春天到了,春暖花开。开场白只能用这种平淡如水的话来做引了,犹如这惨淡的安全市场。不过唯一快乐是即将为人之父,这篇流水账也算送给我未来宝宝的礼物吧。因为很久没来写了。
先解释下什么是VLINK,即虚拟链路。这个名称让人更晕。我是这样理解的,在我们的交换内网中使用VLAN划分出一个又一个的隔离组,这样每一个隔离组我会认为是一个虚拟链路,那这个虚拟里链路跟我们的软件有什么关系。这个是一个概念的挑战。在传统的VLAN划分中,这个行政权限是由交换机来做的,普通用户之间的通信交互会被限制在这个范围之内,无论你是破坏还是破坏。现在那我们要在一台傻瓜交换下面用主机来划分VLAN,来划分一个虚拟链路。这个概念也可以说成协议控制。或许它是我们虚拟机中的网络隔离的方案的突破口。
每次写东西都是N多废话,步入正题,也懒的写描述了,直接拷贝过来原来写的东西,如有问题欢迎拍砖。
//在目前使用TCP/IP协议的内部网络,总存在的着目前解决方案无法去解决的安全问题,是因为我们的安全意识不够,或是防护不到位给本身安全性不高的内部网络带来复杂的安全问题。
在市场目前的方案中,对基础协议总是首先认为他是安全的,往往忽视了基础协议的安全性和重要性。例如一个简单的ARP问题,让内网管理员花费大量的时间和精力去解决,部署各种防护设置,但安全问题总堆叠着安全问题层出不穷。
在涉密网络或其他一些使用TCP/IP协议的网络,为了防止网络的随便接入、外联、对内攻击、身份认证、等多种安全问题复合交叉在一起的时候,往往只拿出单一的问题方案去想解决所有问题,在实际的环境中效果并不是很明显,并不能从根本上解决问题。
本方案是从协议底层入手,从链路层到应用层协议,对原有的协议做了修改增强本身的安全问题,并从协议分析的角度对网络中的协议做深度分析,去发现或尝试去解决一些问题。
虚拟链路隔离,从名字上能够看出是从链路层进行协议控制,完成计算机隔离的目的。这只是网络隔离和各种安全问题处理的核心思想,从协议底层入手。
VLAN是交换机对主机区域逻辑隔离的一个概念,在这里提出来,并不是说去利用交换划分VLAN,而是利用虚拟链路实现与交换机类型的功能,并比交换机灵活易用。
例如:在一个傻瓜交换上实现对财务计算机与其他计算机的隔离,传统的做法是利用防火墙对IP进行访问控制,这只是在协议高层做的一些防护,底层的安全性并没有防护,如果被黑客发现机器的物理地址,可以从交换机截取数据,进行SNIFFER 或修改。怎么让黑客发现不到财务的物理MAC,对原有的网络协议进行修改,加固了底层协议认证的方式。
最低0.47元/天 解锁文章
扫一扫
1361
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
