码迷,mamicode.com
首页 > 其他好文 > 详细

回读上篇安全域发现昨天思路真的很乱

时间:2017-03-09 11:56:24      阅读:151      评论:0      收藏:0      [点我收藏+]

标签:身份认证   不能   保护   web   使用   分析   网络   web服务   公司   

假如只有一个安全域,那么我们应该做什么能保护好这个安全域呢?

第一,防火墙

第二,IDS

第三,终端防护软件

有了这三件套,安全域的基本防护才算达到。

 

以一种域的形式划分安全区域,我们的目的是防护什么呢?当然是区域中计算机中存在的宝贵资源。

那么如何能访问这些资源呢?

1、域的出入口处,通过网络访问。

2、域内其他计算机上,通过局域网访问。

3、存储资源计算机上,通过操作系统访问。

防火墙防止域外网络的非法访问。

IDS监控域内计算机的非法访问。

终端管控软件防止操作系统被非法访问。

 

由此衍生了另外一个问题,如果,我是一个外来者,自己私自将计算机接入了这个域的网络呢?

这就涉及到了域的准入控制问题。可通过NAC解决。

域的访问需求更进一步,我出差在外的员工也需要访问域内网络进行办公,而域的管理要求又规定了不能通过域外网络直接访问域内资源,这就需要VPN和云桌面结合身份认证的方式保障访问的合法性。

公司逐步发展,网络提供的服务不再是单一的对内,也需要对外提供网络服务。这就产生了WEB服务防护需要,也就需要通过waf解决对外提供服务的问题。

由此逐步展开,我们可以发现,凡是有可能与外界交互的方式,都需要安全设备进行安全管控,防止未经授权的非法访问,即,访问控制。

 

IDS仅仅是一个监控设备,它的意义到底在哪里?

就目前的经验而言,只要网络或者域与外部有交互,那么就避免不了被攻破,在纵深防御的思路下,我们应该有应对第二波攻击的能力,这时,我们安全域内部的情报就很重要了。IDS不熟在安全域内的核心交换机上,它就是我们的雷达。这个雷达平时可以不报警,但是报警就必然有域内设备被攻陷,这时,我们就可以通过防火墙切断攻击来源,保证攻击损失的最小化。这种能保障攻击损失最小化方法的前提,就是知道有设备被攻陷,也就是得通过IDS侦测到有异常行为。

所以,IDS是在企业安全部门有能力分析处置安全事件时,才有必要使用的安全设备。若企业没有能力处置安全问题,则不需要IDS,买IDS就是浪费。

IDS的思路就是一种安全可视化的思路,就是我们能知道网络中发生了什么安全问题。

 

回读上篇安全域发现昨天思路真的很乱

标签:身份认证   不能   保护   web   使用   分析   网络   web服务   公司   

原文地址:http://www.cnblogs.com/jianjiandeshenru/p/6524274.html

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!