如何運用動(dòng)態(tài)安全域保護企業(yè)網(wǎng)

網(wǎng)絡(luò )安全域是指同一系統內有相同的安全保護需求、相互信任，并具有相同的安全訪(fǎng)問(wèn)控制和邊界控制策略的子網(wǎng)或網(wǎng)絡(luò )，相同的網(wǎng)絡(luò )安全域共享一樣的安全策略。網(wǎng)絡(luò )安全域從廣義上可理解為具有相同業(yè)務(wù)要求和安全要求的IT系統要素的集合。

　　網(wǎng)絡(luò )安全域從大的方面一般可劃分為四個(gè)部分：本地網(wǎng)絡(luò )、遠程網(wǎng)絡(luò )、公共網(wǎng)絡(luò )、伙伴訪(fǎng)問(wèn)。傳統的安全域之間需要設置防火墻以進(jìn)行安全保護。本地網(wǎng)絡(luò )域的安全內容有：桌面管理、應用程序管理、用戶(hù)賬號管理、登錄驗證管理、文件和打印資源管理、通信通道管理以及災難恢復管理等與安全相關(guān)的內容。遠程網(wǎng)絡(luò )域的安全內容為：安全遠程用戶(hù)以及遠程辦公室對網(wǎng)絡(luò )的訪(fǎng)問(wèn)。公共網(wǎng)絡(luò )域的安全內容為：安全內部用戶(hù)訪(fǎng)問(wèn)互聯(lián)網(wǎng)以及互聯(lián)網(wǎng)用戶(hù)訪(fǎng)問(wèn)內網(wǎng)服務(wù)?；锇樵L(fǎng)問(wèn)域的安全內容為：保證企業(yè)合作伙伴對網(wǎng)絡(luò )的訪(fǎng)問(wèn)安全，保證傳輸的可靠性以及數據的真實(shí)性和機密性。

　　一個(gè)大的安全域還可根據內部不同部分的不同安全需求，再劃分為很多小的區域。一般在劃分安全域之前，還應先把所有的計算機進(jìn)行分組。分好組后，再把各個(gè)組放到相應的區域中去，如邊界DNS和邊界Web，都可放到邊界防護區域(即所謂的DMZ區域)中去。為了更為細粒度地對網(wǎng)絡(luò )進(jìn)行訪(fǎng)問(wèn)控制，在劃分安全域后，可以繼續在安全域下劃分若干子安全域，子安全域不能單獨創(chuàng )建，必須屬于某個(gè)安全域，子安全域之間可以互相重疊。計算機分組并劃分到不同的安全區域中后，每個(gè)區域再根據分組劃分為幾個(gè)子網(wǎng)。每個(gè)組的安全性要求和設置是不一樣的。區域劃分后，就可設計不同區域間的通信機制，如允許和拒絕的通信流量、通信安全要求以及技術(shù)、端口開(kāi)禁等。如公網(wǎng)到核心網(wǎng)通信，必須通過(guò)VPN，并且要通過(guò)雙因子驗證(需要智能卡、口令)進(jìn)行身份驗證，身份合法后再采用IP Sec進(jìn)行加密通信。歡迎轉載，本文來(lái)自電子發(fā)燒友網(wǎng)(www.elecfans.com)

　　傳統安全域的訪(fǎng)問(wèn)管理

　　在基于傳統安全域的訪(fǎng)問(wèn)控制體系模型中，有以下幾個(gè)主要模塊：

　　• ID管理模塊：用戶(hù)信息管理模塊，提供用戶(hù)信息的添加、刪除和修改等功能，集中管理企業(yè)網(wǎng)絡(luò )中的用戶(hù)，同時(shí)，可以將用戶(hù)按權限進(jìn)行分組、分角色，進(jìn)而利用組和角色對特定用戶(hù)集合進(jìn)行管理;

　　•安全域管理模塊：管理用戶(hù)劃分的安全域和子安全域信息，用戶(hù)可以添加、刪除和修改安全域以及子安全域，可以配置安全域之間的訪(fǎng)問(wèn)控制關(guān)系，比如在訪(fǎng)問(wèn)安全域A的時(shí)候，不能同時(shí)訪(fǎng)問(wèn)安全域B等;

　　•訪(fǎng)問(wèn)策略管理模塊：管理用戶(hù)與安全域、子安全域之間的訪(fǎng)問(wèn)控制關(guān)系，定義用戶(hù)在什么時(shí)間、什么地點(diǎn)可以訪(fǎng)問(wèn)哪些安全域等;

