孤立的网络影响流通网络数据,这些数据服务的运行,特别是系统,并在他们的所在地。 它没有影响到任何的内部或外部网络数据,从全国旅游同样是这些路径。 隔离往往是用于提高安全性和效率的网络隔离某些网络流量,以一定的物理电线和网络。 网络隔离,是取得与使用多个物理和虚拟网络,在一个单一的组织,以独立的功能。 网络设计者可以增强安全性,组织网络,其功能领域,并考虑影响上述各功能分区上的安全。
一个例子是网络隔离的是设计网络,使该证书的远程接入用户不穿越任何网络的电线或电路,有机会接触到用户或其他系统。 最简单的方法来提供这种安全,是连接远程接入服务器直接向认证服务器与一个单一的电缆。 另外一种方法是使用交换机上的一个网络的拓扑结构,保持认证服务器和远程接入设备对自己的私人领域。 发送的信息从一个向其他届时来往只有两个系统及其环节,如果没有其他系统可以查看它。
隔离是讨论在下列情况:
-差异化服务
|
|
• vlan的
-防火墙
第一个也是最明显的概念,是孤立的外部从内部网络流量。 差异化服务是识别和分类的网络服务。 该网络所提供的服务的一个组织,可归纳为外部只,内部只,或桥梁的服务。 作为顾名思义,它的外部和内部只提供服务的功能,无论是外部或内部网路,但不能同时存在。 桥梁,提供服务的功能,无论内部网和外部网。 对外服务的,应该被孤立在一个服务网络,或所设的互联网服务供应商本组织。 此外,管理这些服务的,应经出现前面提到的管理网络。 内部服务应该得到保护,免受外部因特网或服务的网络接入。
它被认为是危险的附加系统和设备,直接在互联网上没有某种形式的保护,因此要确认,以保障服务网络与保障机制,例如防火墙拦截。
最简单的网络拓扑需要一个路由器连接一个接口向互联网服务供应商及其他一复用装置,例如作为一个枢纽。 所有的内部系统,然后连接到枢纽。 没有进入详细的网络电话号码,这是有效的,以提供因特网接入,所有的内部系统,在组织,但它也允许所有系统在因特网上,以直接沟通每个系统对内部网络。 每个系统受到攻击,而整个计算基础设施,可以毫不妥协的。
要求互联网接入应该分为离到任准入。 即将离任的准入是指以最常见的概念,互联网接入能力,沟通与网络服务器,发送电子邮件,并下载档案。 大多数系统需要出境互联网接入,但通常需要保证从任意进出网路交通。 所有网络通信和协议细节外,有能力执行这些行动并不需要内部系统,以提供接触到那些在互联网上。 当确定了网络结构,它是重要的是要确定服务和制度确实需要接入倡导以互联网为基础的系统。 有关安全方面的考虑,为网络体系结构,现在采取的一项基本形成三个组织班级的网络外部,中介机构,以及内部网络。
计算所提供的服务是一个组织形式的基础网络。 除了配置和安全使用的方法,以保障个人的服务器和操作系统,孤立的网络服务是一个重要的安全策略,因为它可免受攻击和制约的影响,攻击。 该服务的,是那些功能,用户需要,并提供电脑和网络设备。 常见的服务包括:
•域名系统( dns )
•电子邮件
•网络服务
•文件共享
•印刷
•网络登录
域名系统服务器,在一个组织往往是服务于内部用户以及外部互联网。 应用提供dns的服务,有一个历史上的漏洞,让攻击者妥协的制度它运行和腐败纪录。 鉴于这种历史的,要认真注意安全需要。 如果该组织保持了自己的域名系统服务器,它往往是最适合的服务网络,以保护内部网络,从不良影响的攻击。 作为该网络体系结构,安全,也带动过剩的情况。 使用多个域名服务器上提供某种程度的可靠性,在发生故障或攻击之一,并安置这些是值得考虑的,在网络体系结构。 多种域名服务器不应该放在同一网络;为了冗余,是要提供一个高层次的可靠性,在发生故障的一个网络。 如果这两个域名服务器位于同一网络或一个单一的服务网,他们既可以带出服务,由单一攻击事件。 理想的解决办法是寻找多余的域名服务器上的单独网络有着不同的路径。 这样可防止袭击者从关闭所有域名服务,没有复杂的攻击方法。 域名服务器上应受到保护,由一个防火墙,伺服器,小学应配置与访问控制限制,禁止任意疑问和dns区转移到未知的服务器。
分离的域名系统的使用,也需要考虑。 许多组织都使用一个单一的域名系统服务器,或无冗余,回答这两个内部和外部的质疑。 这意味着,以因特网为基础的系统已经进入该名称服务器,以及内部系统。 这弥合内部和外部网络可提供一个高安全性风险,如果名称服务器是毫不妥协的。 另一个安全风险时,采用一个共同的名字服务器是信息披露。 共同dns服务器店所有的名称和网络信息,为内部和外部存取系统。 攻击者可以收集这方面的资料,从服务器,得出一个合理的想法内部网络体系结构,找出潜在目标系统。
其中一个解决这些问题的是一个分裂的域名系统的拓扑结构,形成了两种截然不同的域名服务器-一系统对内部网络和一个为那些在因特网上使用。 记录每一个都是那么的最新独立,外部系统无法获得的资料,在内部网络系统。 攻击者已经不再具有潜在之间架起一座桥梁,内部和外部网络,而且其作用的攻击是有限的。
