عزل شبكات يؤثر على تدفق البيانات من شبكة ، والخدمات التي تعمل على انظمة خاصة ، وأين يوجدون فيها. وهو لا يؤثر على اي من شبكة داخلية او خارجية البيانات من السفر عبر تلك الطرق نفسها. العزله غالبا ما يستخدم لتعزيز الامن وكفاءه الشبكه من خلال عزل بعض الحركة على شبكة ماديه معينة وشبكات الاسلاك. شبكة العزله يتحقق مع استخدام الماديه المتعددة والشبكات الافتراضيه داخل منظمة واحدة لفصل وظيفة. شبكة المصممين يمكن تعزيز الأمن عن طريق تنظيم الشبكه دخولها المجالات الوظيفيه وبالنظر الى ان تأثير كل من هذه المهام على الامن.
مثال واحد على شبكة العزله هو تصميم الشبكه حتى ان وثائق التفويض عن بعد وصول المستخدمين لا السفر عبر اي شبكة الأسلاك أو الدوائر التي تتعرض للمستخدمين أو نظم اخرى. أبسط طريقة لتوفير هذا الامن هو الذي يربط الناءيه الوصول مباشرة الى خادم التوثيق مع خادم واحد الكابلات. والطريقة الاخرى هي استخدام تحول طوبولوجيا شبكة ، وحفظ خادم التوثيق والوصول اليها عن بعد وسيلة لحسابهم الخاص شرائح القطاع الخاص. البيانات ارسلت من واحدة الى اخرى ينتقل فقط بين النظامين والشرائح ، حيث لا يمكن لأي نظام آخر الاطلاع عليه.
العزله هي التي نوقشت في السياقات التالية :
• خدمة تمايز
|
|
• vlans
• الجدران الناريه
الاولى والاكثر وضوحا هو مفهوم العزله الخارجية من الشبكه الداخلية للحركة. الخدمة التمايز هو تحديد وتصنيف للخدمات الشبكات. شبكة الخدمات التي تقدمها منظمة يمكن تصنيفها على انها الخارجي فقط ، داخلية فقط ، او جسر الخدمات. كما اسمها ، الخارجية والداخلية - فقط - تقديم الخدمات الوظيفيه اما الى شبكة خارجية أو داخلية ، ولكن ليس كلاهما. جسر خدمات توفير وظيفة لكل من الشبكه الداخلية والشبكه الخارجية. الخدمات الخارجية ينبغي ان تكون معزوله في خدمة الشبكه ، أو استضافته مشروع النظام المتكامل للمنظمة. أيضا ، وتتم ادارة هذه الخدمات ينبغي ان يحدث عن طريق ادارة الشبكه التي سبق ذكرها. الخدمات الداخلية يجب المحافظة عليها من شبكة الانترنت أو الخدمة الخارجية الوصول الى الشبكه.
وهو يعتبر خطرا على ارفاق نظم والمعدات مباشرة الى شبكة الانترنت دون شكل من أشكال الحمايه ، لذا تأكد من ان تكون لحمايه شبكات الخدمة مع آليات الحمايه مثل جدار ناري.
أبسط طوبولوجيا شبكة يتخذ مسار واحد يربط بينية لمقدمي خدمات الانترنت وغيرها من ا لجهاز المتنوعة مثل المحور. جميع من الانظمه الداخلية ومن ثم ترتبط المحور. ودون الخوض فى تفاصيل شبكة الترقيم ، وهذا هو فعالة لتوفير امكانيه الوصول الى الانترنت لجميع من النظم الداخلية في المنظمه ، ولكن كما انه يسمح لجميع النظم على شبكة الانترنت في الاتصال مباشرة مع كل نظام على شبكة داخلية. كل نظام هو عرضة للهجوم ، وكامل البنية الاساسية الحاسوبيه يمكن ان يتعرض للخطر.
شرط للدخول الى شبكة الانترنت ينبغي تصنيفها في السابق والوافد الوصول. المغادر الوصول يشير الى المفهوم الاكثر شيوعا من الوصول الى الانترنت - القدرة على الاتصال مع شبكة حواسيب ، إرسال بريد الكتروني ، وتنزيل الملفات. معظم النظم الى الخارج يتطلب الوصول الى شبكة الانترنت ، ولكن عادة ما تحتاج الى الداخل التعسفي من تأمين حركة المرور على الانترنت. كل شبكة الاتصالات والبروتوكول بالتفصيل جانبا ، والقدرة على أداء هذه الاجراءات لا تتطلب النظم الداخلية لتوفير امكانيه الوصول الى تلك على شبكة الانترنت. وعند تحديد شبكة الهندسه المعماريه ، ومن المهم التعرف على الخدمات والنظم التي تتطلب الوصول بدأها النظم المستنده الى شبكة الانترنت. الاعتبارات الامنية لشبكة البنية الاساسية والآن تتخذ شكل ثلاث طبقات التنظيمية للشبكة - الخارجية ، الوسيط ، والشبكه الداخلية.
