ネットワークコンポーネント

ネットワークコンポーネントせずに、ネットワークではありませんし、考慮せずに、これらのコンポーネントは、安全保障はありません！ 最初の一歩を踏み出すには、安全なネットワークトポロジを調べるために使用されるデバイスやシステムを実装してください。 以下のことを考慮して、種類の機器に共通するのは、団体名：

スポンジのデバイスへのアクセス

スポンジのセキュリティデバイス

サーバーやシステムのスポンジ

スポンジ組織とレイアウト

デバイスへのアクセス

つのデバイスのアクセスは、インターネットへのアクセスを提供するネットワーク機器やネットワークとの間で相互の最初の要素は、インターネットにアクセスするために必要組織します。 団体のデバイスへのアクセスを必要としないかもしれませんが、彼らと連絡をとりたい場合や他のネットワークへのアクセスを提供したり、外部からの従業員のインターネットユーザーは、デバイスへのアクセスが必要である。 デバイスへのアクセス、いろいろな形で来;モデムやルーターは、最もよくします。

そこは、通常2つのインターフェイス（もしくはそれ以上）のデバイスをアクセスします。 インターフェイスにして、ネットワークに接続し、組織の内部インターフェイスと見なされているルーター（または他の機器）します。 して、インターフェイスに接続してインターネットサービスプロバイダ（ ）は、外部インターフェイス。 内部ネットワークで構成され、これらのシステムや機器側の内部ルータです。 ネットワークまたはネットワークからアクセスできるインターネットのフォームの外部ネットワークします。

使用してアクセスするデバイスには、直接的な影響を及ぼすの安全保障に役立ち、ネットワークトポロジを定義するので、インターネットへのアクセスに使用され、組織のモデルとは、最初のポイントはどこ防衛が必要である。 デザイナーへのアクセスには多くのモデルを使用することができ、非常に制限の例外ベースのアクセスを含む、オープン、との間に組み合わせています。 例外モデルベースのアクセス制限を適用するデフォルトのすべてのアクセスを禁止することで、次いで例外のために必要なサービスと接続します。 これは、よく使われる方法で、ファイアウォールの保護を設定した以外のすべてのトラフィックをブロックするいくつかのプロトコルを指定し、特定のシステムやサービスをします。 の例を除いては、ベースのアクセスを許可し、すべてのトラフィックを除いて、ウェブサーバーのtcpトラフィックをポート80 （ ipプロトコルやサービスのポート（ http ）がウェブサーバーを使用します） 。 例外ベースのアクセスモデルが有用であるシンプルなネットワーク環境でのネットワークの多様性や必要性はほとんどない、複雑なフィルタリングルールがあります。

オープンモデルのアクセスを許可しない限り誰も明示的に禁止します。 このモデルに焦点を当ててサービスを提供されるだけで、ネットワークとそのシステムです。 ファイアウォールのルールを使用することを許可または特定のネットワークからのアクセスを許可するシステムを明示的なサービスと、ウェブサーバーのような粒状のアクセス制御を提供したり、メールでお知らせします。 このモデルもかかりませんし、残りのアクションポートおよびプロトコルを使用していないが、しかし、セキュリティリスクを提示することができ、いくつかのネットワーク環境です。

以下の例を示すの利便性と危険性、オープンモデルにアクセスします。

で、単純なネットワーク環境では、どこに、ウェブサーバーがインターネットに直接接続して、不要なセキュリティリスクが開いてモデルを作成するかもしれないします。 このケースでは、ファイアウォールのアクセスを許可し、ウェブサーバーから特定のフレンドリーネットワークとシステムでは、影響はありませんが、他のウェブサーバーからのトラフィックを誘導するか、インターネットからのトラフィックを含む敵対します。 この男性の場合の危険性を攻撃してウェブサーバーに妥協します。 次に設定することができ、攻撃や不正なサービスをして、新しいシステムでは、実行され、ファイアウォールの影響を受けます。 例外ベースのモデルは、この身を守るます。

