何處設(shè)防——一個(gè)通用的SAFE模型

2019-11-04 22:37:39

字體：大中小

供稿：網(wǎng)友

　　對(duì)于大多數(shù)的企業(yè)來(lái)說(shuō)，網(wǎng)絡(luò)由兩個(gè)功能區(qū)域組成：園區(qū)網(wǎng)和邊緣，這兩個(gè)區(qū)域可進(jìn)一步劃分成模塊，這些模塊具體定義了每個(gè)區(qū)域的各種功能。在這些不同的模塊中有著不同的安全需要，需要設(shè)計(jì)相關(guān)的安全策略。
　　
　　企業(yè)園區(qū)網(wǎng)
　　　何處設(shè)防——一個(gè)通用的SAFE模型（圖一）

　　圖1. 企業(yè)園區(qū)網(wǎng)細(xì)節(jié)
　　
　　治理模塊
　　治理模塊的主要目標(biāo)是實(shí)現(xiàn)企業(yè)SAFE體系結(jié)構(gòu)中所有設(shè)備和主機(jī)的安全治理。記錄和報(bào)告信息從設(shè)備流向治理主機(jī)，而內(nèi)容、配置和新軟件從治理主機(jī)流向設(shè)備。它要緩解的威脅有未授權(quán)訪問、中間人攻擊、網(wǎng)絡(luò)偵察、口令攻擊、ip電子欺騙、分組竊聽、信任關(guān)系利用。
　　
　　核心模塊
　　SAFE體系結(jié)構(gòu)中的核心模塊幾乎與其他任意網(wǎng)絡(luò)體系結(jié)構(gòu)的核心模塊一樣。它主要是將信息流盡可能快速地從一個(gè)網(wǎng)絡(luò)傳送和交換至另一網(wǎng)絡(luò)。它要緩解的威脅是分組竊聽。
　　
　　構(gòu)建分布模塊
　　此模塊的目標(biāo)是向構(gòu)建交換機(jī)提供分布層服務(wù)，這其中包括路由、服務(wù)質(zhì)量（QoS）和訪問控制。數(shù)據(jù)請(qǐng)求流入這些交換機(jī)再傳至核心，響應(yīng)則以相反途徑進(jìn)行。這一部分所緩解的威脅有未授權(quán)訪問、IP電子欺騙、分組竊聽。
　　
　　構(gòu)建模塊
　　SAFE將構(gòu)建模塊定義為包括最終用戶工作站、電話及其相關(guān)第2層接入點(diǎn)的擴(kuò)展網(wǎng)絡(luò)部分。其主要目的是向最終用戶提供服務(wù)。這一部分所緩解的威脅有分組竊聽、病毒和特洛伊木馬應(yīng)用。
　　
　　服務(wù)器模塊
　　服務(wù)器模塊的主要目標(biāo)是向最終用戶和設(shè)備提供給用服務(wù)。服務(wù)器模塊上的信息流由第3層交換機(jī)中的主板入侵檢測(cè)進(jìn)行檢查。這一部分所緩解的威脅有未授權(quán)訪問、應(yīng)用層攻擊、IP電子欺騙、分組竊聽、信任關(guān)系利用、端口重定向。
　　
　　邊緣分布模塊
　　此模塊的目標(biāo)是在邊緣集中來(lái)自各元素的連接。信息流從邊緣模塊過(guò)濾和路由并送至核心。所緩解的威脅有未授權(quán)訪問、IP電子欺騙、網(wǎng)絡(luò)偵察、分組竊聽。
　　
　　企業(yè)邊緣
　　　何處設(shè)防——一個(gè)通用的SAFE模型（圖二）

