浅谈——网络安全架构设计(四)

已于 2022-07-22 00:13:33 修改
阅读量1.9k 收藏 5
点赞数 2
分类专栏: 思科网络技术 文章标签: 网络 安全 跳板机 审计 堆叠
于 2022-07-21 16:37:08 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_62311779/article/details/125904676
版权

(34条消息) 浅谈——网路安全架构设计(一)_孤城286的博客-CSDN博客

(34条消息) 浅谈——网络安全架构设计(二)_孤城286的博客-CSDN博客

(34条消息) 浅谈——网络安全架构设计  (三)_孤城286的博客-CSDN博客

注:该篇文章续以上文章!!!

目录

一、跳板机(堡垒机)—解决方案

(1) 简介:

(2)实列: 

 (3)跳板机作用:

二、数据库审计系统—解决方案

三、日志审计系统—解决方案 

四、安全等保

五、双机热备:

六、堆叠

①横向虚拟:交换机虚拟成一个

 ②纵向虚拟:把接入交换机虚拟成核心交换机的虚拟板卡

 七、网闸——生产网和办公网解决方案

一、跳板机(堡垒机)—解决方案

(1) 简介:

跳板机Jump Server),也称堡垒机,是一类可作为跳板批量操作远程设备的网络设备,是系统管理员运维人员常用的操作平台之一。

(2)实列: 

正常情况下,PC1想要访问内网的OA系统,

首先通过web页面访问到跳板机上,然后利用这个跳板朝着OA办公系统发起访问。

而且在跳板机上还可以部署AAA认证技术(认证,授权,审计)

  •  ——认证:验证用户是否可以获得网络访问权。可以是密码用户的或者数字证书的认证
  • ——授权:授权用户可以使用哪些服务,包括授权用户可以使用的命令。可以是给与对应设备对应的访问权限,可以访问哪些网段,可以执行哪些操作。
  • ——审计:什么登录,什么时候离开.......

 (3)跳板机作用:

  • ①核心系统运维和安全审计管控;
  • ②过滤和拦截非法访问、恶意攻击,阻断不合法命令,审计监控、报警、责任追踪;
  • ③报警、记录、分析、处理;

————————————————————————————————————————————————————————— 

二、数据库审计系统—解决方案

主要为了防止删库跑路:

如果你开发一个游戏,一个web页面,那么这些相关的视频图片.....都是存放在数据库里面,

现在内网的开发人员想要争对这个数据库想要登录的话,首先要经过数据库审计系统进行认证(

 实际上也是基于AAA认证技术的。

  • ——认证:登录这个数据库时需要一个认证
  • ——授权:数据库有很多个实列,你能访问哪写实列,不能访问哪些实列,而且对于这个实列的增删改查都有哪些权限,可以控制死。如果某个研发人想要修改这个数据库某个语句,修改完成之后,一旦提交不会立即生效,他会把修改数据库的申请发给技术主管,主管审查之后才会审批通过,然后才会生效。
  • ——审计:你什么时候登录数据库,什么时候离开的,期间你都做了一些什么,都能记录下来。

如此,就可以有效的防止删库跑路行为。 

 —————————————————————————————————————————————————————

三、日志审计系统—解决方案 

用于全面收集企业IT系统中常见的安全设备、网络设备、数据库、服务器、应用系统、主机等设备所产生的日志(包括运行、告警、操作、消息、状态等)并进行存储、监控、审计、分析、报警、响应和报告的系统。

几乎所有的网络设备都有一个log日志,log日志可以动态把设备硬件信息的告警通过log日志打印出来。很多安全设备遭受攻击,发现病毒。都会把这些信息存放在设备的内存里面。

 如果网络规模比较大的情况下,在网络设备上通过syslog协议把设备的log日志发给日志服务器,

以后的IT运维人员只要在日志服务器上查看即可。

 

