安全域概述
• 网络安全域是指同一系统内有相同的安全保护需求,相互信任,并具有相同的安全访问控制和边界控制策略的子网或网络,且相同的网络安全域共享一样的安全策略。广义可理解为具有相同业务要求和安全要求的IT系统要素的集合。
网络安全域从大的方面分一般可划分为四个部分:本地网络、远程网络、公共网络、伙伴访问。而在不同的安全域之间需要设置防火墙以进行安全保护。如下图(双击下图放大显示)所示:
本地网络域的安全内容有:桌面管理,应用程序管理,用户帐号管理,登录验证管理、文件、打印资源管理,通信通道管理以及灾难恢复管理等与安全相关的内容等。
远程网络域的安全内容为:安全远程用户以及远程办公室对网络的访问。
公共网络域的安全内容为:安全内部用户访问互联网以及互联网用户访问内网服务。
伙伴访问域的安全内容为:保证企业合作伙伴对网络的访问安全,保证传输的可靠性以数据的真实性和机密性。
一个大的安全域还可根据内部不同部分的不同安全需求再划分为很多小的区域,下图是将本地安全域再进行划分后的情况。
安全域划分过程
一般在在划分安全域之前,还应先把所有的计算机进行分组。分好组中,再把各个组放到相应的区域中去,如边界DNS、和办界WEB都可放到边界区域中(即所谓的DMZ区域)去。如下图所示:
如上图所示,每一个分组,包括的计算机,提供的服务,运行的服务,属于什么区域,有什么功能击需求,使用什么技术等,都要通过一相文档的形式反映出来。
计算机分组并划分到不同的安全区域中后,每个区域再划根据分组划分为几个子网。以下 图所示。每个 S 是一个网段。 每个组的安全性要求和设置是不一样的。
区域划分后,就可设计不同区域间通信机制。如允许和拒绝的通信流量,通信安全要求以及技 术,端口开禁等。 如公网到 core 通信必须通信 VPN ,并且要通过双因子验证(需要智能卡、口令)进行身份验证, 身份合法后再采用 IPSEC 进行加密通信。下图显示区域间通讯配置和详细通信端口配置(部分)示例。
以上是一个安全域划分的过程,所有过程必须归档,以便网络实施和维护时指导和参考。
总结
安全域是基于网络和系统进行安全检查和评估的基础,安全域的划分割是企业网络抗渗透的有效防护方式,安全域边界是灾难发生时的抑制点,同时安全域也是基于网络和系统进行安全建设的部署依据。