　　•Web服務(wù)管理：為用戶(hù)提供Web服務(wù)，用戶(hù)通過(guò)Web服務(wù)進(jìn)行身份認證以及安全域的訪(fǎng)問(wèn)和退出等;

　　•通信平臺：主要是通過(guò)SSH、Telnet對防火墻進(jìn)行配置，為用戶(hù)打開(kāi)指定的ACL訪(fǎng)問(wèn);

　　•探測模塊：探測用戶(hù)PC是否在線(xiàn)，探測方式可以采用ARP、ICMP、SAMBA等協(xié)議。

　　在基于傳統安全域的訪(fǎng)問(wèn)控制體系下，用戶(hù)接入網(wǎng)絡(luò )、訪(fǎng)問(wèn)網(wǎng)絡(luò )資源的步驟如下：

　　•第0步：用戶(hù)接入網(wǎng)絡(luò )，直接訪(fǎng)問(wèn)安全域失敗，因為防火墻ACL默認禁止用戶(hù)訪(fǎng)問(wèn)此安全域;

　　•第1步：用戶(hù)通過(guò)Web瀏覽器訪(fǎng)問(wèn)安全域管理服務(wù)器IP或URL;

　　•第2步：用戶(hù)在身份認證頁(yè)面輸入身份信息，安全域管理服務(wù)器對用戶(hù)進(jìn)行認證，認證成功則繼續，認證失敗需重新認證;

　　•第3步：用戶(hù)認證成功后，安全域管理服務(wù)器利用管理員配置的訪(fǎng)問(wèn)策略將用戶(hù)可訪(fǎng)問(wèn)域顯示給用戶(hù);

　　•第4、5步：用戶(hù)選擇登錄其要訪(fǎng)問(wèn)的安全域，安全域管理服務(wù)器通過(guò)網(wǎng)絡(luò )連接開(kāi)啟用戶(hù)PC對安全域(或子安全域)的ACL;

　　•第6步：用戶(hù)成功訪(fǎng)問(wèn)其登錄的安全域;

　　•第7步：當用戶(hù)退出安全域后，安全域管理服務(wù)器將下發(fā)給防火墻的ACL撤銷(xiāo)。同時(shí)，如果在線(xiàn)探測模塊探測到用戶(hù)下線(xiàn)或者用戶(hù)IP-MAC發(fā)生改變的時(shí)候，也會(huì )撤銷(xiāo)其為此IP下發(fā)的ACL。

　　動(dòng)態(tài)安全域助力大型企業(yè)

　　基于傳統安全域的訪(fǎng)問(wèn)控制體系模型是企業(yè)網(wǎng)在發(fā)展過(guò)程中形成的通用模式，在中小型企業(yè)、業(yè)務(wù)專(zhuān)業(yè)性較強和地域分布不廣的大中型企業(yè)中都有很好的實(shí)現。但在業(yè)務(wù)高度復雜、地域高度分散且地域及業(yè)務(wù)均呈交叉狀、人員眾多的大型或超大型企業(yè)集團中，信息系統廣泛采用分布式或集中分布式部署，傳統的安全域模型結構也被大量復制，其總部結構和分支機構安全域模型交叉，隨著(zhù)人員業(yè)務(wù)變化性的增強和企業(yè)重組或業(yè)務(wù)快速膨脹，承載網(wǎng)和業(yè)務(wù)網(wǎng)邊界日益模糊，訪(fǎng)問(wèn)管理模型也隨之日益復雜，安全域或安全子域的變化頻繁，ACL控制或基礎安全策略日益膨脹，隨之帶來(lái)的管控復雜性使網(wǎng)絡(luò )管理員面臨巨大工作量和智力挑戰。某大型企業(yè)集團早在2005年就開(kāi)始實(shí)施安全域，但隨著(zhù)上述情況的出現，安全域邊界不斷變化，其安全域逐步變化成為30多個(gè)，子域多達上百個(gè)，其核心交換機上的ACL就達1000余條，矩陣分離表的邏輯性也逐漸完全不可讀，最終導致其安全域劃分的失敗。

　　安全域的核心就是通過(guò)一系列的規則控制，達到特定網(wǎng)絡(luò )群組按照指定規則訪(fǎng)問(wèn)指定群組的關(guān)系，其組群需要具有相同的安全訪(fǎng)問(wèn)控制和邊界控制策略的子網(wǎng)或網(wǎng)絡(luò )。傳統模型較為容易在集中部署的單一結構中實(shí)現，其組群成員的權責變化一般也需要對相應規則做調整。假定將組群成員動(dòng)態(tài)的變化和子域調整與子網(wǎng)劃分動(dòng)態(tài)結合，就可以實(shí)現基于傳統復雜安全域結構上的動(dòng)態(tài)調整，從而實(shí)現基于傳統安全域基礎上的動(dòng)態(tài)安全域的模型結構。

