절연의 네트워크에 영향을 미칩니다 흐름의 네트워크 데이터, 어떤 서비스를 실행을 특정 시스템, 그리고 그들이 위치한 장소입니다. 그것 아무런 영향을주지 않습니다의 내부 또는 외부 네트워크의 데이터를 여행하는 사람 같은 경로를 통해합니다. 절연이 자주 사용에 대한 보안과 효율성을 향상시켜 네트워크의 특정 네트워크 트래픽을 분리하여 특정 신체 전선 및 네트워크입니다. 네트워크를 격리가 달성한를 사용하여 여러 개의 물리적, 상 네트워크 내에있는 하나의 조직을 별도의 기능을합니다. 네트워크 디자이너에 의해 조직의 네트워크에 보안을 향상시킬 수있습니다 그 기능적 영역을 고려에 미치는 영향이 각각의 이러한 기능은 보안입니다.
하나의 예 네트워크를 격리가를 디자인의 네트워크 있도록 자격 증명의 원격 액세스를 사용자가하지 않는 여행을 통해 모든 네트워크 전선이나 회로에 노출되는 사용자 또는 다른 시스템입니다. 가 장 간단한 방법을 제공이 보안은 원격 액세스 서버에 연결할 수있는 인증 서버를 사용하여 하나의 케이블을 직접 연결합니다. 또 다른 방법은 네트워크 토폴로지를 사용하여 전환을함으로써 인증 서버와 원격 액세스 장치에 대한 자신의 개인 구분되어있습니다. 하나에서 데이터를 전송을 다른이 다음 여행을 사이에서만이 두 시스템과 그들의 세그먼트, 여기서 아니오 다른 시스템을 사용자가 볼 수있습니다.
격리는 다음과 같은 맥락에서 논의된 :
· 서비스 차별화
|
|
· 구성
· 방화벽
첫 번째와 확실한 개념은 절연의 외부에서 내부 네트워크 트래픽이있습니다. 서비스를 차별화는 신원 확인 및 분류의 네트워크 서비스입니다. 제공하는 서비스는 네트워크로 분류하는 단체 수의 외부 - 전용, 내부 - 전용, 또는 브리지 서비스입니다. 으로 이름이 암시, 외부 - 및 내부 -에서만 서비스를 제공하는 기능을 하나의 외부 또는 내부 네트워크가 아니라 둘 다. 브릿지 서비스를 제공하는 기능을 모두의 내부 네트워크와 외부 네트워크입니다. 외부 서비스를해야한다 절연에있는 서비스를 네트워크 또는 주최하는 업체의 조직입니다. 또한,이 관리는 이러한 서비스를해야한다 앞에서 언급한 관리를 네트워크를 통해 발생합니다. 내부 서비스를해야한다 외부 인터넷이나 서비스를 네트워크 액세스로부터 보호합니다.
그것은 고려 위험을 첨부 시스템과 장비를 인터넷에 직접하지 않고 일부 형태의 보호, 그래서 반드시 서비스 네트워크를 보호하기 위해 방화벽과 같은 메커니즘을 사용하여 보호합니다.
가 장 간단한 네트워크 토폴로지는 라우터와 연결해 하나의 인터페이스를 업체와 다른가 멀티플렉싱 장치가 같은 허브를합니다. 의 모든 내부 시스템은 다음을 허브에 연결됩니다. 하지 않고 얻기에 자세하게의 네트워크 번호, 이것은 효과적인 인터넷 액세스를 제공하기 위해 모든 내부 시스템의 조직, 그러나 또한 모든 시스템에서 인터넷을 사용하면 각 시스템의 내부 네트워크와 직접 통신합니다. 각각의 시스템은 쉽습를 공격, 그리고는 전체 컴퓨팅 인프라가 손상될 수있다.
요구 사항에 대한 인터넷 액세스를해야한다 분류로 발신과 수신에 액세스합니다. 보내는 액세스를 참조하는가 장 일반적인 개념의 인터넷 액세스 - 수있는 능력을 통신할 웹 서버, 이메일 보내기, 다운로드 파일이있습니다. 대부분의 시스템을 필요로 아웃 바운드 인터넷 액세스하지만 일반적으로 임의의 인바 운드 인터넷 트래픽을 확보해야합니다. 모든 네트워크 통신 및 프로토콜을 상세 별도, 이러한 작업을 수행할 수있는 능력을 필요로하지 않는다 내부 시스템에 대한 액세스를 제공하기 위해 인터넷에있는 사람입니다. 정의할 때 네트워크 아키텍처를하는 것이 중요을 파악할 수있는 서비스와 시스템이 무엇을 필요로 액세스가 시작한 인터넷 - 기반 시스템입니다. 지금은 네트워크 아키텍처에 대한 보안 고려 사항에 대한 기본적인 모양으로 3 개 조직의 수업 시간의 네트워크 -에서 외부를 중개, 그리고 내부 네트워크입니다.
