네트워크 구성 요소

없이 네트워크 구성 요소가없는 네트워크, 그리고 이러한 구성 요소에 대한 배려없이는 없다 보안! 방면으로의 첫 번째 단계는 보안 네트워크 토폴로지가를 검사합니다 장치 및 시스템을 사용하여 구현하고있습니다. 다음과 같은 고려 사항 및 종류의 장비들이 공통으로 조직 :

· 액세스 장치

· 보안 장치

· 서버 및 시스템

· 조직 및 레이아웃

액세스 장치

작품의 네트워크 장비에 대한 액세스 장치는 인터넷 액세스를 제공하는 의사 사이의 네트워크와가 첫 번째 요소가 필요합니다 인터넷 - 접근할 조직입니다. 단체가 액세스 장치가 필요하지 않을 수있습니다, 그러나 그들이나 다른 네트워크와 통신하려면 밖에서 액세스를 제공하기 위해 직원 또는 인터넷 사용자가 액세스 장치가 필요합니다. 액세스 장치가 오지은 여러 형태; 가 장 일반적인는 모뎀 및 라우터입니다.

에는 일반적으로 두 개 (이상) 인터페이스에 대한 액세스 장치입니다. 인터페이스가있는 네트워크의 조직을 연결하는 라우터의 내부 인터페이스로 간주됩니다 (또는 기타 장비)입니다. 인터페이스가 인터넷에 연결하는 서비스 제공 업체 ()는 외부 인터페이스입니다. 이러한 시스템의 내부 네트워크 구성 및 장비의 내부 쪽의 라우터가있습니다. 네트워크의 네트워크 또는 인터넷에서 액세스할 양식에서 외부 네트워크입니다.

의 사용에 대한 액세스 장치에는 직접적인 영향을 미치는 보안은 네트워크 토폴로지를 정의하는 데 도움이되기 때문에 조직에 인터넷 액세스 모델을 사용하고이 첫 번째 지점 수비가 필요합니다. 많다 액세스 모델이 디자이너를 사용을 포함한 매우 제한적인 예외 - 기반 액세스, 열기, 그리고 사이에 조합입니다. 예외 - 기반 액세스 모델을 적용하기위한 기본 제한 차단하는 모든 액세스,이어서 예외 사항에 대해 필요한 서비스와 연결이됩니다. 이것은 일반적으로 사용되는 방법은 보호를 어디에 방화벽이 구성되어을 제외한 모든 트래픽을 차단하려면 몇 개의 지정된 프로토콜과 서비스에 대한 구체적인 시스템입니다. 의 예는 예외 - 기반 액세스는 웹 서버를 제외한 모든 트래픽을 거부합니다 tcp 트래픽을 포트 80 (ip 프로토콜과 서비스 포트 ()가 웹 서버를 사용합니다). 예외 - 기반 액세스 모델은 단순한 네트워크 환경에서 유용 거기는 거의 네트워크 다양성을하거나 필요한 복잡한 필터링 규칙입니다.

개방형 모델을 사용하면 모든 사용자에 대한 액세스를 명시적으로 금지하지 않으면됩니다. 이 모델에 의해 제공되는 서비스에만 초점을 맞추고있다는 네트워크 및 그 시스템입니다. 그것을 사용 방화벽 규칙을 허용 또는 거부 액세스에서 서비스와 같은 특정 네트워크 및 시스템을 명시하는 웹 서버 또는 이메일로 세분화 액세스 제어를 제공합니다. 이 모델은 아무 작업의 나머지를 포트와 프로토콜을 사용하지 않은, 그러나, 현재는 보안 위험을 수있는 네트워크 환경에서 일부입니다.

다음 예와 같이, 위험의 개방형 액세스 모델의 유용합니다.

간단한 네트워크 환경에서, 여기서는 웹 서버는 인터넷에 직접 연결되어, 개방형 모델 불필요한 보안 위험을 작성할 수있습니다. 이 경우,이 방화벽을 사용하면 웹 서버에 대한 액세스의 특정 우호 네트워크 및 시스템, 그러나 어떤 다른 트래픽에 영향을주지 않습니다이나 주소가 웹 서버를 비롯한 적대적인 트래픽을 인터넷에서입니다. 이 선물이 위험한 경우 공격자가 웹 서버 타협입니다. 공격자는 다음을 새로 설정하고 그 시스템에서 무단으로 서비스가 실행되는 방화벽에 의해 영향을받지 않습니다. 예외 - 기반 모델을 방지이있습니다.