电子邮件是其中一项最重要的网络服务的一个组织,并建立电子邮件服务的网络结构,需要仔细规划。 这是不可取的,以支持通过电子邮件发送一个单一的邮件服务器。 邮件服务器通常存储的内容users'mailboxes ,包括私人公司和机密资料。 一个单一的故障点,是目前使用的时候,只有一台服务器。 这是同样危险的,以提供获得初级邮件服务器,从互联网上,因为攻击者可能会揭露或获得其私人信息。 解决办法之一是建立邮件继电器在不同地点对网络,然后再允许进入该小学的邮件服务器只能从那些中继系统。 邮件继电器往往设于服务网络已经越走越远,在互联网服务供应商提供几个级别的冗余,在发生攻击或连接问题与该组织。
如果一个攻击者能够成功地在不损害小学邮件服务器,攻击者便可以获取许多其他敏感组织的资源。 使用一个电子邮件中继维护了基层的邮件服务器,并限制的影响,这次袭击的报告。 邮件中继可以而且应该得到保护与强大的过滤规则,对防火墙,当前首要的邮件服务器也应严格准入控制,让访港邮件不但从中继服务器。
许多公司有一个企业网站,可以提供虚拟店面,以互联网及内联网,或国内设的网站上载有私人公司的资料。 法人和内部网站应设于单独的机器,以孤立的信息进入的互联网用户从员工。 该网络的位置企业网站应该下决心基于多少交通现场看到的。 一个极受欢迎的网站设于服务网络与其他网络服务,如电子邮件继电器和域名服务器可以把这些服务器上的风险,在发生拒绝服务攻击。 整个带宽可以消耗,使其他服务使用。 精心安置的冗员和分布式网络服务器,有助于最大限度地减少风险,与此相关联的服务。 网址可设于远程服务器所设的互联网服务供应商或网站流量,可负载平衡中的几个服务器放置在靠近对方,甚至在偏远地区。
文件共享是一种大宗的网络生活就是利用在大多数组织的。 这又是其中较为常见的不安全因素,发现对一个网络。 该网络体系结构,支持保障和服务,持有潜在的风险这样做,仔细控制网络访问到文件服务器。 当共享文件系统,其中的多个系统对内部的电脑网络,获取不应提供给外部网,服务网,或因特网。 文件共享应该是绝对不能允许的,从未知或外部系统。
网络登录所用的方法向用户提供认证,以遥控器或本地系统。 这包括交互式进入unix的账户,窗口域认证,安全认证的网站,以及其他任何服务,需要用户凭证获取。 有很多方法,为网络登录,其中有许多是非常没有安全感。 不安全的网络登录来自使用cleartext认证方法,其中用户凭证,是传输网络没有任何加密或者其他数据资料迷惑。
安全方面的考虑,为网络设计,包括隔离的交通承载资格的机会减至最低窃听和使用虚拟专用网系统,以提供加密通讯保护证书过境期间。 其它保护机制包括防火墙规则不让议定书是众所周知的功能不稳,从通过边界的内部网络。
远程登录,远程炮弹,以及ftp都是常用的服务,其交通,不应允许之外的内部网络,如果运用在所有。 这些服务传送用户凭证,没有任何形式的加密,使攻击者进行窃听,截取信息。
使用虚拟本地局域网( vlan )是一个比较新的做法,以网络的拓扑结构产生与发展新的网络设备。 vlan的提供另类到正常行车,并交换网拓扑通过简化多种网络,通过更加智能化的硬件产品。 虚拟局域网,使集团的系统对不同的物理网络和环节,以实现无缝沟通,而不需要为一个路由器。 其中的弊端,改为和交换网络上的是物理位置的系统,往往决定了它们的存在对某一特定的网络。 举例来说,把两种制度,有强健的体魄,在同一个房间里走上两个不同的网络,需要网络电缆终止在两个不同的地方,一是在每一个网络接入点。 如果网络设备是不是身体设在同一地区,这成为不少一发不可收拾。 vlan的,使这方面的能力,以及这样做透明。
使用vlan技术,也有安全方面的考虑,可鼓励他们使用。 性质的虚拟和动态指定网络允许细粒调谐的网络流量。 有能力形成自己的流通网络,交通是有能力控制它,它提供非常灵活的安全功能,使其更难以用于网络监听,并提供更容易受到拒绝服务攻击的企图。 但必须注意的这部分的受益vlan技术来源于它的可管理性。 管理员可以更容易地监测网络信息,收集统计资料,并通知和解决异常情况。
使用防火墙,在网络体系结构一般被看作是规定任何组织已接驳互联网。 防火墙是有用的工具,并利用它们的网络架构提供更大的安全。 如前所述,防火墙通常用于保护内部网络从进入未经许可的基于互联网的系统。 也可以被用来保护服务网和外部网。 使用防火墙,是不是有保证的预防方法,但。 在设计一个网络,这是很重要的,以确定需要限制为组织,而防火墙是最有利的。 多重防火墙是经常被用来保护网络接入点设备,以及专门的网络基础设施。
防火墙来在几个不同的形式,包括专用的防火墙设备,基于软件的防火墙套房,并作为内置功能的网络设备。 当考虑安全为网络体系结构,它往往是有用的,利用一个以上的这些方法。 路由器是有用的应用通用过滤规则,如不准进入,尤其是端口号或服务。 硬件和软件防火墙可以工作,然后结合路由器执行更细粒度的过滤基于以上颗粒细节,如议定书国旗及期权
Online: 403 users browsing the articles directory
|
|