解决方案-检测网络安全配置失败怎么办-0基础网络安全自学路线
前言
网络安全架构图是按照现有网络安全需求整理,通过多个维度展现。本文章主要介绍网络安全架构中的网络层安全,其他维度的详细介绍后期会持续更新。
网络安全架构
网络机遇和挑战并存,合理利用网络,有效做好安全建设至关重要。
网络安全架构从战略计划、安全管理、运维管理三个维度展开,需要人、制度、机器三方面协作,共同维护网络安全事业。
网络层安全概述
提起网络层首先想到的是OSI七层模型或是TCP/IP四层模型中的网络层,而本文主要介绍的是网络层面上的安全性。
那么,做好网络安全我们需要从哪些方面去做防护呢?
做好网络层安全需要从以下几个方面考虑:
边界防护-控制访问关系
入侵防护-早发现早处置
行为管控-用户/流量/行为管控
访问审计-行为留痕
集中管控-全方面管理
IPV6-协议栈安全
下图为网络安全拓扑图:
边界防护
互联网边界
分支接入边界
数据中心边界
管理中心边界
专网接入边界
根据定义的规则对经过防护设备的流量进行筛选,由关键字确定筛选出的流量如何进行下一步操作,包含源安全区域、目的安全区域、源地址/地区、目的地址/地区、用户、服务(源端口、目的端口、协议类型)、应用和时间段。
网络设备对流量的处理最终都是通过对单个报文的识别、转发、丢弃和改造来实现的。根据报文的类型和所配置的策略不同,防火墙对报文的处理过程也有所不同。这里总体介绍报文通过防火墙的基本转发过程。如下报文转发全流程图所示:
注:上图展示了各个模块的基本处理顺序。实际每一个报文的处理并非严格按照此流程图依次进行。
如果流量匹配的安全策略中配置了内容安全业务,则需要对流量进行内容安全检测。内容安全检测涉及一系列处理过程如下图所示:
如果流量是SSL加密流量,FW需要先解密才能进行内容安全检测。
对报文进行IP分片重组以及TCP流重组,保证后续进行业务处理的报文是顺序、无重叠的。
做完报文重组之后,FW识别流量具体的协议和应用,识别出的应用可供安全策略、带宽策略等使用。
识别出协议后,FW开始对协议深度解码。此阶段一次性解析出后续内容安全业务所需的字段或内容,极大提高了检测速度。
根据用户配置的内容安全业务,FW开始进行内容安全检查。
对于解密的SSL流量,FW进行内容安全检查后需要重新对报文加密再发送。
入侵防护
未经授权访问未经授权篡改未经授权破坏
黑客入侵
√
√
√
拒绝服务攻击威胁
√
病毒及恶意软件
√
√
√
入侵是指未经授权而尝试访问信息系统资源、窜改信息系统中的数据,使信息系统不可靠或不能使用的行为;
入侵企图破坏信息系统的完整性、机密性、可用性以及可控性。
行为管控
网络层面利用上网行为管理设备对用户、流量和行为等三要素进行有效限制,提高网络安全性。
一体化场景下,可以有效实现各分支用户上网行为的管控及行为审计,为客户节省投资,并满足网络安全监管部门审计要求。
访问审计
网络层面审计包含数据库审计和日志审计。
集中管控
集中管控是指在网络中建立一个独立的管理域,此管理域具有对全网设备和组件的管理权限,可实现交换机、路由器、WLAN、防火墙、视频监控、服务器、存储、PON设备以及服务器操作系统和虚拟资源的统一管理,包含软件版本升级、设备性能监控、配置下发等,为ICT设备提供集中化管理、可视化监控、智能化分析等能力,有效提高运维效率、降低运维成本、提升资源使用率,有效保障ICT系统稳定运行。
IPV6
由于IPv4地址资源不足,严重制约了互联网的应用和发展,通过双协议栈改造,可以很好的由ipv4协议到ipv6协议的过渡,但最终ipv6协议会普及,这样ipv6的安全技术、安全管理、安全开发到安全运营将面临较大的挑战。
个人见解
随着互联网+、业务数字化转型的深入推进,各行各业都在加速往互联网化、数字化转型,所面对的安全问题也是日益剧增。由于设备的技术更新和产品功能迭代比较快,每年新购入的设备都在快速增加。但同时由于人员紧缺等问题,安全运维人员仅能在网络安全中心一处进行设备监控及安全防护工作,无法满足日益增长的运维需求。
随着技术的发展,云安全市场将迎来爆发式增长。而对于企业而言,如何快速建立云安全体系、快速满足云化转型所带来的需求是亟待解决的问题。
对于云厂商而言:首先要考虑如何提升企业自身 IT运维能力;其次要建立一套符合自身业务需求的 IT安全体系;最后要考虑如何将 IT运维能力转化为企业资产。
~
网络安全学习,我们一起交流
~
8909
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