—————————————————————————————————————————————————————— 

四、安全等保

信息安全等级保护,是对信息和信息载体按照重要性等级分级别进行保护的一种工作,在中国、美国等很多国家都存在的一种信息安全领域的工作。

在中国,信息安全等级保护广义上为涉及到该工作的标准、产品、系统、信息等均依据等级保护思想的安全工作;狭义上一般指信息系统安全等级保护。

等保是一个全方位系统安全性标准,不仅仅是程序安全,包括:物理安全、应用安全、通信安全、边界安全、环境安全、管理安全等方面。

———————————————————————————————————————————————————— 

五、双机热备:

(34条消息) 双机热备实验——(VRRP技术+HSRP技术)讲解+配置_孤城286的博客-CSDN博客_vrrp双机热备

———————————————————————————————————————————————————————— 

六、堆叠

双机热备存在问题:主备交换时延迟较高会导致业务中断

解决:堆叠技术 

①横向虚拟:交换机虚拟成一个

 ②纵向虚拟:把接入交换机虚拟成核心交换机的虚拟板卡

—————————————————————————————————————————————————————————— 

 七、网闸——生产网和办公网解决方案

网闸实现了内外网的逻辑隔离,在技术特征上,主要表现在网络模型各层的断开(物理层的隔离)

防火墙只是做到三层(路由模式)到七层的隔离。或者二层(透明模式)到七层的隔离

但是对于有些病毒,从防火墙隔离带有一定的局限性,隔离效果有限。

然而网闸是物理层隔离。

网闸相当于摆渡车,如果流量想要过去,那么先上摆渡车(网闸的特殊协议充当摆渡车),由摆渡车拉到另外一端,然后在解开封装,在经过防火墙,AV,

需求:在网络通信的情况下实现生产网和办公网的安全隔离。

 当办公网pc1想要访问生产网服务器时,分别在防火墙,网闸上做安全策略,层层过滤。

生产网网闸收到后解封,然后经过AV,防火墙,IPS

冯富江的技术博客
关注
  • 2
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
网络安全体系架构介绍
elevn的博客
08-15 1091
如图2所示,P2DR模型是在整体安全策略的控制和指导下,在综合运用防护工具(如防火墙、操作系统身份认证、加密等手段)的同时,利用检测工具(如漏洞评估、入侵检测等系统)评估系统的安全状态,使系统保持在最低风险的状态。P2DR模型提出了全新的安全概念,即安全不能依靠单纯的静态防护,也不能依靠单纯的技术手段来实现。IATF是一系列保证信息和信息设施安全的指南,为建设信息保障系统及其软硬件组件定义了一个过程,依据所谓的纵深防御策略,提供一个多层次的、纵深的安全措施来保障用户信息及信息系统的安全。
网络安全常见的三层架构(非常详细)零基础入门到精通,收藏这一篇就够了
Libra1313的博客
05-14 1636
是梳理网络资产,把客户当前的资产暴露面梳理一下。颗粒度大,梳理的信息就少点,颗粒度细,梳理的信息就多点。一般情况下,都是根据信息系统来梳理的,把公网上IP总量梳理清楚,IP上开放的端口梳理清楚,就是一些暴露面搞清楚,后续可以来收拢暴露面,或者做相应的风险监控和加固。有些安全设备的策略要配置好,及时更新特征库,这样安全设备会及时报警,我们根据报警情况来做操作,该打补丁打补丁,该杀毒杀毒,该改代码改代码。是从实际的工作中总结出来的,这三层架构说起来很清晰,客户可以理解,做起来也容易,反正都能套到这三层里去。
如何设计一个安全性架构
最新发布
Blueeyedboy521的博客
06-05 65