الحوسبه الخدمات التي تقدمها منظمة تشكل الأساس للشبكة. وبغض النظر عن التشكيل والامن الاساليب المستخدمة لحمايه الفرد وخدمة نظم التشغيل ، والعزله من خدمات الشبكه هو تكتيك امنى هام لانها تحمي من هجوم ويحد من آثار هجوم. الخدمات هي تلك السمات ان المستخدمين ويتطلب توفير اجهزة كمبيوتر ومعدات الشبكات. الخدمات المشتركة تشمل :
• نظام أسماء المجالات (دياناس)
• البريد الالكتروني
• خدمة الويب
• ملف تقاسم
• الطباعه
• شبكة تسجيل الدخول
نظام أسماء المجالات في خدمة المنظمه في كثير من الاحيان تخدم المستخدمين الداخلية فضلا عن الخارجية على الانترنت. تطبيق دياناس ان يوفر الخدمات له تاريخ من نقاط الضعف التي سمحت للمهاجمين ، وسطا على النظام الذي يدير والفاسده الى سجلاته. ونظرا لهذا التاريخ ، وايلاء عنايه كبيرة لالضمان مطلوبا. اذا تحافظ المنظمه على خدمة دياناس الخاصة بهم ، غالبا ما يكون الأكثر ملاءمة لخدمة شبكة من أجل حمايه الشبكه الداخلية من الآثار الضاره الناجمة عن الهجوم. وكجزء من شبكة الهندسه المعماريه ، والامن هو ايضا دعم من جانب الاطناب. استخدام متعددة دياناس خدمة يوفر مستوى من الموثوقيه فى حالة الفشل او الهجوم على احد ، واخضاع هذه تستحق النظر في شبكة الهندسه المعماريه. متعددة دياناس خدمة لا ينبغي ان توضع على الشبكه نفسها ؛ والغرض من التكرار هو توفير مستوى عال من الموثوقيه في حال فشل شبكة واحدة. اذا كان كل من دياناس خدمة تقع على نفس الشبكه او داءره واحدة على الشبكه ، فانها يمكن ان تؤخذ على حد سواء خارج الخدمة من جانب واحد الهجوم. الحل المثالي هو لتحديد مكان زائدة دياناس خدمة منفصلة عن الشبكات التي لها مسارات مختلفة. وهذا ما يمنع المهاجمين من تعطيل كل اسم حقل الخدمات دون معقدة طريقة الهجوم. دياناس خدمة ينبغي ان يحميها جدار ناري ، وخدمة الابتدائي ينبغي ان تصبح مع مراقبة الدخول ارفض ان القيود التعسفيه والاستفسارات دياناس نقل إلى منطقة غير معروفة لخدمة الشبكه.
فصل دياناس الاستعمال كما يتطلب النظر. العديد من المنظمات استخدام دياناس خادم واحد ، مع او بدون لزوم ، للرد على الصعيدين الداخلي والخارجي الاستفسارات. وهذا يعني ان النظم المستنده الى شبكة الانترنت من الوصول الى مركز خدمة الاسم ، وكذلك النظم الداخلية. هذا سد للشبكات الداخلية والخارجية التي قد تشكل خطر امني على مستوى عال اذا كان الخادم هو اسم يثير الشبهه. آخر المخاطر الامنية عند استخدام مشترك لخدمة الاسم هو الوحي من المعلومات. المشترك دياناس خدمة جميع مخازن للاسم وشبكة المعلومات لداخليا وخارجيا على السواء الوصول اليها النظم. وهو مهاجم يمكن استخلاص هذه المعلومات من الخادم ، والتوصل الى تسوية معقولة فكرة الشبكه الداخلية الهندسه المعماريه ، ونظم تحديد هدف محتمل.
وأحد الحلول لهذه المشاكل هو مشطور دياناس طوبولوجيا ، مما يؤدي الى مسألتين متميزتين اسم واحد لخدمة النظم الداخلية على شبكة واحدة لتلك على شبكة الانترنت لاستخدامها. محاضر في كل ثم يجرى تحديثها بصورة مستقلة ، ونظم خارجية لا يمكن لهم الحصول على معلومات عن نظم الشبكات داخليا. المهاجم لم تعد لديها الامكانات ان تقيم جسرا بين الشبكات الداخلية والخارجية ، واثار الهجوم محدودة.