제공하는 서비스가 컴퓨팅 조직 형태의 기반의 네트워크입니다. 별도의 구성 및 보안 방법을 사용하여 보호를 개별 서버와 운영 체제, 절연의 네트워크 서비스는 중요한 보안 전술 때문에 공격으로부터 보호하고 공격의 효과를 제한합니다. 서비스가 이러한 기능을 사용하는 사용자가 제공하는 컴퓨터와 네트워크 장비를 필요로하고있다. 공통 서비스로는 :
· 도메인 이름 시스템 (dns)
· 이메일
· 웹 검색
· 파일 공유
· 인쇄
· 네트워크 로그인
도메인 이름 시스템 서버에서 조직을 자주 검색할 수있는 내부 사용자는 물론 외부 인터넷입니다. 이 응용 프로그램을 제공 dns 서비스는 역사의 보안 취약점이있는가 허용되는 상황에서 공격자가 관리가 시스템에 손상을 실행하고 그 기록을합니다. 주어진이 역사, 세심한주의를 보안이 필요합니다. 만약 자신의 조직을 유지 dns 서버, 그것은 종종 서비스가 네트워크에가 장 적합 내부 네트워크로부터 보호하기 위해 부작용의 공격입니다. 의 일환으로 네트워크 아키텍처, 보안은 또한 199495하여 중복입니다. 를 사용하는 수준의 안정성을 제공하는 여러 개의 서버에서 이벤트의 실패 또는 공격에 하나, 그리고 배치는 이러한 장점은 네트워크 아키텍처를 고려합니다. 여러 개의 서버 동일한 네트워크에 위치하지 않아야한다; 의 목적은 높은 수준의 신뢰성을 제공하기 위해 중복입니다의 이벤트의 실패는 하나의 네트워크입니다. 두 경우 모두 동일한 네트워크에있는 서버 또는 단일 서비스 네트워크, 그들이 볼 수 모두를 하나의 공격으로 이동 중 서비스가있습니다. 이상적인 솔루션은 백업 서버에 대한 별도의 네트워크를 찾으려면이있는 서로 다른 경로를 그들입니다. 이렇게하면 공격자로부터 서비스를 해제하는 모든 도메인 이름을 사용하지 않고 단지 공격 방법입니다. 서버가 방화벽에 의해 보호되어야하고 기본 서버를 사용하여 구성해야한다 액세스 제어 제한이 금지> 영역 전송을 알 수없는 서버에 임의의 쿼리를하고있습니다.
의 분리 dns 사용법도 배려가 필요합니다. 많은 단체가 하나의 dns 서버를 사용 여부와 상관없이 중복,에 대한 답변을 모두 내부 및 외부 검색어입니다. 즉, 인터넷 - 기반 시스템이 액세스 권한을 이름 서버는 물론 내부 시스템입니다. 이 브리지의 내부 및 외부 네트워크를 5월 선물이 높은 보안 위험이 경우에 이름 서버가 손상됩니다. 또 다른 보안 위험이 때 서버를 사용하는 일반적인 이름은 계시의 정보가있습니다. 일반적인 dns 서버에 저장 모두에 해당 이름 및 네트워크 정보를 모두가 내부 및 외부 접근 시스템입니다. 공격자가 서버에서이 정보를 수집, 도착 합리적인 아이디어의 내부 네트워크 아키텍처, 그리고 잠재적인 타겟 시스템을 식별합니다.
하나의 솔루션으로 이러한 문제는 분할 - dns 토폴로지를 만들어 두 개의 별개의 이름 서버 - 하나에 대한 시스템의 내부 네트워크와 하나가 인터넷을 사용하는 사람이있습니다. 이 기록에서 각는 다음 업데이 트를 독립적, 및 외부 시스템이 없다는 내부 네트워크 시스템에 대한 정보에 대한 액세스를합니다. 공격자 더 이상이있는 잠재적인 다리 사이의 내부 및 외부 네트워크, 그리고 공격의 효과가 제한됩니다.
