2 资产确定
本节书摘来自异步社区<网络安全原理与实践>一书中的第1章,第1.2节,作者 [美]Saadat Malik, CCIE #4955,更多章节内容可以访问云栖社区"异步社区&quo ...
- 【密码学Sage代码】椭圆曲线加密/解密(基于《密码编码学与网络安全——原理与实践(第七版)》)
[密码学Sage代码]椭圆曲线加密/解密(基于<密码编码学与网络安全--原理与实践(第七版)>) 教材内容: 实践的Sage代码: #[静水流深Sage代码]使用椭圆曲线密码体制进行加密/ ...
- 密码编码学与网络安全——原理与实践(第八版)——第一章:信息与网络安全概念
密码编码学与网络安全--原理与实践(第八版) 第一章:信息与网络安全概念 1.1网络空间安全.信息安全和网络安全 1.2OSI安全架构 1.3安全攻击 1.4安全服务 1.5安全机制 1.6密码学 1 ...
- 密码编码学与网络安全———原理与实践(第八版)第三章笔记
第3章 传统加密技术 学习目标 简要介绍对称密码的主要概念. 解释密码分析和穷举攻击的差异. 理解单表代替密码的操作. 理解多表代替密码的操作. 简要介绍Hill密码. 目录 第3章 传统加密技术 3 ...
- 密码编码学与网络安全----原理与实践(第八版)---第9章笔记
第九章 公钥密码学与RSA 学习目标: 概述公钥密码体制的基本原理. 阐述公钥密码体制的两个不同应用. 列举和解释公钥密码体制的要求. 概述RSA算法. 理解计时攻击. 总结算法复杂性的相关问题. 公 ...
- 密码学原理与实践_到底什么是防火墙入侵检测密码学身份认证?如何高效建立网络安全知识体系?...
今天杰哥给大家推荐一本新的书籍,名字叫做<网络安全原理与实践>,这本书有一定的阅读门槛,不是一本面向新手或新人的书籍,至少需要你具备网络基础的功底,例如已学习并掌握了我前面推荐的两本书了. ...
- Linux 快照 (snapshot) 原理与实践(二) 快照功能实践
文章目录 0. 概要 1. 准备演示数据 2. 创建 snapshot-origin 目标 3. 创建 snapshot 目标 4. 验证 COW 操作 4.1 第一次写数据 4.2 第二次写数据 5 ...
- Linux 快照 (snapshot) 原理与实践(一) 快照基本原理
文章目录 0. 背景 1. 如何理解快照(snapshot)? 2. 快照 (snapshot) 的原理 2.1 全量快照 1. 克隆 (Clone) 2. 镜像分离 (Split Mirror) 2 ...
最新文章
- 星巴克和阿里“结婚”,这后面真的不简单
- RF中alert的处理
- 更改mssql数据库的名字
- 让你的网站在移动端健步如飞
- 【转】3:C#异步WaitAll的使用
- 关于 mac m1 xcode12 编译报错 this target. for architecture arm64等问题解决方案
- 10个简单步骤,完全理解SQL
- Exchange 2013 邮箱管理
- java 当前日期 所在周_关于Java的小工具(计算当前日期所在周的区间)
- SFB 项目经验-29-批量-启用用户-启用企业语音-设置分机号(项目中)
- oracle审计功能如何实现启动关闭功能
- python斜率转换为航向0-360_机器学习模型之LinearRegression(Python学习笔记)
- 【渝粤教育】电大中专电子商务网站建设与维护作业 题库
- 提速30倍!这个加速包让Python代码飞起来
- ZKTime5.0 考勤管理系统设置
- win10计算机本地组策略编辑器,Win10本地组策略编辑器怎么打开(方法汇总)
- Artifact XXX:war exploded: Artifact is being deployed, please wait...解决方法
- 超实用后台UI模板有这些就够了!(一)
- 【细聊】torch.nn.init 初始化
- Python玩微信头像组字