网络安全-防火墙安全加固

一、X.805的三层三面安全架构

1、三面隔离原因 

1、转发平面和其他两个平面（管理平面、控制平面）如不隔离，当设备遭遇到大流量或病毒攻击时，硬件资源无法满足，转发平面的处理任务进一步占用设备CPU、内存等资源直至耗尽，导致管理员无法对设备进行管理。

2、控制平面和管理平面如不隔离，设备遭遇ARP泛洪攻击导致瘫痪时，管理员想通过管理平面查看网络设备的协议和状态时，由于设备没有资源给管理平面，导致无法进行故障处理。

等等

因此，三面隔离非常重要，既能让三面互不影响，又能让三面相互依赖，三个平面缺一不可。

2、三面功能

1）管理平面

用于访问、配置和管理设备。

2）控制平面

也叫信令平面，用于控制和管理所有网络协议的运行，提供了转发平面所必须的各种网络信息和转发查询表项。

3）转发平面

也叫用户平面，用于处理和转发设备上不同接口的各种类型数据。

3、三面安全防御

管理平面

为了应对设备被擅自访问，攻击者对设备进行非法操作等情况，在系统权限管理、账户权限管理、日志系统记录等方面提供了安全防御能力。

1. 通过基于角色的用户权限控制，能够保证不同等级的用户权限。
2. 基于AAA的认证、授权、计费，能够满足