通过以上全面的安全性架构设计,可以显著提高系统的安全性,保护系统免受各种潜在威胁和攻击。每个层次的安全措施相互补充,形成多层次的防御体系,确保系统的整体安全。单点登录(SSO):使用 OAuth、OpenID Connect 等协议,实现跨应用系统的单点登录。安全信息与事件管理(SIEM):整合和分析安全日志,实时监控和响应安全事件。安全配置:确保服务器和操作系统的安全配置(如关闭不必要的服务和端口)。安全日志:记录所有的安全相关事件,如登录尝试、权限变更、数据访问等。
校园网络安全防御系统的设计与实现(论文+源码)_kaic
涉及毕业论文、远程调试、小程序、管理系统、JAVA、C#、IDEA、VS开发工具等
11-02 1440
一个密码系统完成如下伪装:加密者对需要进行伪装机密信息(明文)进行伪装进行变换(加密变换),得到另一种看起来似乎与原有信息不相关的表示(密文),如果合法者(接收者)获得了伪装后的信息,那么它可以通过事先约定的密钥,从得到的信息中分析到原有的机信息(解密变换),而如果不合法的用户(密码分析者)试图从这种伪装后的信息中分析得到原有的机密信息,那么,要么这种分析过程是不可能,要么代价过于巨大,以至于无法进行。计算机系统的安全是相对不安全而言的,许多危险、隐患和攻击都是隐藏的、潜在的、难以明确却又广泛存在的。
大型企业局域网安全解决方案
12-03 1965
第一章 总则   本方案为某大型局域网网络安全解决方案,包括原有网络系统分析、安全需求分析、安全目标的确立、安全体系结构的设计、等。本安全解决方案的目标是在不影响某大型企业局域网当前业务的前提下,实现对他们局域网全面的安全管理。   1.将安全策略、硬件及软件等方法结合起来,构成一个统一的防御系统,有效阻止非法用户进入网络,减少网络的安全风险。   2.定期进行漏洞扫描,审计跟踪,及时发现问题
10种较流行的网络安全框架及特点分析
xiangxueerfei的博客
01-18 908
网络安全框架主要包括安全控制框架(SCF)、安全管理框架(SMP)和安全治理框架(SGF)等类型。对于那些希望按照行业最佳实践来开展网络安全能力建设的企业来说,理解并实施强大的网络安全框架至关重要。本文收集整理了目前行业中已被广泛应用的10种较流行网络安全框架,并对其应用特点进行了简要分析。01CIS关键安全控制(CIS Controls)框架提供了一系列简单的、清晰的、规范化的网络安全防护最佳实践,可用于增强组织的网络安全态势。
5分钟教你如何设计一个安全web架构
小杨互联网
11-16 1825
Xss就是javascript 脚本攻击,就是在表单提交的时候提交一个小脚本,因为浏览器默认是支持脚本的,所以写个小脚本不做处理的话问题就很大。不处理网页直接挂掉。如何防御?1,通过后台编写一个过滤器拦截所有getParameter参数 重写httpservletwrapp方法。2,通过工具类将参数特殊字符转换成html源代码保存。3,通过js检验过滤用户输入的 检查用户输入的内容中是否有非法内容。如(尖括号)、”(引号)、 ‘(单引号)、%(百分比符号)、;
从数据仓库到数据湖——数据架构演进
01-27
在实践中,企业需要权衡数据仓库和数据湖的优缺点,考虑数据治理、安全性、性能和成本等因素,制定符合业务场景的数据架构策略。例如,对于需要高效事务处理的场景,数据仓库可能是更好的选择;而对于需要灵活分析和...
电子政务系统网络安全安全防护之变——态势感知与安全运营平台.pdf
09-20
电子政务系统网络安全安全防护之变——态势感知与安全运营平台.pdf
促进网络安全和信息化的协调发展.pdf
09-20
网络安全和信息化的协调发展是当前社会的关键议题,关系到国家的安全、经济的发展以及社会的...在这个过程中,每个参与者——政府、企业、个人——都有责任和义务参与到网络安全的维护中,确保信息化时代的繁荣与安全。
计算机网络安全问题及其对策 (1).pdf
09-20
虽然这个主题与计算机网络或网络安全无关,但我们可以联想到技术在不同领域的交叉应用,如使用先进的分析技术确保在线交易中贵重物品的真实性,这涉及到网络安全的一部分——保护消费者的权益。此外,网络技术在珠宝...
