企业网络安全架构的相关知识点

合集下载
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

企业网络安全架构的相关知识点

企业网络安全架构

1. 安全违规越来越难防御

安全违规与数据泄漏仍然是无论任何规模的公司机构的安全噩梦。威胁与防御两者始终都在不断进化。这期间也带来了各种样的安全防护设备、软件代理以及管理系统,但是很多情况下这些系统之间不能进行有效的“沟通”,是一个背对背的状态。一旦网络罪犯自制一个具有完整“网络威胁周期”的程序或软件时,例如APT,没有有效整体防御系统就很容易被渗透且攻破。新一代的安全架构应是整合的一个平台,各个防御系统能够协同工作,从而构成多重多层多维度的防护。

2.云计算技术的扎根

各种形式的云开始以可行的形式进入企业架构。当大多数企业机构信任服务提供商的安全能力时,SaaSSoftware as a Service将达到其爆点。IaaSInfrastructure as a service仍然集中在web应用的弹性与冗余上。云的爆发、混合云与私有云都意味着分布式服务、管理与安全的更多的共享。

3.移动应用与管理的多样化

与PC市场不同,移动设备市场手机与平板并没有被微软一家独大。移动端的多样化意味着管理系统需要更灵活且开放。提升后的JavaScript性能将推动HTML5以及浏览器作为主流企业应用开发环境。这会带来应用的极大丰富以及集中力量在应用的易用性上。

4. 软件定义的模块架构常态化

控制层已被分离或整合成为架构的不同部分。开始是数据中心的虚拟化、软件定义网络、软件定义存储与单机交换。其结果就是API倍受青睐。总得来说,架构的被切割与细分,API变得重要,但同时潜在的安全漏洞也不容忽视。

5.物联网IoT:Internet of Things与工控系统ICS:Industrial Control System 的碰撞

Gartner预计到2021年物联网是会涉及到260亿台设备的产业。工控系统正在将控制与管理点外延。这些网络在如今是相对独立的。但是,无论怎样都需要面对网络威胁,且这些系统的被破坏带来的损失无法估量。

6.去有线化的进程

无线接入已然无所不在。新建的办公大楼中去有线化尤其平常。无线系统已上升为主要的网络接入与访问方式,这意味着认证系统的集成成为了必需。无线技术自身也在不

断的发展,做为最新的wifi通信技术,802.11ac将会迎来更大的发展,这也是在2021年即将看到的事情。

7. 几乎每10个月网络带宽就会翻倍

网络带宽的需求持续大幅增长。从1G数据中心到10G数据中心的转变花了10多年,从10G到100G则快了很多。基础架构的所有方面均需要适应这样高速的网络状态。传统基于CPU架构的防火墙在性能变化的曲线中力量不足。更多的基于专有新品的防火墙设备取得性能突破的先机,拥有百G接口与吞吐,节省了机架空间与耗电。如今,高速网络架构中安全的部署已不会成为瓶颈。

8.对参与网络中的所有信息进行分析

大数据的挖掘与分析以不同的原因被应用。数据应用最大的需求是业务的智能化,这同时数据的安全也相当重要。数据的采集本已不易,但对采集的数据进行细分可以产生很多的动作。例如,零售店采集访问无线WiFi的消费者的信息可以了解其购物模式。监控用户端链接网络的地点与时间可以判别安全的态势。根据实时的数据预测出货量可以优化运营的效率。

网络上"黑来黑去"的事件不断发生,企业或组织可能面临的伤害,轻则只是网页被篡改,但重则可能蒙受钜额或商业利益上的损失。因此,许多企业组织开始警觉到架设防火墙的对网络安全的重要性。企业在选购、架设防火墙时,一般会考虑的重点不外乎是产品功能、网络架构、技术支持、版本更新、售后服务等项。大多数的企业或组织在架设防火墙系统时,通常都是从市面上或是系统整合商所建议的产品中开始着手,但是如何在众多的防火墙产品中评估各家的优缺点,选择一套满足自己企业组织需求的防火墙,并且完善地建构企业的安全机制呢?许多有经验的网络安全管理人员都知道,这不是一件相当简单或容易的事情。虽然企业可轻易地从很多地方例如系统整合商得到各种防火墙产品的比较资料来作为选购的要点,但是企业在选定合适的防火墙产品后却很可能因为未将防火墙架设的规划也列入选购的重点之一,因此产生更大的困扰:该如何将防火墙架设到企业原有网络?笔者经常听闻许多企业已安装好防火墙,却因为架构的问题而必须重新进行评估,甚至更换品牌的情形。

确认了符合企业各项功能需求的防火墙之后,最重要的是还要确认防火墙系统的硬件在架设时或日后可以很弹性地扩充网络架构,以因应企业更新架构之需求。千万别让防火墙系统的硬件架构,成为建置的限制。

在网络架构方面,可以依据防火墙系统的网络接口,来区分不同的防火墙网络建置型态。

第一种类型,是所谓的「单机版」防火墙。如图1-1的网络架构,这种型态的防火墙建置架构,是目前防火墙产品市场中较少被提出的方案。「单机版」的防火墙是针对特

定主机作安全防护的措施,而非整个网络内所有的机器。这种「单机版」的防火墙对某些企业而言有一定的需求;例如已架设防火墙,但需要重点式保护某些主机的企业,或是只有单一主机的企业。这种架构从网络的底层就开始保护这台伺服主机,可以彻底地防御类似「拒绝服务 Denial of Service的攻击,因为这类攻击可能不单来自外界或者是网际网络,亦可能来自同一个网络区段上的任何一台机器。

因此,架设这种「单机版」的防火墙绝对会提升在同一个网络区段上的服务器的安全等级。

另一种网络架构的建置类似图1-2的架构,号称为「入侵终结者Intrusion Detection Monitor」,其防护的对象不是一部伺服主机,而是在同一网络区段上监听封包,对于非法的封包加以拦截并送出TCP/IP表头的RST讯号以回绝对方的联机。这种作法必须随时去网络上作刺探的动作,而它也是另一种防火墙的建置型态。这种网络架构很难确定所有的网络封包都可以被这个「入侵终结者」所栏截,所以并无法保证是否没有漏网之鱼。

感谢您的阅读,祝您生活愉快。

相关文档
最新文档