当前位置:网站首页>浅谈——网络安全架构设计(四)

浅谈——网络安全架构设计(四)

2022-07-22 23:12:00 孤城286

(34条消息) 浅谈——网路安全架构设计(一)_孤城286的博客-CSDN博客

(34条消息) 浅谈——网络安全架构设计(二)_孤城286的博客-CSDN博客

(34条消息) 浅谈——网络安全架构设计  (三)_孤城286的博客-CSDN博客

注:该篇文章续以上文章!!!

目录

一、跳板机(堡垒机)—解决方案

(1) 简介:

(2)实列: 

 (3)跳板机作用:

二、数据库审计系统—解决方案

三、日志审计系统—解决方案 

四、安全等保

五、双机热备:

六、堆叠

①横向虚拟:交换机虚拟成一个

 ②纵向虚拟:把接入交换机虚拟成核心交换机的虚拟板卡

 七、网闸——生产网和办公网解决方案

一、跳板机(堡垒机)—解决方案

(1) 简介:

跳板机Jump Server),也称堡垒机,是一类可作为跳板批量操作远程设备的网络设备,是系统管理员运维人员常用的操作平台之一。

(2)实列: 

正常情况下,PC1想要访问内网的OA系统,

首先通过web页面访问到跳板机上,然后利用这个跳板朝着OA办公系统发起访问。

而且在跳板机上还可以部署AAA认证技术(认证,授权,审计)

  •  ——认证:验证用户是否可以获得网络访问权。可以是密码用户的或者数字证书的认证
  • ——授权:授权用户可以使用哪些服务,包括授权用户可以使用的命令。可以是给与对应设备对应的访问权限,可以访问哪些网段,可以执行哪些操作。
  • ——审计:什么登录,什么时候离开.......

 (3)跳板机作用:

  • ①核心系统运维和安全审计管控;
  • ②过滤和拦截非法访问、恶意攻击,阻断不合法命令,审计监控、报警、责任追踪;
  • ③报警、记录、分析、处理;

————————————————————————————————————————————————————————— 

二、数据库审计系统—解决方案

主要为了防止删库跑路:

如果你开发一个游戏,一个web页面,那么这些相关的视频图片.....都是存放在数据库里面,

现在内网的开发人员想要争对这个数据库想要登录的话,首先要经过数据库审计系统进行认证(

 实际上也是基于AAA认证技术的。

  • ——认证:登录这个数据库时需要一个认证
  • ——授权:数据库有很多个实列,你能访问哪写实列,不能访问哪些实列,而且对于这个实列的增删改查都有哪些权限,可以控制死。如果某个研发人想要修改这个数据库某个语句,修改完成之后,一旦提交不会立即生效,他会把修改数据库的申请发给技术主管,主管审查之后才会审批通过,然后才会生效。
  • ——审计:你什么时候登录数据库,什么时候离开的,期间你都做了一些什么,都能记录下来。

如此,就可以有效的防止删库跑路行为。 

 —————————————————————————————————————————————————————

三、日志审计系统—解决方案 

用于全面收集企业IT系统中常见的安全设备、网络设备、数据库、服务器、应用系统、主机等设备所产生的日志(包括运行、告警、操作、消息、状态等)并进行存储、监控、审计、分析、报警、响应和报告的系统。

几乎所有的网络设备都有一个log日志,log日志可以动态把设备硬件信息的告警通过log日志打印出来。很多安全设备遭受攻击,发现病毒。都会把这些信息存放在设备的内存里面。

 如果网络规模比较大的情况下,在网络设备上通过syslog协议把设备的log日志发给日志服务器,

以后的IT运维人员只要在日志服务器上查看即可。

 

—————————————————————————————————————————————————————— 

四、安全等保

信息安全等级保护,是对信息和信息载体按照重要性等级分级别进行保护的一种工作,在中国、美国等很多国家都存在的一种信息安全领域的工作。

在中国,信息安全等级保护广义上为涉及到该工作的标准、产品、系统、信息等均依据等级保护思想的安全工作;狭义上一般指信息系统安全等级保护。

等保是一个全方位系统安全性标准,不仅仅是程序安全,包括:物理安全、应用安全、通信安全、边界安全、环境安全、管理安全等方面。

———————————————————————————————————————————————————— 

五、双机热备:

(34条消息) 双机热备实验——(VRRP技术+HSRP技术)讲解+配置_孤城286的博客-CSDN博客_vrrp双机热备

———————————————————————————————————————————————————————— 

六、堆叠

双机热备存在问题:主备交换时延迟较高会导致业务中断

解决:堆叠技术 

①横向虚拟:交换机虚拟成一个

 ②纵向虚拟:把接入交换机虚拟成核心交换机的虚拟板卡

—————————————————————————————————————————————————————————— 

 七、网闸——生产网和办公网解决方案

网闸实现了内外网的逻辑隔离,在技术特征上,主要表现在网络模型各层的断开(物理层的隔离)

防火墙只是做到三层(路由模式)到七层的隔离。或者二层(透明模式)到七层的隔离

但是对于有些病毒,从防火墙隔离带有一定的局限性,隔离效果有限。

然而网闸是物理层隔离。

网闸相当于摆渡车,如果流量想要过去,那么先上摆渡车(网闸的特殊协议充当摆渡车),由摆渡车拉到另外一端,然后在解开封装,在经过防火墙,AV,

需求:在网络通信的情况下实现生产网和办公网的安全隔离。

 当办公网pc1想要访问生产网服务器时,分别在防火墙,网闸上做安全策略,层层过滤。

生产网网闸收到后解封,然后经过AV,防火墙,IPS

原网站

版权声明
本文为[孤城286]所创,转载请带上原文链接,感谢
https://blog.csdn.net/qq_62311779/article/details/125904676

边栏推荐

猜你喜欢

随机推荐