分享
 
 
 

安全不是产品的堆砌

王朝other·作者佚名  2008-05-19
窄屏简体版  字體: |||超大  

SAFE概述与设计准则

思科公司制定的面向企业网络的安全蓝图(SAFE)的主要目标是,为用户提供有关设计和实施安全网络的最佳实践信息。SAFE可作为正考虑其网络安全性要求的网络设计人员的指南。SAFE在网络安全设计方面采用了深入防御的方式。这类设计的重点在于所预测出的威胁及减轻威胁的方法,而不是单纯地“将防火墙放在这儿,将入侵检测系统放在那儿”等。该策略带来了一种安全分层方式,这样,一个安全系统的故障就不大可能引发对整个网络资源的损坏。SAFE以思科及其合作伙伴的产品为基础。

设计原则

SAFE最大限度地模拟了当今企业网络的功能需求。实施决策取决于所需的网络功能。而以下按重要顺序列出的设计目标则是决策制订过程的指导准则。

* 安全性和基于政策的攻击缓解;

* 整个基础设施的安全实施(而非仅为具体安全设备);

* 安全性管理和报告;

* 对关键网络资源的用户和管理员验证与授权;

* 针对关键资源和子网的入侵检测;

* 对新兴联网应用的支持。

模块概念

尽管大多数企业网络随企业不断提高的IT要求而发展,SAFE体系结构使用了环保型的模块化方式。模块化方式有两种主要优势。首先,它允许体系结构实现网络各功能块间的安全关系,其次,它让设计者可逐个模块地评估和实施安全性,而非试图在一个阶段就完成整个体系结构。

图1 SAFE第一层模块

图1为SAFE的第一层模块。每块代表一个功能区域。互联网接入服务供应商(ISP)模块不由企业实施,而是用于提供ISP为缓解某些攻击而可能需要的特定安全功能。

第二层模块如图2所示,对每个功能区中的模块进行了展示,这些模块在网络中扮演特定角色,有特定的安全需求,但图中模块规模并不代表其在实际网络中的大小。例如,代表最终用户设备的构建模块可能包括80%的网络设备。每个模块的安全设计单独描述,但作为整个企业设计的一部分加以验证。

图2 企业SAFE分块构成图

SAFE准则

路由器目标

路由器控制网络间接入。它们向网络广播信息并过滤可以使用它们的人,它们是黑客潜在的最好朋友。路由器安全性是安全部署中的关键元素。可参考其他有关路由器安全性的文件。这些文件提供了有关下列方面的更多细节:

远程通信网到路由器的接入; 简单网络管理协议(SNMP)到路由器的接入; 通过使用终端接入控制器接入控制系统+(TACACS+)来控制到路由器的接入; 关闭不需要的服务; 以适当级别登录;路由更新的验证。

交换机目标

和路由器一样,交换机(第2层和第3层)有自己的一套安全考虑。而与路由器不同的是,有关交换机安全风险及为减轻这些风险而应采取的措施的公开信息并不十分丰富。上一部分“路由器目标”中描述的大多数安全技术均适用于交换机。此外,您应采取以下预防措施。

* 无需中继的端口应将中继设备置于关闭而非自动。

* 确保中继端口使用的虚拟LAN (VLAN)号不会在交换机中的其他地方使用。

* 将交换机上所有未用端口设置为第3层连接的VLAN。

* 避免将VLAN用作保护两个子网间接入的唯一方式。

主机目标

主机在攻击中最有可能成为目标,从安全角度来讲,也是最难保护的。它们有众多的硬件平台、操作系统和应用,均在不同的时间段要升级、补丁和修复。因为主机向提出请求的其他主机提供应用服务,它们在网络中是高度可视的。

为保护主机,就必须密切注意系统中的每个组件。使系统保持与最新补丁、修复等的同步。此外,要注意这些补丁对其他系统组件的运行有所影响,在对生产环境实施升级前,在测试系统上对其进行评估。如不这样做,补丁本身就可能导致拒绝服务(DoS)。