企业网络安全架构设计与实现.docx
01-26
1.2万字 37页 3.1 防火墙的架构与实现 8 3.1.1 连接与登录配置 9 3.1.2 透明模式(网桥模式)的安装与部署 11 3.1.3 内外网互访策略编辑与管理 12 3.1.4 管L2TP配置 15 3.2 入侵检测系统的架构与实现 18 3.2.1 IDS设备部署与配置 18 3.2.2 IDS入侵检测 20 3.3 信息安全管理审计系统架构与实现 21 3.3.1 系统的部署及系统登录 21 3.3.2 网络访问与网络日志查看 22 3.3.3 监控策略的应用 24 3.4 内网保密安全系统的架构与实现 28 3.4.1 用内网保密软件的部署及登录 28 3.4
企业网络系统安全架构分析设计与实施
04-09
企业网络系统安全架构分析设计与实施企业网络系统安全架构分析设计与实施
网络安全框架--思维导图
02-28
经过一段时间对网络安全的学习,觉得很有必要建立起一个关于自己的网络安全的框架,对以后的深入学习,或者说对之前学习的简单回顾。 因此,我做了这张《网络安全框架---思维导图》
网络安全体系架构
10-13
网络安全体系架构介绍了整个网络安全的结构。是很好的入门资料
工控安全_瓷器店里捉老鼠_——工控网络攻与防.pdf
09-11
工控安全_瓷器店里捉老鼠_——工控网络攻与防 安全意识教育 网络与基础架构安全 渗透测试 业务风控 漏洞分析
H3C-IRF堆叠-VRRP双机热备-IPSecvpan
weixin_45986422的博客
12-06 1724
1:链路聚合[H3C]sys Sw1 [Sw1]int GigabitEthernet 1/0/6 [Sw1-GigabitEthernet1/0/6]port link-mode route [Sw1-GigabitEthernet1/0/6]ip address 192.168.100.2 24[H3C]sys R1 [R1]int GigabitEthernet 0/0 [R1-GigabitEthernet0/0]ip address 192.168.100.1 24[R1]int GigabitE
前置机 网闸 摆渡机 跳板机 堡垒机
热门推荐
u013617791的专栏
04-07 1万+
前置机 应用场景 有些企业(如,银行、券商、电信运营商)有很多后台核心处理系统,但这个后天系统又不允许被外部企业的业务接口直接访问。此时这些企业会要求外部企业开发一套运行在该企业内网之外的软件,该软件所在机器通过专线或硬件等隔离技术连接到外部企业的系统上,运行这个软件的计算机,从功能上称呼为前置机。 作用 前置机,指代的是设置在后台系统之前的一个前置系统,可以是硬件设备,也可以是一套软件系统。随着应用场景的不同,前置机的功能就不想同,因此没有有一个统一的功能或者定义。前置机应用较多的作用包括: 从网络和
认识零信任安全网络架构
墨痕诉清风的博客
03-14 6649
一、前言: “零信任网络”(亦称零信任架构)自2010年被当时还是研究机构Forrester的首席分析师JohnKindervag提出时起,便一直处于安全圈的“风口浪尖”处,成为众人不断争议与讨论的对象,有人说这是未来安全发展的必然产物、也有人说其太过超前而无法落地,但无论“零信任”如何饱受争议,不可否认的是随着“零信任”的支撑技术逐渐发展,这个从前只存在于理论上的“安全最优解”正逐步成为现实。 在2019年9月份,工信部公开征求对《关于促进网络安全产业发展的指导意见(征求意见稿)》的意见中,《意见》指
iOS开发:MVVM架构设计与团队协作实践
"iOS开发之MVVM的架构设计与团队协作" 在iOS开发中,良好的架构设计和团队协作对于项目的成功至关重要。MVVM(Model-View-ViewModel)架构模式,作为MVC(Model-View-Controller)的一种变体,被越来越多的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值