浅谈——网络安全架构设计(二)

已于 2022-07-20 14:37:30 修改
阅读量2.6k 收藏 10
点赞数 1
分类专栏: 网络技术 文章标签: web安全 服务器 网络
于 2022-07-20 12:23:26 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_62311779/article/details/125885127
版权

(34条消息) 浅谈——网路安全架构设计(一)_孤城286的博客-CSDN博客

目录

一、实现需求: 

二、安全优化: 

(1)修改后网络架构 

(2)安全评估: 

 三、再优化

(1)优化方案 

(2)防火墙区域及作用:

(3)优化后架构 

一、实现需求: 

需求:内网服务器要对互联网提供web服务,

而内网IP均为私有ip所以须在出口路由器做NAT转换:

把192.168.20.1 TCP 80映射到100.1.1.1 TCP 80

此时PC3只要访问到10.1.1.1 TCP 80端口就等同于访问到了内网服务器192.168.20.1

______________________________________________________________________________________________________ 

二、安全优化: 

(1)修改后网络架构 

(2)安全评估: 

IPS能够防御入侵攻击实际上靠的是入侵数据库,每一种入侵的方式都有一系列的行为特征,把行为特征提取出来写成攻击特征数据库,然后把这个数据库升级到IPS里面,IPS才可以争对一些最新的攻击进行防御

但是如果现在有一个最新的BUG和最新的攻击方式,IPS做相关的防御还是极其困难的

如果PC3是一个恶意攻击者,你既然允许他访问web服务器,他采用最新的病毒或最新攻击方式,把web服务器入侵了,

则他把web服务器入侵之后,利用web服务器为跳板,向内网其他的服务器或设备展开攻击,就及其难防御

____________________________________________________________________________________________________ 

 三、再优化

(1)优化方案 

①对服务器进行安全加固[安装安全软件(火绒、卡巴斯基...)]

②把服务器上没有使用的服务端口关闭,保留必要端口号

③服务器前安装WAF应用防火墙:WAF应用防火墙主要是争对HTTP以及HTTPS协议去做深度的入侵检测的(为七层防火墙)

④底层操作系统加固

⑤利用硬件防火墙划分区域(防火墙接口必须划分区域)

(2)防火墙区域及作用:

防火墙提供的是区域和区域间的访问控制(华为,华三,山石网科,绿盟......)默认情况下,区域之间都不能互通.所以防火墙一开始是实现公司内外网的安全隔离,在安全隔离的基础上实现了区域之间的访问控制.

(3)优化后架构 

 

此时,即使PC3作为恶意攻击者侵占了web服务器,但是也不能利用web服务器为跳板入侵内网公司其他设备,因为有安全策略:

DMZ区域不能主动访问任何区域

冯富江的技术博客
关注
专栏目录
网络安全课程笔记(
Sarah_212的博客
09-06 7139
第2章 密码体制与技术 对称密码 对称密码体制根据对明文的加密方式的不同而分为分组密码和序列密码。 分组密码:先按一定长度(如64比特、128比特 等)对明文进行分组,以组为单位加/解密; 序列密码:不进行分组,而是按位加密 对称密码体制的优点: 算法简单、速度快、适合加密大量数据 序列密码 ...
网络安全架构
weixin_53386866的博客
03-05 5160
网络安全架构 2021/3/5 一.安全安全域 安全域是边界防护的基础 具有相同安全业务级别 统一的边界访问策略控制 通常将安全域分为 办公域 办公服务域 线上业务域1.2.3.等 开发域 测试域 对外服务域 外网 传统企业网络架构 典型安全域架构 金融行业安全域架构 思考 除了业务安全域,还有it本身的安全域,如: VPN+SSH+RDP 管理网段+双网卡 安全域面临的挑战 企业广泛的采用纵深防御技术(defensin depth)和最小权限逻辑(least pri
浅谈——网络安全架构设计(三)
qq_62311779的博客
07-20 1484
连接PC接口启用802.1X认证技术,无论是有线接口还是无线,连接交换机/无线网络时,首先都要通过认证,认证之后还要通过安全准入设备检测电脑是否安全,还要授权和审计(AAA认证技术)(利用安全准入设备和802.1X合作)背景需求如果公司的员工拿着电脑离开公司,到家里或其他地方上网,可能感染了病毒,然后以后电脑带到公司,导致病毒横向扩散,其他设备感染病毒.所有电脑加入到域里面之后,域控制器里面有一个技术叫做组策略,通过组策略能够完全控制PC,甚至能够修改PC的注册表.公司所有的电脑上安装一个客户端,...
【系统架构设计师】十四、安全架构设计理论与实践③
帅次的博客
08-04 1903
OSI定义了7层协议,其中除第5层(会话层)外,每一层均能提供相应的安全服务。实际上,最适合配置安全服务的是在物理层、网络层、运输层及应用层上,其他层都不宜配置安全服务。 OSI开放系统互联安全体系的5类安全服务包括鉴别、访问控制、数据机密性、数据完整性和抗抵赖性。 OSI定义分层多点安全技术体系架构,也称为深度防御安全技术体系架构,它通过以下三种方式将防御能力分布至整个信息系统中。
浅谈——网络安全架构设计(四)
qq_62311779的博客
07-21 2446
目录一、跳板机(堡垒机)—解决方案(1) 简介:(2)实列: (3)跳板机作用:、数据库审计系统—解决方案三、日志审计系统—解决方案 四、安全等保五、双机热备:跳板机(Jump Server),也称堡垒机,是一类可作为跳板批量操作远程设备的.........
架构设计安全架构设计
最新发布
师兄怎么办
08-27 1334
在当今以计算机、网络和软件为载体的数字化服务几乎成为人类社会赖以生存的手段,与之而来的计算机犯罪呈现指数上升趋势,因此,信息的可用性、完整性、机密性、可控性和不可抵赖性等安全保障有位重要,为满足这些诉求,离不开好的安全架构设计。GB/T 9387.21995 给出了基于OSI参考模型的7层协议之上的信息安全体系结构。
浅谈——网络安全架构设计(五)
qq_62311779的博客
07-22 1443
需求电信的用户访问web服务器,从电信入口进,从电信的接口出,联通的用户访问web服务器,从联通入口进,从联通的接口出。F5设备会判断当前三台服务器,谁的并发连接数最高,谁的CPU利用率最高,谁的内存比较高.....它可以判断出服务器的健康状态,性能参数。当外网pc2想要访问公司内网的业务的时候,pc2会负载到服务器1上,pc3负载到服务器2上。假设服务器1并发连接数2万,服务器2的是4万,服务器3的并发连接数8000,F5设备会根据不同的算法执行不同的操作!该篇文章续写以上文章!......
安全架构设计
转错的弯,走错的路
10-22 2186
安全是个相对的,安全是一种平衡。 随着企业将更多的业务托管于混合云之上,保护用户数据和业务 变得更加困难。本地基础设施和多种公、私有云共同构成的复杂环境, 使得用户对混合云安全有了更高的要求。 混合云安全能力体现在以下几方面:  网络和传输安全 通过安全域划分、虚拟防火墙、VXLAN 等软件定义网络进行 网络隔离,避免不同平面的网络间相互影响;通过 HTTPS 等 安全通信协议、SS...
从数据仓库到数据湖——浅谈数据架构演进
01-27
在实践中,企业需要权衡数据仓库和数据湖的优缺点,考虑数据治理、安全性、性能和成本等因素,制定符合业务场景的数据架构策略。例如,对于需要高效事务处理的场景,数据仓库可能是更好的选择;而对于需要灵活分析和...