网络目标

最糟的攻击是您无法中止的攻击。分布式拒绝服务(DDoS)正是这样一种攻击。

通过与其ISP合作,用户才有希望挫败这类攻击。ISP可配置对该公司网站输出接口的速率限制。

限制这类攻击的方法之一是遵循RFC 1918和RFC 2827中列出的指导。RFC 1918定义了保留专用且永远不应在公共互联网上看到的网络。对于与互联网相连的路由器上的输入信息流,您可采用RFC 1918和2827过滤来防止未授权信息流进入公司网络。在ISP实施后,该过滤能防止DDoS 攻击使用这些地址作为流经WAN链路的源地址的信息包,从而在攻击期间潜在地节约了带宽。总之,如果全球的ISP均采取了RFC 2827中的指导措施,源地址电子欺骗就会大大减少。此策略并未直接防止DDoS攻击,而是防止这类攻击破坏其源地址,这就会使跟踪所攻击网络更方便。

应用目标

应用(大多数时)是由人编写的,因此易于发生更多错误。这些错误可以是轻微的――如导致您文件错误打印的一个错误,也可以是恶意的――如使您信用卡号码经由异步FTP在数据库服务器上公布。入侵检测系统(IDS)旨在发现恶意问题,以及其他更常见的安全漏洞。思科建议将NIDS与HIDS系统组合起来――关键主机上设置HIDS、整个网络采用NIDS――来实现全面的入侵检测系统。

安全管理和报告

从体系结构的角度来说,提供网络系统的带外管理是适用于所有管理和报告策略的最好的第一步。设备应尽可能地与这样一个网络建立直接本地连接,在无法实现的情况下(由于地理原因或系统相关问题),设备应经由生产网络上的一条专用加密隧道与其连接。确保带外网络自身不会带来安全问题。

大多数联网设备可以发送系统日志数据,这些数据在对网络问题或安全威胁进行纠错时极为重要。

管理还指除记录和报告外,管理员对某一设备所执行的功能,可进行安全配置。鉴于底层协议有自身的安全漏洞,应最为小心地处理SNMP。

配置变更管理是另一个与安全管理相关的问题。当一个网络处于攻击下,重要的是了解主要网络设备的状态以及所知道的最后一次修改发生的时间。

 
 
 
免责声明:本文为网络用户发布,其观点仅代表作者个人观点,与本站无关,本站仅提供信息存储服务。文中陈述内容未经本站证实,其真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
2023年上半年GDP全球前十五强
 百态   2023-10-24
美众议院议长启动对拜登的弹劾调查
 百态   2023-09-13
上海、济南、武汉等多地出现不明坠落物
 探索   2023-09-06
印度或要将国名改为“巴拉特”
 百态   2023-09-06
男子为女友送行,买票不登机被捕
 百态   2023-08-20
手机地震预警功能怎么开?
 干货   2023-08-06
女子4年卖2套房花700多万做美容:不但没变美脸,面部还出现变形
 百态   2023-08-04
住户一楼被水淹 还冲来8头猪
 百态   2023-07-31
女子体内爬出大量瓜子状活虫
 百态   2023-07-25
地球连续35年收到神秘规律性信号,网友:不要回答!
 探索   2023-07-21
全球镓价格本周大涨27%
 探索   2023-07-09
钱都流向了那些不缺钱的人,苦都留给了能吃苦的人
 探索   2023-07-02
倩女手游刀客魅者强控制(强混乱强眩晕强睡眠)和对应控制抗性的关系
 百态   2020-08-20
美国5月9日最新疫情:美国确诊人数突破131万
 百态   2020-05-09
荷兰政府宣布将集体辞职
 干货   2020-04-30
倩女幽魂手游师徒任务情义春秋猜成语答案逍遥观:鹏程万里
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案神机营:射石饮羽
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案昆仑山:拔刀相助
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案天工阁:鬼斧神工
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案丝路古道:单枪匹马
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:与虎谋皮
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:李代桃僵
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:指鹿为马
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案金陵:小鸟依人
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案金陵:千金买邻
 干货   2019-11-12
 
推荐阅读
 
 
 
>>返回首頁<<
 
靜靜地坐在廢墟上,四周的荒凉一望無際,忽然覺得,淒涼也很美
© 2005- 王朝網路 版權所有