【转载】浅谈——网络安全架构设计(四)
目录
一、跳板机(堡垒机)—解决方案
(1) 简介:
(2)实列:
(3)跳板机作用:
二、数据库审计系统—解决方案
三、日志审计系统—解决方案
四、安全等保
五、双机热备:
六、堆叠
①横向虚拟:交换机虚拟成一个
②纵向虚拟:把接入交换机虚拟成核心交换机的虚拟板卡
七、网闸——生产网和办公网解决方案
一、跳板机(堡垒机)—解决方案
(1) 简介:
跳板机(Jump Server),也称堡垒机,是一类可作为跳板批量操作远程设备的网络设备,是系统管理员或运维人员常用的操作平台之一。
(2)实列:
正常情况下,PC1想要访问内网的OA系统,
首先通过web页面访问到跳板机上,然后利用这个跳板朝着OA办公系统发起访问。
而且在跳板机上还可以部署AAA认证技术(认证,授权,审计)
- ——认证:验证用户是否可以获得网络访问权。可以是密码用户的或者数字证书的认证
- ——授权:授权用户可以使用哪些服务,包括授权用户可以使用的命令。可以是给与对应设备对应的访问权限,可以访问哪些网段,可以执行哪些操作。
- ——审计:什么登录,什么时候离开.......
(3)跳板机作用:
- ①核心系统运维和安全审计管控;
- ②过滤和拦截非法访问、恶意攻击,阻断不合法命令,审计监控、报警、责任追踪;
- ③报警、记录、分析、处理;
—————————————————————————————————————————————————————————
二、数据库审计系统—解决方案
主要为了防止删库跑路:
如果你开发一个游戏,一个web页面,那么这些相关的视频图片.....都是存放在数据库里面,
现在内网的开发人员想要争对这个数据库想要登录的话,首先要经过数据库审计系统进行认证(
实际上也是基于AAA认证技术的。
- ——认证:登录这个数据库时需要一个认证
- ——授权:数据库有很多个实列,你能访问哪写实列,不能访问哪些实列,而且对于这个实列的增删改查都有哪些权限,可以控制死。如果某个研发人想要修改这个数据库某个语句,修改完成之后,一旦提交不会立即生效,他会把修改数据库的申请发给技术主管,主管审查之后才会审批通过,然后才会生效。
- ——审计:你什么时候登录数据库,什么时候离开的,期间你都做了一些什么,都能记录下来。
如此,就可以有效的防止删库跑路行为。
—————————————————————————————————————————————————————
三、日志审计系统—解决方案
用于全面收集企业IT系统中常见的安全设备、网络设备、数据库、服务器、应用系统、主机等设备所产生的日志(包括运行、告警、操作、消息、状态等)并进行存储、监控、审计、分析、报警、响应和报告的系统。
几乎所有的网络设备都有一个log日志,log日志可以动态把设备硬件信息的告警通过log日志打印出来。很多安全设备遭受攻击,发现病毒。都会把这些信息存放在设备的内存里面。
如果网络规模比较大的情况下,在网络设备上通过syslog协议把设备的log日志发给日志服务器,
以后的IT运维人员只要在日志服务器上查看即可。
——————————————————————————————————————————————————————
四、安全等保
信息安全等级保护,是对信息和信息载体按照重要性等级分级别进行保护的一种工作,在中国、美国等很多国家都存在的一种信息安全领域的工作。
在中国,信息安全等级保护广义上为涉及到该工作的标准、产品、系统、信息等均依据等级保护思想的安全工作;狭义上一般指信息系统安全等级保护。
等保是一个全方位系统安全性标准,不仅仅是程序安全,包括:物理安全、应用安全、通信安全、边界安全、环境安全、管理安全等方面。
————————————————————————————————————————————————————
五、双机热备:
双机热备实验——(VRRP技术+HSRP技术)讲解+配置_孤城286的博客-CSDN博客_vrrp双机热备
————————————————————————————————————————————————————————
六、堆叠
双机热备存在问题:主备交换时延迟较高会导致业务中断
解决:堆叠技术
①横向虚拟:交换机虚拟成一个
②纵向虚拟:把接入交换机虚拟成核心交换机的虚拟板卡
——————————————————————————————————————————————————————————
七、网闸——生产网和办公网解决方案
网闸实现了内外网的逻辑隔离,在技术特征上,主要表现在网络模型各层的断开(物理层的隔离)
防火墙只是做到三层(路由模式)到七层的隔离。或者二层(透明模式)到七层的隔离
但是对于有些病毒,从防火墙隔离带有一定的局限性,隔离效果有限。
然而网闸是物理层隔离。
网闸相当于摆渡车,如果流量想要过去,那么先上摆渡车(网闸的特殊协议充当摆渡车),由摆渡车拉到另外一端,然后在解开封装,在经过防火墙,AV,
需求:在网络通信的情况下实现生产网和办公网的安全隔离。
当办公网pc1想要访问生产网服务器时,分别在防火墙,网闸上做安全策略,层层过滤。
生产网网闸收到后解封,然后经过AV,防火墙,IPS
————————————————
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
原文链接:https://blog.csdn.net/qq_62311779/article/details/125904676
版权声明:
作者:SE_Ning
链接:https://www.cnesa.cn/1571.html
来源:CNESA
文章版权归作者所有,未经允许请勿转载。
共有 0 条评论