电子政务系统网络安全安全防护之变——浅谈态势感知与安全运营平台.pdf
09-20
电子政务系统网络安全安全防护之变——浅谈态势感知与安全运营平台.pdf
安全架构设计
08-17
安全架构设计
企业网络安全规划与设计
05-12
企业网络安全已成为当今值得关注的问题,它的重要性是不言而喻的,对于大多数网络黑客来说,成功地入侵一个企业特别是著名企业的网络系统,具有证明和炫耀其能耐的价值,尽管这种行为的初衷也许并不具有恶意的目的;窃取企业的网络数据,甚至破坏其网络系统,更加具有现实和长远的商业价值。因此,如何保障企业网络安全变得重要起来。 网络安全性包括信息安全性,网络本身的安全性,保证系统的安全性。要从管理和技术角度制定不同的安全策略。安全设备的技术性能和功能,必须满足行业系统管理体制的要求,即能基于网络实现安全管理,具有接受网络信息安全管理机构管理的能力,还要不影响原网络拓扑结构。
企业网络安全架构的设计与实现.docx
01-26
1.2万字 37页 3.1 防火墙的架构与实现 8 3.1.1 连接与登录配置 9 3.1.2 透明模式(网桥模式)的安装与部署 11 3.1.3 内外网互访策略编辑与管理 12 3.1.4 管L2TP配置 15 3.2 入侵检测系统的架构与实现 18 3.2.1 IDS设备部署与配置 18 3.2.2 IDS入侵检测 20 3.3 信息安全管理审计系统架构与实现 21 3.3.1 系统的部署及系统登录 21 3.3.2 网络访问与网络日志查看 22 3.3.3 监控策略的应用 24 3.4 内网保密安全系统的架构与实现 28 3.4.1 用内网保密软件的部署及登录 28 3.4
网络安全架构设计网络安全设备的部署(1).pptx
07-09
网络安全架构设计网络安全设备的部署 网络安全架构设计网络安全设备的部署(1)全文共58页,当前为第1页。 合理分域,准确定级 信息系统等级保护以系统所处理信息的最高重要程度来确定安全等级 在合理划分安全域边界安全可控的情况下,各安全域可根据信息的最高重要程度单独定级,实施"分域分级防护"的策略,从而降低系统建设成本和管理风险 信息系统安全域之间的边界应划分明确,安全域与安全域之间的所有数据通信都应安全可控 对于不同等级的安全域间通信,应实施有效的访问控制策略和机制,控制高密级信息由高等级安全域流向低等级安全域。 网络安全架构设计网络安全设备的部署(1)全文共58页,当前为第2页。 面对众多安全威胁该如何防范? 口令暴解 窃听 SQL注入 跨站脚本 恶意代码 误操作 系统漏洞 系统故障 蠕虫病毒 黑客入侵 混合攻击 自然灾害 跨站脚本 网站挂马 弱点扫描 木马 DoS攻击 轻则: 系统不稳定 网络或业务访问缓慢 成为攻击跳板 造成信誉影响 。。。 重则: 业务不可访问 网络中断、不可用 系统宕机 数据被窃取、篡改 造成经济损失 导致行政处罚或刑事责任 。。。 后门 网络安全架构设计
信息安全整体架构设计.doc
08-17
通过人、管理和技术手段三大要素,构成动态的信息与网络安全保障体系框架WPDRR模型,实现系统的安全保障。WPDRR是指:预警(Warning)、保护(Protection)、检测(Detection)、反应(Reaction)、恢复(Recovery),五个环节具有时间关系和动态闭环反馈关系。 安全保障是综合的、相互关联的,不仅仅是技术问题,而是人、管理和技术三大要素的结合。
工控安全_瓷器店里捉老鼠_——浅谈工控网络攻与防.pdf
09-11
工控安全_瓷器店里捉老鼠_——浅谈工控网络攻与防 安全意识教育 网络与基础架构安全 渗透测试 业务风控 漏洞分析
浅谈促进网络安全和信息化的协调发展.pdf
09-20
网络安全和信息化的协调发展是当前社会的关键议题,关系到国家的安全、经济的发展以及社会的...在这个过程中,每个参与者——政府、企业、个人——都有责任和义务参与到网络安全的维护中,确保信息化时代的繁荣与安全
浅谈计算机网络安全问题及其对策 (1).pdf
09-20
虽然这个主题与计算机网络网络安全无关,但我们可以联想到技术在不同领域的交叉应用,如使用先进的分析技术确保在线交易中贵重物品的真实性,这涉及到网络安全的一部分——保护消费者的权益。此外,网络技术在珠宝...
工业级物联网项目架构设计与实施探讨
架构设计应考虑数据加密、访问控制和安全更新策略,防止未经授权的访问和恶意攻击。 6. **适应性**:随着现场工艺的变更,物联网系统应具备一定的灵活性,能够快速调整以适应新的业务需求。 7. **生命周期管理**:...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值