オープンモデルが有用なアクセス制御を提供すると粒状から身を守る不正なトラフィックを特定のサービスと同じように、頻繁に使用するサーバーや電子メールサーバーのドメイン名です。 ドメインネームサーバーやメールサーバーが頻繁に二次リレーしてインターネットサービスを提供するシステムと、プライマリからシステムを守るため、インターネットにさらされました。 メインのシステムを設定することもでき、オープンモデルにアクセスすることができるネットワークのトラフィックを、ドメイン名と電子メールサービスのサーバーからのみリレーします。 この例でも仕事を前提として純トポロジプライマリサーバーに外部からの攻撃を保護しています。

学校には、いくつかの考えを決定する際に使用されなければならないのモデルにアクセスします。 例外ベースのモデルは、より制限さや場所、責任の矛先は、ファイアウォールのセキュリティの強みがあります。 オープンモデルの詳細については、システムに依存して使用することを保証するとしっかりと設定している可能性を提供するために最低限の妥協と修正します。

セキュリティデバイス

ファイアウォール、仮想プライベートネットワーク（ vpnの）サーバー、および侵入検知システム（のid ）は、よく使用されるセキュリティデバイスの例です。 ファイアウォールを使用して外部からの脅威から内部ネットワークを保護させることによって、ネットワークのトラフィックやdisallowing特定の種類のデータとします。 意味するだけではありませんファイアウォールの端のネットワークでは、トラフィックの制限が必要としてでもどこかお勧めします。 vpnデバイスを使用して安全なリモートアクセスを提供するユーザーから、インターネットを介して暗号化トンネルを作成するには、リモートコンピュータにアクセスし、組織の内部ネットワークにします。 侵入検知システムを提供するアクティブな既知の攻撃を監視したり、通知システムやネットワークのネットワークデータを見ています。 これらのデバイスを提供すると、最初の最も明白なレベルのセキュリティに不可欠であるとは、任意のネットワークトポロジます。

サーバーやシステム

サーバーやシステムは、コンピュータのすべての組織内で使用されます。 これらのシステムは、ウェブ、メール、ログイン情報、ファイルおよびプリントサーバーでは、デスクトップコンピュータ、およびネットワーク管理システムです。 これらのシステムに影響を与えるための要件は、ネットワークアーキテクチャとは、ネットワークサービスを提供し、誰にも天下にアクセスが提供されます。 各サービスの提供に影響を及ぼすとのネットワークのセキュリティシステムでは実行されます。 これらの結果に影響を考慮し、ネットワークのアーキテクチャへの影響を最小限に抑え、リスクや、セキュリティ違反にします。

頻繁にスキャンするためには、攻撃者のサーバーの両方のサービスを提供する、インターネットと内部ネットワーク;妥協して、これらのシステムを使用すると、攻撃者が戸口を組織します。 サーバーに複数のサービスを実行してもセキュリティリスクが存在するため、各サービスを提供する可能性が戸口には、特定のシステムです。 特に重要なことは歴史を調べるために、アプリケーションまたはサービスのためのセキュリティ上の脆弱性です。 電子メール、ウェブ、 dnsのは、長い歴史を持つとftpサーバーの脆弱性、およびそれらの同時使用して1つのシステムを提供するためにいくつかのアクセスポイントを攻撃します。

組織やレイアウト

その組織とは、ネットワークのレイアウトを考慮し、これらのコンポーネントを実装します。 これには、物理的な配置や組織のネットワーク機器および配線と同様、法のインターネットへのアクセスが提供されます。 ネットワークサービスの要件との関係を特定のユーザーには、これらのサービスは、ネットワークの安全を守るための重要な建築物だ。

多くのオペレーティングシステムに到着すると、デフォルトで設定することをサポートするすべてのサービスを提供する、という事実にもかかわらず、組織のニーズやほとんどすべて使用してください。 必要な場合は組織のファイル共有、印刷、ウェブ、電子メールの機能と、これらのサービスを提供しているサーバーでなければならないすべての他のサービスを無効にします。 これらのサービスを提供している場合は、別のグループまたは組織内の場合を明確にする必要があり、これらの情報を共有するサービスではありません確立されると、別のシステム上で実行しなければならないとネットワークのusers'accessのニーズを反映しています。