网分离

分离的网络往往是在形式的专业化网络功能,如网络管理,监测和远程访问。 获得这些功能可能值得分离在余下的网络基础设施。 不同的广播域和网络号码间的沟通,对方透过路由器和加入额外的网络接口,服务器和网络设备。

网络管理

  

网络管理是指以控制,配置和维护网络硬件使用一个组织。 许多这些设备提供的网络,终端以及网络浏览器为基础的接入,以管理和配置。 可取的做法是不让能力自己管理好这些设备,从互联网及其他在宽带网络。 在宽带网络管理发生时,管理员连接到设备上超过其中一个网络,该装置服务。 在频段管理的一个路由器,例如发生时,管理员可以连接到它从互联网上超过外部接口,还是从内部网络的内部接口。 远程管理路由器,如果有一个联系网络,以服务网络或内部网络不应该允许从互联网上。 尽管外界不能访问路由器,直接从互联网,他们可以访问它从因特网上查阅系统中的服务网络。 折衷的服务网络为基础的系统提供了攻击者进入该网络设备。 如果可能的话,最好是建立一个管理网络,对第三个网络接口,并限制管理访问路由器从只有特殊的网络。

一个管理网络,往往是一个单独的物理连接设备,并就其中有只有屈指可数的几个专责的管理团队。 没有其他网络应该有连接到管理网络,除非控制的,通过一个单一的,高安全性系统;进入否则所发生的物理存在于其中的管理。 使用一个管理网,严重限制的能力,攻击者访问重要系统和设备,从而降低风险的折衷办法。

监测

网络监控是一个有用的功能,爱滋病在安全,是一个由网络调试问题,并保持业绩。 网业分离的数据可能阻碍能力监测路段的网络。 所以,这是重要的是要考虑如何监测应当用于何处,并把必要的改动或设备进入网络结构。

几种网络监控应该考虑,以及将他们安置在设计网络。 入侵检测是一个比较新的创新,这就是证明有用的,在网络。 这些入侵检测系统( ids )被置于整个网络,并积极监控已知的迹象攻击。 放置一个入侵检测系统往往是有益的,在网络接入点,包括服务网络,近内外防火墙,远程接入设备,包括vpn和拨号服务器及靠近关键系统。 防火墙还充当一种形式的监测网络。 它们的作用是更积极的,因为它们操纵的网络流量通过允许或不允许信息通过。 的影响,许多攻击,可有限度进行定期和经常分析这些监测方法,其中包括日志分析,并配置了设备,以通知管理员,在发生袭击的情况。

其他考虑因素包括监测能力,为管理员监控网络流量,并分析它的不安全因素,因为部分的定期维修工程。 网络及其执行情况的影响进行监测的能力交通这样。 网络设备往往支持监测与snmp和rmon的,两个标准化协议用于这一目的。 最后的方法,网络监控是通过复杂的网络管理软件。 这些软件包使用了多种不同的协议和方法,以获取和分析资料,并提供快速预警和反应异常状况。 这些工具往往利用特勤人员说,运行与系统和设备正在监测;这些软件包不会受物理方向的网络,但。

远程接入

如果远程接入方法,需要在组织,方法所提供的,它应被视为在创作的网络结构。 两种方法是常用的:虚拟专用网解决方案以及拨接式调制解调器接入。 虚拟专用网解决方案来有两种形式-硬件设备和软件应用。 硬件vpn设备提供了若干好处;它是一个专门的装置,往往提供了一个高水平的绩效,并结合了自身安全的方法。 软件虚拟专用网解决方案违背了作为一个应用或服务,对现有的服务器系统,而且往往依赖于安全机制,其各自的操作系统。

的影响,对网络架构必须支持虚拟专用网相似,为每一个解决方案。 虚拟专用网设备,可以更容易地集成在一个安全的方式将其纳入网络环境,因为获得和控制装置更容易被支配。 该软件服务,需要更多的关注。 以达到最高的安全,虚拟专用网络软件,要办好一个专用服务器和被视为一项装置,没有其他服务。 作业系统应配置在一个安全的方式,并没有其他内部使用的服务应该运行于系统,以防止进入内部网络。 软件虚拟专用网解决方案,是受该漏洞的操作系统以及任何不安全的软件。

拨号,支持通过调制解调器和接入服务器提供了一个直接连接到内部网络。 考虑的拨号方法包括使用一个管理网络,以控制装置,以保护它免受非法的配置修改。 拨号服务器往往依赖于其他服务器上网络,以提供认证的用户。 网络路径用于认证也应是私人性质。 最后,拨号服务器应该禁止远程网络,以交通干线横跨其拨号上网的线路。 袭击者将经常使用的"战争拨号"软件,以扫描的电话号码拨号,在服务器上。 而扫描也不能阻止,有适当的组织和配置拨号装备将限制风险的折衷办法。

有几个考虑给予安置vpn和拨号,在系统,以保护内部网络。 当确定网络结构,设计者应确定功能的支持和所提供的远程接入。 vpn的,可提供透明获得的所有资源的一个网络,使远程系统的出现和功能,因为这样做会如果它身体设于该组织。 拨号接,除非再加上一个虚拟专用网解决方案,但往往是用来提供更为有限的服务,如电子邮件和上网。 尽管存在分歧,在方法,无论是供应量相同的基本功能,接入,从遥远的,不信任的网络和地点。 因此,这是可取的地方,远程接入服务器对一个单独的网络,并控制进入该设施,它的用途。 前面提到的管理网络,应该也可以用来控制和配置这些系统。

安置的远程接入设备遵循同样的逻辑用于其他网络设备:限制的影响,应该是一个攻击发生。 袭击者将试图寻找目标,为他们提供最获得其他系统和设备。 远程接入设备是易于识别的目标,并应受到保护,得到适当的处理。

这是一篇文章说,由兰迪groegel
免责声明:我们的网站是不负责所载资料由本条规定。 这篇文章根本没有反映看法,意见,思想或信仰的文章目录中的工作人员。

翻译预告:文章"网络分离" ,被翻译使用的自动翻译服务。 我们真诚地道歉,对任何翻译错误发生。 谢谢你的谅解。

Online: 954 users browsing the articles directory


  

.