이메일은 하나의가 장 중요한 네트워크 서비스를 조직, 그리고 이메일 서비스의 네트워크 아키텍처의 확립 신중한 계획이 필요합니다. 그것은 영수를 지원 이메일을 사용하여 하나의 메일 서버입니다. 메일 서버를 자주 저장소의 내용을 users'mailboxes을 비롯한 회사 개인 및 기밀 정보입니다. 단일 지점에서 실패가 존재 단 하나의 서버를 사용하는 경우입니다. 그것은 동일하게 위험에 기본 메일 서버에 대한 액세스를 제공하기 위해 인터넷에서 공격자에 노출될 수있습니다하거나 액세스 권한을 갖고 있기 때문에 그 개인 정보를합니다. 하나의 솔루션은 메일을 릴레이에서 서로 다른 위치를 설정하려면 네트워크에 대한 액세스를 허용하고 그 다음에 기본 메일 서버가 유일한 사람 릴레이 시스템입니다. 이 메일 릴레이는 주로 네트워크와 더욱 거리에 위치한이 서비스는 여러 수준의 중복성을 제공하기 위해 업체의 이벤트의 공격이나 연결 문제가있는 조직입니다.
만약 공격자에 성공할 수있습니다 타협이 기본 메일 서버, 공격자는 그 다음에 액세스 많은 다른 민감한 자원의 조직입니다. 를 사용하는 메일을 릴레이 방어를 기본 메일 서버 및 제한의 효과를 공격합니다. 메일을 릴레이 수 있고 또해야한다 보호와 강력한 필터링 규칙에있는 방화벽, 그리고이 기본 메일 서버를해야한다 - 통제도 엄격하게 액세스를 허용하려면 인바 운드 메일 전용의 릴레이 서버를합니다.
많은 기업이 기업의 웹 사이트를 제공합니다 상 줄서를 인터넷 및 인트라넷, 또는 내부 위치한 민간 기업 정보가 포함된 웹 사이트입니다. 는 회사와 내부 웹 사이트를 호스팅해야한다 개별 시스템에서 분리하기 위해 인터넷 사용자의 직원을 통해 액세스할 수있는 정보입니다. 이 네트워크 위치는 기업의 웹 사이트를해야한다는 사이트를보고 얼마나 많은 트래픽에 따라 결정됩니다. 있는 매우 인기있는 웹 사이트에 위치한 네트워크와 다른 네트워크 서비스와 같은 서비스가 메일을 릴레이 및 서버 5월 위험 넣을 이러한 서버의 이벤트는 서비스 거부 공격을합니다. 전체 대역폭을하실 수있습니다 소비, 렌더링의 다른 서비스를 사용할 수 없게됩니다. 중복 및 분산 웹 서버가 세심한 배치와 관련된 위험을 최소화하는 데 도움이 서비스를합니다. 웹 사이트에서 원격 서버를 찾을 수있습니다 주최하는 업체, 또는 웹 트래픽 수있습니다로드 - 균형 여러 서버들 사이에 배치하거나에도 닫기 근접 서로가 원격 지역입니다.
파일 공유는 staple의 네트워크 생활에 활용하는 대다수의 단체가있습니다. 그것은 또 하나의보다 일반적인 불안을 네트워크에서 찾을 수있습니다. 보안과 서비스를 지원하는 네트워크 아키텍처를 개최하여 잠재적인 위험을하지 않으므로 신중하게 제어하는 네트워크에 대한 액세스를 파일 서버입니다. 파일을 공유하면 여러 시스템들 사이에있는 내부 네트워크, 접근해야 사용할 수없습니다를 extranets, 서비스를 네트워크 또는 인터넷을합니다. 파일 공유를해야한다는 결코 알 수없는 또는 외부 시스템에서 사용할 수있습니다.
네트워크에 로그인이있는 방법을 사용하여 사용자를 인증을 원격 또는 로컬 시스템입니다. 이 여기에 포함 대화형 액세스를 유닉스 계정, windows 도메인 인증, 인증을 웹 사이트 및 기타 다른 서비스는 사용자 자격 증명에 대한 액세스 권한이 필요합니다. 많다 방법은 네트워크에 로그인, 대부분의 어떤은 매우 불안합니다. 가 불안의 네트워크 로그인을 어디에서 발생 일반 인증 방법의 사용을 런은 사용자 자격 증명이없이 네트워크를 통해 전송된 데이터를 암호화 또는 다른 형태입니다.