열려 모델들이 유용으로부터 보호를 제공 세분화 액세스를 제어하고 인증되지 않은 트래픽을 특정 서비스 등은 종종 도메인 이름, 서버와 이메일 서버와 함께 사용합니다. 도메인 이름, 서버와 메일 서버가 자주있는 보조 릴레이 서비스를 제공하는 인터넷 시스템과 보호를 주 시스템에서 인터넷에 노출됩니다. 이 기본 시스템을 구성할 수있는 개방형 액세스 모델을 사용하면 네트워크 트래픽을 도메인 이름과 이메일 서비스에만에서 릴레이 서버입니다. 이 예제도 정합니다 토폴로지를 보호하는 그물 작품의 주 서버에서 외부의 공격입니다.

학교의 여러가 지 생각하는 모델에 대한 액세스를 결정할 때 사용되어야합니다. 의 예외 - 기반 모델이 더 제한을 배치합니다 요율의 보안 책임에있는 방화벽의 강점입니다. 의 열기 모델 다릅니다 더에있는 시스템에서 사용하려면 구성된 이들은 안전을 보장하는 최소한의가 능성에 대한 타협과 수정을 제공합니다.

보안 장치

방화벽, 상 사설망 (vpn) 서버 및 침입 탐지 시스템 (id)는 일반적으로 사용되는 사례는 보안 장치입니다. 방화벽은 외부의 위협으로부터 내부 네트워크를 보호하는 데 사용 허용하여 또는 disallowing 특정 유형의 네트워크 트래픽 및 데이터입니다. 방화벽은 아닙니다의가 장자리에 대해서만 네트워크를하지만, 어디 에나있는 트래픽 제한은 필수 또는 권장합니다. vpn 장치는 안전한 원격 액세스를 제공하기 위해 인터넷에서 사용하는 사용자가 암호화된 터널을 통해 작성하여 내부 네트워크에있는 원격 컴퓨터에 액세스하는 단체입니다. 침입 탐지 시스템을 제공 액티브 모니터링 및 통지의 알려진 공격에 대한 시스템과 네트워크를 보며 네트워크 데이터입니다. 이러한 장치의 첫 번째와 확실한 수준의 보안을 제공하고 있으며 모든 네트워크 토폴로지을 위해 필수적입니다.

서버 및 시스템

서버 및 시스템은 조직 내에있는 모든 컴퓨터를 사용합니다. 이러한 시스템에는 웹, 메일, 로그인, 파일 및 프린트 서버, 데스크탑 컴퓨터, 네트워크 관리 시스템입니다. 에 대한 요구 사항은 이러한 시스템에 영향을 네트워크 아키텍처 및 네트워크 서비스 제공을 포함합니다, 그리고 그들은 또한 지시를 누구에게 액세스가 제공됩니다. 각 서비스 제공에 영향을 미칩니다 보안의 네트워크와 시스템에서 실행되는 상황입니다. 고려하여 이러한 효과가 결과에 부여하는 네트워크 아키텍처는 위험을 최소화하고 효과는 보안 위반입니다.

공격자는 자주 검사 서비스를 제공하는 서비스를 모두의 인터넷 및 내부 네트워크; 가 타협의 시스템을 사용하면 공격자 a 도어 웨이를 조직합니다. 여러 서비스를 실행하는 서버 보안 위험 또한 존재하기 때문에 각각의 서비스를 제공하는 잠재 도어 웨이에 해당되는 특정 시스템입니다. 을 검토하는 것이 특히 중요합니다에 대한 기록을하는 응용 프로그램이나 서비스에 대한 보안 취약점을합니다. 이메일, 웹, dns, ftp 서버에는 오랜 역사의 취약점을, 그리고 자신의 동시 사용에 대한 단일 시스템을 제공 여러 개의 액세스 포인트에 대한 공격자입니다.

조직 및 레이아웃

의 조직과 레이아웃의 네트워크를 취합 고려해의 구현에 이러한 구성 요소가있습니다. 여기에는 물리적 위치와 조직의 네트워크 장비 및 배선은 물론 인터넷 액세스를 제공하는 방법으로합니다. 신원 네트워크 서비스 요구 사항과 관계 사용자가 이러한 서비스는 중요 보안을 위해 네트워크 아키텍처를합니다.

대부분의 운영 체제 및 도착 구성된 기본적으로 제공하는 모든 서비스를 지원하므로,는 사실에도 불구하고 조직을 거의 필요하거나 사용하는 모든 이들 중입니다. 만약 조직이 필요 파일 공유, 인쇄, 웹, 및 이메일 기능, 이러한 서비스를 제공하는 서버의 모든 그들의 다른 서비스를 장애인이 있어야합니다. 이러한 서비스를 제공하여 다양한 그룹 내에있는 조직 또는 취소해야하는 경우 이러한 서비스에 대한 정보가 공유되지 않은 설립, 그들이 서로 다른 시스템과 네트워크를 실행해야하는가 반영 users'access가 필요합니다.