　　在基于動(dòng)態(tài)安全域的訪(fǎng)問(wèn)控制體系下，用戶(hù)接入網(wǎng)絡(luò )、訪(fǎng)問(wèn)網(wǎng)絡(luò )資源的步驟如下：

　　•第0步：用戶(hù)接入網(wǎng)絡(luò )，直接訪(fǎng)問(wèn)安全域失敗，因為強制器沒(méi)有通知接入交換機打開(kāi)網(wǎng)絡(luò )端口，默認用戶(hù)訪(fǎng)問(wèn)隔離域A，做身份申請;

　　•第1步：用戶(hù)身份認證成功，強制器打開(kāi)接入端口，做安全合規性檢測，默認訪(fǎng)問(wèn)隔離域B，做安全合規性完善;

　　•第2步：合規性檢查通過(guò)，用戶(hù)從隔離域B中劃出到公共訪(fǎng)問(wèn)域;

　　•第3步：用戶(hù)身份信息傳送給安全域管理服務(wù)器，安全域管理服務(wù)器訪(fǎng)問(wèn)服務(wù)域控制器，服務(wù)域控制器從人力資源數據庫權責矩陣同步列表中生成用戶(hù)安全域列表，并通知用戶(hù);

　　•第4步：用戶(hù)選擇登錄其要訪(fǎng)問(wèn)的服務(wù)，安全域控制器根據安全域列表，通知網(wǎng)管控制域服務(wù)器，網(wǎng)管控制器通知網(wǎng)絡(luò )交換域;

　　•第5步：網(wǎng)絡(luò )交換域生成控制列表，生成VLAN及VCL組合，通知交換設備，生成訪(fǎng)問(wèn)域控制隔離通道;

　　•第6步：服務(wù)控制服務(wù)器通過(guò)交換域，通知相應安全域做對應權責匹配;

　　•第7步：用戶(hù)訪(fǎng)問(wèn)所需安全域的服務(wù);

　　•第8步：當用戶(hù)退出安全域后，安全域管理服務(wù)器將下發(fā)給交換用戶(hù)的VLAN及ACL撤銷(xiāo)。同時(shí)，如果在線(xiàn)探測模塊探測到用戶(hù)下線(xiàn)或者用戶(hù)進(jìn)行危險性違規性操作或IP-MAC發(fā)生改變的時(shí)候，也會(huì )通知交換域撤銷(xiāo)其為此身份下發(fā)的IP、VLAN及ACL，進(jìn)行隔離;如果在線(xiàn)探測模塊探測到用戶(hù)進(jìn)行攻擊性或高危破壞性操作，通知交換域撤銷(xiāo)其為此身份下發(fā)的IP、VLAN及ACL，并同時(shí)關(guān)閉端口避免入侵破壞。

　　安全域是基于網(wǎng)絡(luò )和系統進(jìn)行安全檢查和評估的基礎，安全域的劃分是企業(yè)網(wǎng)絡(luò )抗滲透的有效防護方式，安全域邊界是災難發(fā)生時(shí)的抑制點(diǎn)，同時(shí)安全域也是基于網(wǎng)絡(luò )和系統進(jìn)行安全建設的部署依據。動(dòng)態(tài)安全域在傳統安全域常規手段的基礎上，將網(wǎng)絡(luò )成員權責與安全子域和子網(wǎng)劃分動(dòng)態(tài)結合，同時(shí)將網(wǎng)絡(luò )動(dòng)態(tài)接入和用戶(hù)權責矩陣有機結合，成為大型或超大型企業(yè)網(wǎng)絡(luò )的有效管控手段。當然，上述安全域管理系統也有需要改進(jìn)的部分，如網(wǎng)絡(luò )設備的動(dòng)態(tài)管控。由于網(wǎng)絡(luò )設備廠(chǎng)商的多樣化導致命令處理十分復雜，此模型對網(wǎng)絡(luò )設備具有較高要求，并需要網(wǎng)絡(luò )設備一致性或大量針對性網(wǎng)絡(luò )控制的二次開(kāi)發(fā)，同時(shí)面臨構架復雜、實(shí)施周期長(cháng)、成本較高等難題，主要原因是現如今還沒(méi)有這方面的業(yè)界或企業(yè)標準。不過(guò)隨著(zhù)網(wǎng)絡(luò )安全的進(jìn)一步發(fā)展，這方面問(wèn)題有望得到改善。