本文探讨了网络安全架构设计的各个方面,包括防火墙解决方案(网络拓扑与配置注意事项)、透明模式实例、安全准入策略(如802.1X认证和安全设备应用)、AD域管理以及态势感知技术的实现。通过实际案例,揭示了如何提升企业网络安全性并进行有效管理。
(34条消息) 浅谈——网路安全架构设计(一)_孤城286的博客-CSDN博客
(34条消息) 浅谈——网络安全架构设计(二)_孤城286的博客-CSDN博客
(34条消息) 防火墙设计和部署解析_孤城286的博客-CSDN博客_防火墙设计
注 : 该篇文章继网络安全架构设计(二)
目录
一、防火墙解决方案:
注:两个防火墙之间的区域也是DMZ区域
(1)网络拓扑:
(2) 注意点:
- ①该解决方案银行等机构比较常见,因为银行里面有很多外连的单位,而这些单位均处于DMZ区域中
- ②两个防火墙应该采用异构组网:两个防火墙应该选择两个厂商的,以确保安全性.
- ③防火墙部署的两个模式(默认路由模式):
________________________________________________________________________________________________
二、防火墙透明模式实列:
注:下一代防火墙=防火墙+IPS
__________________________________________________________________________________________________
三、安全准入解决方案:
背景需求:如果公司的员工拿着电脑离开公司,到家里或其他地方上网,可能感染了病毒,然后以后电脑带到公司,导致病毒横向扩散,其他设备感染病毒.
解决设备:核心交换机旁挂安全准入设备[ISE(思科)或北信源], 公司所有的电脑上安装一个客户端,
安全准入设备为server端,通过server端控制客户端:
公司笔记本只能连接本公司网络,只能在公司上网,离开公司不能上网.
想要自己安装任何软件都没有权限,甚至USB接口封锁(防止U盘泄密和感染病毒)
连接PC接口启用802.1X认证技术,无论是有线接口还是无线,连接交换机/无线网络时,首先都要通过认证,认证之后还要通过安全准入设备检测电脑是否安全,还要授权和审计(AAA认证技术)(利用安全准入设备和802.1X合作)
_____________________________________________________________________________________________________
四、AD域(活动目录)解决方案::
背景:很多时候,企业内部还有自己的域控制器
需求:
- ①内网所有的电脑一开机都有统一的桌面
- ②现在有一个软件需要给公司所有的办公电脑安装
- ③考虑到安全性,所有电脑的办公密码,三个月改变一次
- ④控制所有电脑安装软件的权限给他全部封死
- 略 .........................................................................
以上这些需求一般都要通过域
所有电脑加入到域里面之后,域控制器里面有一个技术叫做组策略,通过组策略能够完全控制PC,甚至能够修改PC的注册表.
所以可以通过组策略进行下发软件,定时修改密码,统一卓面,封锁USB,修改用户权限等等.............
____________________________________________________________________________________________________
五、态势感知解决方案:
- (1)流量分析平台:分析流量,有没有恶意攻击,病毒等等.
- (2)探针:搜集流量,扔给流量分析平台
- (3)态势感知=IPS+杀毒网关(只能检测病毒攻击或恶意的入侵攻击,只能发现威胁不能主动防御威胁)
如此总公司能够时刻了解分支公司的情况,查缺补漏
1574
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
