安危與共安全域
網(wǎng)絡安全域是指同一系統(tǒng)內(nèi)有相同的安全保護需求、相互信任,并具有相同的安全訪問控制和邊界控制策略的子網(wǎng)或網(wǎng)絡,相同的網(wǎng)絡安全域共享一樣的安全策略。網(wǎng)絡安全域從廣義上可理解為具有相同業(yè)務要求和安全要求的IT系統(tǒng)要素的集合。
網(wǎng)絡安全域從大的方面一般可劃分為四個部分:本地網(wǎng)絡、遠程網(wǎng)絡、公共網(wǎng)絡、伙伴訪問。傳統(tǒng)的安全域之間需要設置防火墻以進行安全保護。本地網(wǎng)絡域的安全內(nèi)容有:桌面管理、應用程序管理、用戶賬號管理、登錄驗證管理、文件和打印資源管理、通信通道管理以及災難恢復管理等與安全相關的內(nèi)容。遠程網(wǎng)絡域的安全內(nèi)容為:安全遠程用戶以及遠程辦公室對網(wǎng)絡的訪問。公共網(wǎng)絡域的安全內(nèi)容為:安全內(nèi)部用戶訪問互聯(lián)網(wǎng)以及互聯(lián)網(wǎng)用戶訪問內(nèi)網(wǎng)服務。伙伴訪問域的安全內(nèi)容為:保證企業(yè)合作伙伴對網(wǎng)絡的訪問安全,保證傳輸?shù)目煽啃砸约皵?shù)據(jù)的真實性和機密性。
一個大的安全域還可根據(jù)內(nèi)部不同部分的不同安全需求,再劃分為很多小的區(qū)域。一般在劃分安全域之前,還應先把所有的計算機進行分組。分好組后,再把各個組放到相應的區(qū)域中去,如邊界DNS和邊界Web,都可放到邊界防護區(qū)域(即所謂的DMZ區(qū)域)中去。為了更為細粒度地對網(wǎng)絡進行訪問控制,在劃分安全域后,可以繼續(xù)在安全域下劃分若干子安全域,子安全域不能單獨創(chuàng)建,必須屬于某個安全域,子安全域之間可以互相重疊。計算機分組并劃分到不同的安全區(qū)域中后,每個區(qū)域再根據(jù)分組劃分為幾個子網(wǎng)。每個組的安全性要求和設置是不一樣的。區(qū)域劃分后,就可設計不同區(qū)域間的通信機制,如允許和拒絕的通信流量、通信安全要求以及技術、端口開禁等。如公網(wǎng)到核心網(wǎng)通信,必須通過VPN,并且要通過雙因子驗證(需要智能卡、口令)進行身份驗證,身份合法后再采用IP Sec進行加密通信。
傳統(tǒng)安全域的訪問管理