浅谈——网络安全架构设计(三)

(34条消息) 浅谈——网路安全架构设计（一）_孤城286的博客-CSDN博客

(34条消息) 浅谈——网络安全架构设计（二）_孤城286的博客-CSDN博客

(34条消息) 防火墙设计和部署解析_孤城286的博客-CSDN博客_防火墙设计 

注 : 该篇文章继网络安全架构设计(二)

目录

一、防火墙解决方案:

(1)网络拓扑:

(2) 注意点:

二、防火墙透明模式实列:

三、安全准入解决方案:

 四、AD域(活动目录)解决方案::

五、态势感知解决方案:

---

一、防火墙解决方案:

注:两个防火墙之间的区域也是DMZ区域

(1)网络拓扑:

(2) 注意点:

• ①该解决方案银行等机构比较常见,因为银行里面有很多外连的单位,而这些单位均处于DMZ区域中
• ②两个防火墙应该采用异构组网:两个防火墙应该选择两个厂商的,以确保安全性.
• ③防火墙部署的两个模式(默认路由模式):

________________________________________________________________________________________________ 

二、防火墙透明模式实列:

 注:下一代防火墙=防火墙+IPS

__________________________________________________________________________________________________ 

三、安全准入解决方案:

背景需求:如果公司的员工拿着电脑离开公司,到家里或其他地方上网,可能感染了病毒,然后以后电脑带到公司,导致病毒横向扩散,其他设备感染病毒. 

解决设备:核心交换机旁挂安全准入设备[ISE(思科)或北信源], 公司所有的电脑上安装一个客户端,

安全准入设备为server端,通过server端控制客户端:

公司笔记本只能连接本公司网络,只能在公司上网,离开公司不能上网.

想要自己安装任何软件都没有权限,甚至USB接口封锁(防止U盘泄密和感染病毒)

连接PC接口启用802.1X认证技术,无论是有线接口还是无线,连接交换机/无线网络时,首先都要通过认证,认证之后还要通过安全准入设备检测电脑是否安全,还要授权和审计(AAA认证技术)(利用安全准入设备和802.1X合作)

_____________________________________________________________________________________________________ 

 四、AD域(活动目录)解决方案::

背景:很多时候,企业内部还有自己的域控制器

需求:

• ①内网所有的电脑一开机都有统一的桌面
• ②现在有一个软件需要给公司所有的办公电脑安装
• ③考虑到安全性,所有电脑的办公密码,三个月改变一次
• ④控制所有电脑安装软件的权限给他全部封死
• 略 .........................................................................

以上这些需求一般都要通过域

所有电脑加入到域里面之后,域控制器里面有一个技术叫做组策略,通过组策略能够完全控制PC,甚至能够修改PC的注册表.

所以可以通过组策略进行下发软件,定时修改密码,统一卓面,封锁USB,修改用户权限等等.............

____________________________________________________________________________________________________ 

五、态势感知解决方案:

• (1)流量分析平台:分析流量,有没有恶意攻击,病毒等等.
• (2)探针:搜集流量,扔给流量分析平台
• (3)态势感知=IPS+杀毒网关(只能检测病毒攻击或恶意的入侵攻击,只能发现威胁不能主动防御威胁)

 如此总公司能够时刻了解分支公司的情况,查缺补漏