보안 고려 사항은 네트워크 디자인을 포함합니다 절연의 트래픽을 운반 자격 증명을 최소화하는 기회를 도청하고 vpn 체제를 사용하는 암호화된 통신을 제공하기 위해 자격 증명을 보호하는 운송 중에있습니다. 기타 보호 메커니즘을 포함 방화벽 규칙을 거부하는 것으로 알려진가 작동 안전 프로토콜의 경계의 내부 네트워크 주소를 전달합니다.
텔넷, 원격 쉘, 및 ftp는 일반적으로 사용되는 서비스를 누구의 트래픽을 허용하지 않아야한다 외부의 내부 네트워크를 전혀 사용되는 경우입니다. 이러한 서비스를 전송하는 사용자 자격 증명이없는 형태의 암호화를 통해 공격자가 입수 및 요격의 정보입니다.
를 사용하는 상 로컬 영역 네트워크 (구성)는 비교적 새로운 접근 방식을 네트워크 토폴로지는 새로운 네트워크 장비의 발전과 함께 발생합니다. 멀티를 제공하는 대안을 정상적으로 라우팅 및 전환 네트워크 토폴로지를 단순화 다양한 네트워크를 통해보다 지능적인 하드웨어입니다. 가 vlan을 통해 그룹의 시스템에 대한 서로 다른 물리적 네트워크와 세그먼트으로 의사 소통을 원활하게하지 않고의 필요성은 라우터가있습니다. 하나의 단점은 라우팅 및 스위치 네트워크는 물리적 위치는 시스템을 종종 그들의 존재를 지시에 따라 특정 네트워크입니다. 예를 들어, 퍼팅 두 시스템이 신체의 같은 방에 방면 2 개의 서로 다른 네트워크를 필요로하는 네트워크 케이블을 해지할은 두 개의 서로 다른 장소, 하나에서 각 네트워크 액세스 포인트입니다. 네트워크 장비가없는 경우에는 실제로는 같은 지역에 위치하고,이되기 상당히 많습니다. 이 기능에 대한 구성을 허용하고 그렇게 투명합니다.
vlan 기술의 사용을 장려들이 사용할 수있는 보안 고려 사항도있다. 자연의 상 및 동적으로 지정된 네트워크를 허용에 대한 벌금 - 아주 튜닝의 네트워크 트래픽이있습니다. 네트워크 트래픽의 흐름을 형성 할 수있는 능력이있는 능력을 제어하고 매우 유연한 보안 기능을 제공하는 것을 더욱 어렵게을위한 네트워크를 도청하고 제공하려는 시도에 대해보다 쉽게 아트 서비스 거부합니다. 하는 것이 중요 부분을 유념 vlan 기술의 이점은 그 관리에서 나온다. 관리자는보다 쉽게 모니터를 네트워크 정보, 통계 정보를 수집 및 이용하고 해결 anomalous 조건입니다.
방화벽을 사용하는 네트워크 아키텍처는 일반적으로 볼 수있는 조직이 인터넷 액세스를 요구합니다. 방화벽은 유용한 도구, 및 그들의 네트워크 아키텍처를 제공 더 큰 보안을 사용합니다. 앞서 언급한 바와 같이, 방화벽은 주로 내부 네트워크를 보호하기 위해 사용되는 인터넷 - 기반 시스템에서 액세스하여 무단으로합니다. 그들을 보호하기 위해 사용할 수도있습니다 서비스를 네트워크와 extranets. 를 사용하는 방화벽이 아닙니다 보장 예방 방법, 그러나. 네트워크를 디자인하는 경우, 필요에 제한을 확인하는 것이 중요합니다의 조직과 위치에 방화벽이가 장 유익합니다. 자주 활용을 보호하기 위해 여러 개의 방화벽은 네트워크 액세스 포인트, 및 특수 네트워크 전체의 인프라입니다.
방화벽에 와서 여러 다른 형태의 전용 방화벽 어플 라이언 스를 포함, 소프트웨어 - 기반 방화벽 제품군, 그리고으로 지은 -이 기능은 네트워크 장비입니다. 보안을 위해 네트워크 아키텍처를 고려할 때, 그것은 종종 이러한 방법 중 하나 이상을 활용하는 데 유용합니다. 라우터는 응용 프로그램의 일반적인 필터링 규칙에 유용 등의 disallowing 액세스 권한을 특정 포트 번호 또는 서비스입니다. 하드웨어와 소프트웨어 방화벽 수있습니다 작품과 함께 그 다음 라우터를 수행하려면 더 많은 벌금 - 아주 필터링을 기반으로 더욱 세분화 세부 정보 및 옵션과 같은 프로토콜 플래그
Online: 357 users browsing the articles directory
|
|