البريد الالكتروني هو واحد من أهم الخدمات الى شبكة منظمة ، وانشاء خدمات البريد الالكتروني في شبكة البنية يتطلب تخطيطا دقيقا. ومن غير المناسب تقديم الدعم بريد الكترونى واحد مع خادم البريد. خدمة البريد في كثير من الاحيان بتخزين محتويات users'mailboxes ، بما فيها شركة خاصة وسرية المعلومات. نقطة واحدة من هذا الفشل هو واحد فقط عند استخدام خادم. ومن على نفس القدر من الخطوره لتوفير امكانيه الوصول الى خدمة البريد الرئيسي من الانترنت بسبب وجود المهاجم قد يعرض أو الحصول على المعلومات الخاصة بها. احد الحلول هو انشاء البريد التبديلات في مواقع مختلفة على الشبكه وبعد ذلك السماح بالوصول الى خدمة البريد الابتدائي فقط من تقوية تلك النظم. البريد التبديلات غالبا ما توجد على شبكة الخدمة وابتعد في مشروع النظام المتكامل لتقديم عدة مستويات من الاطناب في حالة وقوع اعتداء او ربط القضايا مع المنظمه.
واذا كان المهاجم لا يمكن ان تنجح في النيل من الابتدائي خادم البريد ، المهاجم يمكن ان ثم الوصول الى كثير من الموارد الحساسة الاخرى للمنظمة. استخدام بريد تقوية يدافع الابتدائي خادم البريد ويحد من آثار الهجوم. البريد التقويه يمكن ويجب المحافظة عليها مع القوى ترشيح القواعد على جدار ناري ، وخدمة البريد الرئيسي وينبغي ايضا ان يكون صارما وصول تسيطر عليها للسماح الى الداخل البريد فقط من التقويه خدمة.
كثير من الشركات ان يكون لها موقع على شبكة الانترنت للشركات ويوفر واجهة المخزن الافتراضي على الانترنت والانترانت ، او داخليا يقع موقعا على الانترنت يحتوي على معلومات شركة خاصة. الشركات والمواقع على شبكة الانترنت الداخلية ينبغي ان تكون منفصلة عن استضافت آلات لعزل المعلومات التي يمكن الوصول اليها من قبل مستخدمي الانترنت من المستخدمين. موقع الشبكه من المواقع على شبكة الانترنت للشركات وينبغي ان يحدد على أساس عدد الحركة المروريه الموقع يرى. غاية شعبية الموقع الموجودة على شبكة الخدمات الاخرى مع شبكة الخدمات مثل البريد والتبديلات دياناس خدمة الشبكه قد طرح خدمة تلك المعرضه للخطر في حال إنكار الخدمة الهجوم. كله يمكن ان تستهلك عرض النطاق الترددي ، وجعلها غير صالحة للاستعمال الخدمات الاخرى. المتأني تنسيب زائدة وزعت خدمة ويب يساعد على تقليل المخاطر المرتبطه بهذه الخدمة. المواقع على شبكة الانترنت ويمكن تحديد مواقع نائية عن مراكز خدمة استضافته مقدمي خدمات الانترنت ، أو شبكة المرور يمكن تحميل متوازنه بين عدة حواسيب وضعت على مقربة من بعضها البعض او حتى في المناطق الناءيه.
ملف تقاسم هو التيله من شبكة الحياة التي استخدمت في غالبية المنظمات. وهو ايضا واحد من أكثر شيوعا الريب عثر على الشبكه. شبكة الهندسه المعماريه التي تدعم الامن والخدمات التي تحمل مخاطر محتملة يقوم بذلك من خلال مراقبة بعناية الشبكه الوصول الى خدمة الملفات. عندما تقاسم انظمة الملفات بين نظم متعددة على الشبكات الداخلية ، والوصول لا ينبغي ان يكون متاحا لاكسترانت ، شبكة الخدمات ، او الانترنت. ملف تقاسم ينبغي الا يسمح أبدا من مجهول او نظم خارجية.
شبكة يتصل هي الوسائل التي استخدمتها لتوثيق المستخدمين الى نظام المناطق الناءيه او المحلية. وهذا يشمل تفاعلا الوصول الى حسابات يونيكس ، ويندوز مجال التوثيق ، التوثيق الى المواقع على شبكة الانترنت ، والخدمات الأخرى اي ان يتطلب وثائق التفويض للمستخدم الوصول. هناك العديد من الطرق لتسجيل الدخول الى الشبكه ، وكثير منها غير آمنة جدا. انعدام الامن من دخول شبكة تأتي من استخدام اساليب التوثيق cleartext فيه المستعمل ثائق التفويض وتحال على الشبكه دون أي تشفير البيانات او غيرها من التشويش.
