|
确保网络安全:标识中小企业网络的外围
楼主
来源:Professorliugang@professorliugang 7/9/2012 9:58:00 PM
简介 每个网络都有一个外围 — Internet 网关。这些外围设备可有助于改善您的业务流程并管理基于 Internet 的活动,尽管每个外围设备都不相同,但必须小心保护;每个外围设备都是一个易于被操纵的策略区域。企业到 Internet 的专用连接是一个明显的分界点,但是,大多数网络还有其它外围设备必须予以识别:例如站点对站点的 VPN 连接。外围设备的基本定义是在两个网络之间路由数据包的任何设备,即防火墙、路由器和交换机。其它可能的外围设备定义是可以提供网络访问途径的任何设备,即 USB 驱动器、客户端和服务器,但这些设备不是在网络间路由数据包,而是将外围延伸到更多的客户端上。尽管在本文档中提到了这些设备,但却与基于网络的外围设备不同,企业需要意识到它们的存在。 在设计理想的网络时,安全性必须是主要考虑的问题。如果有一个外围网络风险未被意识到,例如某一外围设备未得到保护,就可能危及您的企业网络的安全。一个完善的网络安全解决方案具备形式化身份验证、授权、保密性、可用性和完整性等措施,以降低未经授权的入侵的可能性。这些措施通常包括加密、证书、目录、网络和其它安全组件。如果不保护您的网络,可能导致严重的财务和法律问题。 外围安全通常是由外围设备提供,例如防火墙,可以检测数据包和会话,以便决定是允许它们进出受保护的网络,还是将其丢弃。实际上,防火墙已经成为一个网络访问点,在这里,使用定义应用程序、地址和用户参数的防火墙脚本,可以对通信进行分析和控制。这些脚本有助于保护到外部网络和数据中心的连接路径。 标识每个网络具有的或可能具有的用于提供网络访问途径的设备,可有助于提高网络的整体安全性。您可以通过定义网络中主机的所有类型,包括静态和动态(临时)主机,来定义网络的外围。在标识网络中的所有主机之后,您可以确定每台主机的特征,并确定这些主机是否可以被视为外围设备。将每个外围设备定义都视为网络外围的一部分。本文档使用一个典型的中小型企业 (SMB) 网络设计,以提供一个列出外围设备清单并确定其特征的模板。 您需要确定目前在您企业网络中的所有设备,以及可以在将来动态地添加哪些设备 — 例如虚拟专用网 (VPN) 客户端。在您标识了企业所有外围设备之后,您可以建立一个网络的逻辑和物理图,以便更好地定义网络外围。以下文档将帮助您: 标识静态和动态主机并确定其特征。 列出被视为外围设备的主机。 定义网络外围。 准备工作 了解典型的中小型企业 (SMB) 网络以及该网络如何与 Internet 和任何其它第三方网络相连,可帮助您更好地了解网络外围以及如何标识外围设备。下图说明一个典型中小型企业网络的布局,该网络具有企业物理外围中的设备和主机示例。当提到企业的物理外围时,本图将用作本文档的一个通篇示例。 企业物理外围中含有设备和主机的 SMB 网络 当您分析本文档中说明的方案时,显而易见,Internet 前面的防火墙不是唯一的外围设备。网络中有许多设备都需要定义和维护,它们可能是外围设备,但不一定属于外围设备的基本定义(如本文档前面所提到的)范畴。用户可以从多个访问点连接到 Internet,并可以接收动态分配的 Internet 协议 (IP) 地址,这不仅限于有线和无线部分,而且可以在旅行中实现。IP 地址唯一地标识连接到 Internet 或其它 Internet 主机的一台主机(计算机)。移动用户可以利用以下几类服务提供商 (SP) 来连接到 Internet:Internet 服务提供商 (ISP)、移动服务提供商或者通过公共无线访问点 (AP)。对于典型的 SMB,企业物理环境之外的其它外围设备是未知的并且难以管理。您可以了解和管理您自己拥有的外围设备,以及您所知道的客户端或者可能存在的客户端。 下图说明一个典型的中小型企业网络和与其通信的其它网络的关系。在标识企业网络的外围设备时,应该考虑其它可能连接的设备,此图也提供了这些设备的示例。
|