　　圖2. 企業(yè)邊緣具體內(nèi)容——第一部分
　　
　　何處設(shè)防——一個(gè)通用的SAFE模型（圖三）

　　圖3. 企業(yè)邊緣具體內(nèi)容——第二部分
　　
　　公司互聯(lián)網(wǎng)模塊
　　公司互聯(lián)網(wǎng)模塊為內(nèi)部用戶提供了到互聯(lián)網(wǎng)服務(wù)的連接并使互聯(lián)網(wǎng)用戶訪問公共服務(wù)器上的信息。信息也可從此模塊流向VPN和發(fā)生VPN端接的選擇接入模塊。此模塊不是為服務(wù)于電子商務(wù)類應(yīng)用而設(shè)計(jì)的。有關(guān)提供互聯(lián)網(wǎng)商務(wù)的具體信息，請(qǐng)參見本文中稍后的“電子商務(wù)模塊”部分。所緩解的威脅有未授權(quán)訪問、應(yīng)用層攻擊、病毒和特洛伊木馬、口令攻擊、拒絕服務(wù)、IP電子欺騙、分組竊聽、網(wǎng)絡(luò)偵察、信任關(guān)系利用、端口重定向。
　　
　　VPN和遠(yuǎn)程接入模塊
　　正如其名，此模塊的主要目標(biāo)有三個(gè)：從遠(yuǎn)程用戶處端接VPN信息流、為從遠(yuǎn)程站點(diǎn)端點(diǎn)VPN信息流提供一個(gè)集線器，以及端接傳統(tǒng)撥號(hào)接入用戶。所有傳送至邊緣分布的信息流來(lái)自于遠(yuǎn)程公司用戶，他們?cè)诒徽J(rèn)可進(jìn)入防火墻之前以某種方式進(jìn)行了驗(yàn)證。所緩解的威脅有網(wǎng)絡(luò)拓?fù)浒l(fā)現(xiàn)、口令攻擊、未授權(quán)訪問、中間人攻擊、分組竊聽。
　　
　　WAN模塊
　　此模塊并不是潛在WAN設(shè)計(jì)的完全專用部分，它為WAN端接提供了彈性和安全性。采用幀中繼封裝，信息流可在遠(yuǎn)程站點(diǎn)和中心站點(diǎn)間傳輸。所緩解的威脅有IP電子欺騙、未授權(quán)訪問。
　　
　　電子商務(wù)模塊
　　電子商務(wù)是此模塊的主要目標(biāo)，接入和安全兩方面必須取得平衡。將電子商務(wù)事務(wù)處理拆分成三個(gè)部件，可使該體系結(jié)構(gòu)提供各種類型的安全性且不會(huì)防礙接入。
　　
　　所緩解的威脅有未授權(quán)訪問、應(yīng)用層攻擊、拒絕服務(wù)、IP電子欺騙、分組竊聽、網(wǎng)絡(luò)偵察、信任關(guān)系利用、端口重定向。
　　
　　遷移戰(zhàn)略
　　SAFE是對(duì)在企業(yè)網(wǎng)絡(luò)上實(shí)施安全性的指南，它并不是適用于任意企業(yè)網(wǎng)絡(luò)的安全政策，也并非一個(gè)為所有已有網(wǎng)絡(luò)提供全面安全性的全能設(shè)計(jì)。實(shí)際上，SAFE是一個(gè)模板，可幫助網(wǎng)絡(luò)設(shè)計(jì)人員考慮設(shè)計(jì)和實(shí)施其企業(yè)網(wǎng)絡(luò)的方法來(lái)滿足其安全要求。
　　
　　建立安全政策應(yīng)是將網(wǎng)絡(luò)向安全基礎(chǔ)設(shè)施遷移過(guò)程中的第一項(xiàng)活動(dòng)。在政策建立之后，網(wǎng)絡(luò)設(shè)計(jì)人員應(yīng)考慮本文第一部分中描述的安全準(zhǔn)則，來(lái)了解它們是如何提供更多細(xì)節(jié)以在現(xiàn)有網(wǎng)絡(luò)基礎(chǔ)設(shè)施上應(yīng)用此政策的。
　　
　　體系結(jié)構(gòu)的充分靈活性和關(guān)于設(shè)計(jì)問題的細(xì)節(jié)可調(diào)整SAFE體系結(jié)構(gòu)元素，以適用于大多數(shù)企業(yè)網(wǎng)絡(luò)。例如，在VPN和遠(yuǎn)程訪問模塊中，各種來(lái)自公共網(wǎng)絡(luò)的信息流都能各自獲得一對(duì)獨(dú)立的端接設(shè)備和防火墻上的一個(gè)獨(dú)立接口。假如負(fù)載要求答應(yīng)，且兩種流量類型的安全政策一樣，VPN信息流即可在一對(duì)設(shè)備上合并。在另一網(wǎng)絡(luò)上，傳統(tǒng)撥號(hào)接入和遠(yuǎn)程接入VPN用戶可直接進(jìn)入網(wǎng)絡(luò)，這是因?yàn)榘踩邔?duì)將網(wǎng)絡(luò)連接放在首位的驗(yàn)證機(jī)制給予了足夠信任。
　　
　　SAFE使設(shè)計(jì)人員可滿足相互間幾乎完全獨(dú)立的各網(wǎng)絡(luò)功能的安全要求。每個(gè)模塊通常可自行滿足安全性需求且假定互連模塊均僅處于基本安全級(jí)別。這樣網(wǎng)絡(luò)設(shè)計(jì)人員即可使用階段式方式來(lái)保護(hù)企業(yè)網(wǎng)絡(luò)。它們無(wú)需重新設(shè)計(jì)整個(gè)網(wǎng)絡(luò)即可按政策保護(hù)最為要害的網(wǎng)絡(luò)功能。但治理模塊是個(gè)例外。在初次SAFE實(shí)施期間，治理模塊應(yīng)與第一個(gè)模塊并行實(shí)施。隨著網(wǎng)絡(luò)其余部分的遷移，治理模塊可連接到其他位置。

上一篇：網(wǎng)絡(luò)世界的“公路” 傳輸介質(zhì)完全攻略

下一篇：移動(dòng)可視電話現(xiàn)網(wǎng)實(shí)現(xiàn)的方案探討