الإعتبارات الأمنية لتشمل تصميم الشبكات عزلة الحركة ان يحمل وثائق التفويض الى التقليل الى أدنى حد من الفرصة لالتنصت واستخدام نظم تصل الى توفير الاتصال المشفره ان يحمي وثائق التفويض اثناء العبور. وتشمل الاليات الاخرى لحمايه جدار ناري قواعد لأرفض البروتوكولات التي لا يخفى على وظيفة بشكل غير آمن من اجتياز الحدود للشبكات الداخلية.
التلنت ، وقذائف الناءيه ، وبروتوكول نقل الملفات هي الخدمات التي يشيع استخدامها والاتجار بها وينبغي عدم السماح للخارج الشبكه الداخلية ، واذا استخدم على الاطلاق. هذه الخدمات احالة المستخدمين وثائق التفويض دون اي شكل من اشكال الترميز ، مما يسمح لالمهاجم التصنت واعتراض المعلومات.
استخدام الشبكات المحلية الافتراضيه (vlans) هو نهج جديد نسبيا الى طوبولوجيا شبكة التي نشأت مع تطور شبكة المعدات الجديدة. Vlans توفير بديل لهزيمة طبيعية وتحول طوبولوجيا شبكة طريق تبسيط متنوعة الشبكات من خلال أجهزة أكثر ذكاء. فان vlan يسمح للمجموعات المختلفة على النظم الفيزياءيه وشرائح شبكات الاتصال بسهولة تامة دون الحاجة الى وجود مسار. واحدة من عيوب تحول هزيمة والشبكات هو ان الموقع الطبيعي للنظم وغالبا ما تملي وجودها على شبكة خاصة. على سبيل المثال ، ان وضع نظامين ماديا في نفس الغرفة على اثنين من مختلف الشبكات يتطلب ان شبكة كابلات انهاء اثنين في اماكن مختلفة ، واحدة في كل نقطة الوصول إلى الشبكه. اذا كانت شبكة المعدات ليست تقع في نفس المنطقة ، ويصبح هذا صعب جدا. Vlans تسمح لهذه القدرة ، والقيام بذلك بشفافيه.
Vlan استخدام تكنولوجيا ايضا ان الاعتبارات الأمنية قد تشجع على استخدامها. طبيعه افتراضيه وديناميكيه تسمح لشبكات المحددة بغرامة - الحبيبات ضبط للشبكة المرور. القدرة على شكل تدفق حركة المرور على الشبكه هو القدرة على السيطرة عليه ، مما يوفر مرونة بالغة القدرات الامنية ان تجعل من الاصعب على شبكة التنصت وتقديم بسهولة اكبر لاحباط محاولات الحرمان من الخدمة. ومن المهم الاشارة الى ان جزءا من الاستفادة من التكنولوجيا vlan اتى من ادارته. الاداريين يمكن بسهولة اكبر شبكة رصد المعلومات ، وجمع المعلومات الاحصاءيه ، وأشعار وتسوية الاوضاع الشاذة.
استخدام الجدران الناريه في شبكة البنية يعتبر عموما باعتباره شرطا لاي تنظيم لديه امكانيه الوصول الى الانترنت. الجدران الناريه هي من الأدوات المفيدة ، واستخدامها في شبكة البنية يوفر مزيدا من الامن. وكما ذكر آنفا ، وكثيرا ما تستخدم الجدران الناريه لحمايه الشبكات الداخلية من الوصول غير المرخص لهم النظم المستنده الى شبكة الانترنت. كما انها يمكن ان تستخدم لحمايه شبكات الخدمة والشبكات الخارجية. استخدام الجدران الناريه ليست مضمونة اسلوب وقائي ، ولكن. عند تصميم الشبكه ، ومن المهم تحديد القيود اللازمة لتنظيم وفيها جدار ناري هو الاكثر فائدة. متعددة الجدران الناريه غالبا ما تستخدم لحمايه شبكة نقاط الوصول ، وشبكات متخصصه في جميع انحاء البنية التحتية.
الجدران الناريه تأتي في عدة اشكال مختلفة بما كرس جدار ناري الاجهزه والبرمجيات القائمة على جدار ناري الاجنحه ، وكما بني - في وظيفة من معدات الشبكات. وعند النظر في الامن لشبكة الهندسه المعماريه ، ومن المفيد في كثير من الاحيان الى استخدام اكثر من واحد من هذه الأساليب. المسارات هي مفيدة لتطبيق القواعد العامه للترشيح مثل تنكر امكانيه الوصول الى ميناء ارقام خاصة او الخدمات. المعدات والبرمجيات الجدران الناريه ويمكن بعد ذلك في العمل جنبا الى جنب مع مسارات اكثر لاداء الغرامه - الحبيبات الترشيح على اساس اكثر حبيبي تفاصيل مثل بروتوكول اعلام والخيارات
Online: 390 users browsing the articles directory
|
|