吉林大学北国之春BBS

标题: 确保网络安全:标识中小企业网络的外围 [打印本页]

作者: 牛边的树 时间: 2012-7-10 10:21
标题: 确保网络安全:标识中小企业网络的外围
简介

　　每个网络都有一个外围 — Internet 网关。这些外围设备可有助于改善您的业务流程并管理基于 Internet 的活动，尽管每个外围设备都不相同，但必须小心保护；每个外围设备都是一个易于被操纵的策略区域。企业到 Internet 的专用连接是一个明显的分界点，但是，大多数网络还有其它外围设备必须予以识别：例如站点对站点的 VPN 连接。外围设备的基本定义是在两个网络之间路由数据包的任何设备，即防火墙、路由器和交换机。其它可能的外围设备定义是可以提供网络访问途径的任何设备，即 USB 驱动器、客户端和服务器，但这些设备不是在网络间路由数据包，而是将外围延伸到更多的客户端上。尽管在本文档中提到了这些设备，但却与基于网络的外围设备不同，企业需要意识到它们的存在。

　　在设计理想的网络时，安全性必须是主要考虑的问题。如果有一个外围网络风险未被意识到，例如某一外围设备未得到保护，就可能危及您的企业网络的安全。一个完善的网络安全解决方案具备形式化身份验证、授权、保密性、可用性和完整性等措施，以降低未经授权的入侵的可能性。这些措施通常包括加密、证书、目录、网络和其它安全组件。如果不保护您的网络，可能导致严重的财务和法律问题。

　　外围安全通常是由外围设备提供，例如防火墙，可以检测数据包和会话，以便决定是允许它们进出受保护的网络，还是将其丢弃。实际上，防火墙已经成为一个网络访问点，在这里，使用定义应用程序、地址和用户参数的防火墙脚本，可以对通信进行分析和控制。这些脚本有助于保护到外部网络和数据中心的连接路径。

　　标识每个网络具有的或可能具有的用于提供网络访问途径的设备，可有助于提高网络的整体安全性。您可以通过定义网络中主机的所有类型，包括静态和动态（临时）主机，来定义网络的外围。在标识网络中的所有主机之后，您可以确定每台主机的特征，并确定这些主机是否可以被视为外围设备。将每个外围设备定义都视为网络外围的一部分。本文档使用一个典型的中小型企业 (SMB) 网络设计，以提供一个列出外围设备清单并确定其特征的模板。

　　您需要确定目前在您企业网络中的所有设备，以及可以在将来动态地添加哪些设备 — 例如虚拟专用网 (VPN) 客户端。在您标识了企业所有外围设备之后，您可以建立一个网络的逻辑和物理图，以便更好地定义网络外围。以下文档将帮助您：

　　标识静态和动态主机并确定其特征。

　　列出被视为外围设备的主机。

　　定义网络外围。

准备工作

　　了解典型的中小型企业 (SMB) 网络以及该网络如何与 Internet 和任何其它第三方网络相连，可帮助您更好地了解网络外围以及如何标识外围设备。下图说明一个典型中小型企业网络的布局，该网络具有企业物理外围中的设备和主机示例。当提到企业的物理外围时，本图将用作本文档的一个通篇示例。

　　企业物理外围中含有设备和主机的 SMB 网络

　　当您分析本文档中说明的方案时，显而易见，Internet 前面的防火墙不是唯一的外围设备。网络中有许多设备都需要定义和维护，它们可能是外围设备，但不一定属于外围设备的基本定义（如本文档前面所提到的）范畴。用户可以从多个访问点连接到 Internet，并可以接收动态分配的 Internet 协议 (IP) 地址，这不仅限于有线和无线部分，而且可以在旅行中实现。IP 地址唯一地标识连接到 Internet 或其它 Internet 主机的一台主机（计算机）。移动用户可以利用以下几类服务提供商 (SP) 来连接到 Internet：Internet 服务提供商 (ISP)、移动服务提供商或者通过公共无线访问点 (AP)。对于典型的 SMB，企业物理环境之外的其它外围设备是未知的并且难以管理。您可以了解和管理您自己拥有的外围设备，以及您所知道的客户端或者可能存在的客户端。

　　下图说明一个典型的中小型企业网络和与其通信的其它网络的关系。在标识企业网络的外围设备时，应该考虑其它可能连接的设备，此图也提供了这些设备的示例。

作者: 为了三三的梦想 时间: 2012-7-10 17:59
看完了，挺有意思，洗洗睡吧

作者: 丘石 时间: 2013-12-3 00:51
没看完~~~~~~ 先顶，好同志

欢迎光临吉林大学北国之春BBS (http://jluol.com/)