对于大多数的企业来说,网络由两个功能区域组成:园区网和边缘,这两个区域可进一步划分成模块,这些模块具体定义了每个区域的各种功能。在这些不同的模块中有着不同的安全需要,需要设计相关的安全策略。
企业园区网
图1. 企业园区网细节
治理模块
治理模块的主要目标是实现企业SAFE体系结构中所有设备和主机的安全治理。记录和报告信息从设备流向治理主机,而内容、配置和新软件从治理主机流向设备。它要缓解的威胁有未授权访问、中间人攻击、网络侦察、口令攻击、ip电子欺骗、分组窃听、信任关系利用。
核心模块
SAFE体系结构中的核心模块几乎与其他任意网络体系结构的核心模块一样。它主要是将信息流尽可能快速地从一个网络传送和交换至另一网络。它要缓解的威胁是分组窃听。
构建分布模块
此模块的目标是向构建交换机提供分布层服务,这其中包括路由、服务质量(QoS)和访问控制。数据请求流入这些交换机再传至核心,响应则以相反途径进行。这一部分所缓解的威胁有未授权访问、IP电子欺骗、分组窃听。
构建模块
SAFE将构建模块定义为包括最终用户工作站、电话及其相关第2层接入点的扩展网络部分。其主要目的是向最终用户提供服务。这一部分所缓解的威胁有分组窃听、病毒和特洛伊木马应用。
服务器模块
服务器模块的主要目标是向最终用户和设备提供给用服务。服务器模块上的信息流由第3层交换机中的主板入侵检测进行检查。这一部分所缓解的威胁有未授权访问、应用层攻击、IP电子欺骗、分组窃听、信任关系利用、端口重定向。
边缘分布模块
此模块的目标是在边缘集中来自各元素的连接。信息流从边缘模块过滤和路由并送至核心。所缓解的威胁有未授权访问、IP电子欺骗、网络侦察、分组窃听。
企业边缘
图2. 企业边缘具体内容——第一部分
图3. 企业边缘具体内容——第二部分
公司互联网模块
公司互联网模块为内部用户提供了到互联网服务的连接并使互联网用户访问公共服务器上的信息。信息也可从此模块流向VPN和发生VPN端接的选择接入模块。此模块不是为服务于电子商务类应用而设计的。有关提供互联网商务的具体信息,请参见本文中稍后的“电子商务模块”部分。所缓解的威胁有未授权访问、应用层攻击、病毒和特洛伊木马、口令攻击、拒绝服务、IP电子欺骗、分组窃听、网络侦察、信任关系利用、端口重定向。
VPN和远程接入模块
正如其名,此模块的主要目标有三个:从远程用户处端接VPN信息流、为从远程站点端点VPN信息流提供一个集线器,以及端接传统拨号接入用户。所有传送至边缘分布的信息流来自于远程公司用户,他们在被认可进入防火墙之前以某种方式进行了验证。所缓解的威胁有网络拓扑发现、口令攻击、未授权访问、中间人攻击、分组窃听。
WAN模块
此模块并不是潜在WAN设计的完全专用部分,它为WAN端接提供了弹性和安全性。采用帧中继封装,信息流可在远程站点和中心站点间传输。所缓解的威胁有IP电子欺骗、未授权访问。
电子商务模块
电子商务是此模块的主要目标,接入和安全两方面必须取得平衡。将电子商务事务处理拆分成三个部件,可使该体系结构提供各种类型的安全性且不会防碍接入。
所缓解的威胁有未授权访问、应用层攻击、拒绝服务、IP电子欺骗、分组窃听、网络侦察、信任关系利用、端口重定向。
迁移战略
SAFE是对在企业网络上实施安全性的指南,它并不是适用于任意企业网络的安全政策,也并非一个为所有已有网络提供全面安全性的全能设计。实际上,SAFE是一个模板,可帮助网络设计人员考虑设计和实施其企业网络的方法来满足其安全要求。
建立安全政策应是将网络向安全基础设施迁移过程中的第一项活动。在政策建立之后,网络设计人员应考虑本文第一部分中描述的安全准则,来了解它们是如何提供更多细节以在现有网络基础设施上应用此政策的。
体系结构的充分灵活性和关于设计问题的细节可调整SAFE体系结构元素,以适用于大多数企业网络。例如,在VPN和远程访问模块中,各种来自公共网络的信息流都能各自获得一对独立的端接设备和防火墙上的一个独立接口。假如负载要求答应,且两种流量类型的安全政策一样,VPN信息流即可在一对设备上合并。在另一网络上,传统拨号接入和远程接入VPN用户可直接进入网络,这是因为安全政策对将网络连接放在首位的验证机制给予了足够信任。
SAFE使设计人员可满足相互间几乎完全独立的各网络功能的安全要求。每个模块通常可自行满足安全性需求且假定互连模块均仅处于基本安全级别。这样网络设计人员即可使用阶段式方式来保护企业网络。它们无需重新设计整个网络即可按政策保护最为要害的网络功能。但治理模块是个例外。在初次SAFE实施期间,治理模块应与第一个模块并行实施。随着网络其余部分的迁移,治理模块可连接到其他位置。
