边界防护的措施
对应措施设计
如何满足这些安全需求?下面是对应的措施。
1 边界防护的措施
1)防火墙技术
防火墙是实现内网终端与内网核心服务器隔离的基本手段。防火墙通常位于不同网络或网络安全域间的唯一连接处,根据组织的业务特点、管理制度所制定的安全策略,运用包过滤、代理网关、NAT转换、IP+MAC地址绑定等技术,实现对出入核心服务器网络的信息流进行全面的控制(允许通过、拒绝通过、过程监测),控制类别包括IP地址、TCP/UDP端口、协议、服务、连接状态等网络信息的各个方面,从而实现对不良网站的封堵。
但是,传统单一的防火墙无法有效对抗更隐蔽的攻击行为,如欺骗攻击、木马攻击等,因此,有必要在这些边界采取防护能力更强的技术。
2)防病毒网关技术
随着网络的飞速发展,单机版的防病毒软件面临着集中管理、智能更新等多方面的问题,无法对木马、蠕虫、邮件性病毒进行全网整体的防护,已经不能满足复杂应用环境,所以,构建整体病毒防护体系已成为必然。
完整的防毒体系包括:
网关级防病毒——部署在网络入口处,对木马、病毒、蠕虫和垃圾邮件进行有效过滤;
服务器防病毒——服务器为资源共享和信息交换提供了便利条件,但同时也给病毒的传播和扩散以可乘之机;
桌面级防病毒——在客户端安装,将病毒在本地清除而不至于扩散到其他主机或服务器;
病毒管理中心——能实现防病毒软件的集中管理和分发、病毒库分发、病毒事件集中审计等。
在不与外网连接的内部保密网中,可将防病毒网关部署在核心服务器区和终端区之间,通过网关把病毒拒于核心服务器区网络之外。
在与外网连接的内部保密网中,可将防病毒网关部署在外网和内网连接边界中之间,通过网关把病毒拒于内部保密网络之外。这要求网关防毒产品部署简便、能承受防病毒网关的数据流量、能检测并清除病毒。
3)终端防护系统
为了防止不安全的在线非法外联、离线非法外联或不安全的接入行为,必须把终端防护系统与其它网关防护技术结合起来。
通过终端防护系统的统一策略配置的主机防火墙和主机IDS,能实现对桌面系统的网络安全检测和防护,当IDS检测到威胁后,能与主机防火墙进行联动,自动阻断外部攻击行为。
通过终端防护系统,可对桌面系统的远程拨号行为、无线上网行为、搭线上网行为进行控制,发现存在违规外联的主机,给出报警,通过防火墙切断该主机与网络的连接,避免导致内网遭到更大的破坏。
通过终端防护系统的安全状态检测策略,可监测进入内网的终端设备,对于不符合安全条件的设备,可不允许其接入内网。
4)网闸技术
在安全性要求很高,但又有内部网络和外网数据交换的情况下,必须采取网闸技术,以实现内网和外网的单向安全隔离和数据交换。
网友评论