IT基础设施与网络安全

如对你有帮助，请购买**打赏，谢谢！

it系统安全***第四章实践及案例分析4.1 it基础设施与网络安全。

在一个现代的，具有基本的电子商务模式的企业中，关键性应用所依赖的软件、硬件和网络被称为it基础设施。it基础设施通常遵循开放的标准，易于集成，不需要太多额外的开发工作就可以投入使用。典型的it基础设施包括网络架构、基本网络服务（如dns, dhcp）、web服务和文件服务等。

网络架构是it基础设施的重要组成部分。随着业务流程对网络架构的依赖逐步加深，如何构建一个安全、可靠、灵活的网络已经不再仅仅是一个it问题。cio,甚至ceo将会越来越多地关心企业中网络环境的情况。

今天，越来越多的机构，无论它们从事何种业务，也无论它们有多大的规模，开始从internet接入中获益。但是接入internet同样意味着风险。在您为员工，客户和业务伙伴提供信息访问服务的同时，您也为全世界铺设了访问您机构中的隐秘信息的道路。

在各大**上，关于黑客入侵导致泄密的报道屡见不鲜。有些时候，来自网络的攻击会导致部分或整个网络服务停止工作，并进一步影响到您的关键性应用。最近一年以来的冲击波、**波等病毒的大规模发作就是很典型的例子。

4.1.1网络安全的变革。

在传统的网络安全模式中，人们着眼于如何将入侵者阻挡在机构的网络之外。在这种模式中，经常被使用的工具有来自不同厂商，使用各种技术的路由器，防火墙，病毒过滤器等等。随着web技术和电子商务的发展，您可能需要从前被归于“入侵者”一类的人（比如您的客户，您的合作伙伴，或是出差在外的员工）通过可控制的手段来访问您的网络中的特定的信息。

他们不会像“自己人”一样从内部网络发起访问请求，他们的请求来自internet。

internet的设计本身毫无安全性可言。您机构中的安全策略和安全工具完全没有办法去控制internet上的信息流。您的路由器，防火墙和病毒过滤器等工具仍然可以在内部网络中为防御垃圾邮件，病毒和木马等等做贡献，但在防止客户、员工和业务伙伴对未授权的信息的访问方面，如果不改变它们的使用方法，它们帮不上什么忙。

新的网络安全模式要求您首先分析自己机构的网络，并从中找出不同业务、数据和安全策略的分界线。您需要在这些分界线上构建安全防御。这些分界线通常被称为“边界网络”。

4.1.2构建边界网络。

构建边界网络需要用到防火墙。一个防火墙是一个软件和硬件的组合，它决定什么样的信息可以被允许通过某一个网络。防火墙通常和路由器结合使用以在不同的网络之间建立安全边界。

以下我们介绍几种常见的防火墙类型。a.包过滤防火墙。

包过滤防火墙检查每一个通过它的网络包头，并根据包头中的信息来决定是否允许这个包的**。包过滤防火墙的功能十分有限，因为它不会去检查应用层的信息，也不会去跟踪信息交换的状态。但功能简单的特性同时也决定了它是所有防火墙技术中性能最好的。

在实际应用中，包过滤防火墙常常会改变包头中的地址信息从而使**的包看起来像是来自于不同的计算机。这种改变技术叫做网络地址转换（nat），这种方法可以用来对不信任的网络隐藏本地网络的配置信息。

如对你有帮助，请购买**打赏，谢谢！

b.链路型防火墙。

链路型防火墙只**连接请求包和已经建立的连接的包。这种防火墙跟踪每一个信息交换连接的状态，并根据预设的安全策略来决定哪些连接是被允许的。它比包过滤防火墙要复杂，也常常和nat技术结合使用。

c.应用层防火墙。

这种防火墙检查所有网络包的内容并且工作在osi七层协议模型的应用层。在这种防火墙看来，它接受和**的不是单个的网络包而是完整的信息流。它会将网络上传递的信息完整地提取出来，然后根据预设的安全策略来决定是否**，或者是否更改后**。

应用层防火墙通常以具备特殊用途的软件形式出现，并且常常使用**服务器模式而不允许网络信息直接通过。有些企业级的病毒防火墙也是应用层防火墙的实现。

应用层防火墙通常具有很强的日志记录和审计功能，所以它们可以和入侵检测系统结合使用来提供攻击行为的纪录。

应用层防火墙的功能最复杂，性能开销也最大。有关日志记录和审计的i/o能力对应用层防火墙来说至关重要。d.动态包过滤防火墙。

除了安全策略设置外，动态包过滤防火墙使用一个数据库来决定是否允许信息通过。它会记录发出的包的特性，以便核对接收到的包是否能与合理的连接请求过程吻合。这种防火墙能够有效地抵御端口扫描。

4.1.3网络结构。

我们建议您使用集成的，基于开放标准的网络设计模型来作为您调整网络结构的参考。使用这种模型可以帮助您避免难以预见的安全风险。下图的模型就是mass域概念在网络结构上的应用。

在这里我们简单地回顾一下这些mass域的定义。

a.不受控区域。这部分区域不受您的机构控制。来自不受控区域的访问可以通过多种渠道。

b.受控区域。存在于不受控区域与限制区域之间。又称为非军事区（dmz）。c.限制区域。只有被授权的人员才能访问，与internet没有直接连接。

d.安全区域。只有极少数被高度信任的人员才能够访问。被授权给一个安全区域并不意味着被授权给所有安全区域。

e.外部控制区域。由其它组织控制的区域，数据的保护措施不能十分受信任。

这些定义与我们建议的网络结构模型对应如下：a. internet--不受控区域b.

internet dmz--受控区域。

internet dmz中通常包括internet可以直接连接的主机和多个防火墙，它可以被认为是一个内部和外部网络的缓冲区。这种设计使您在不同的层面上来控制网络上的信息交换（如internet和dmz之间，dmz和内部网络之间等等）。c.

生产区域--限制区域。

这个区域包含这只有少数被授权人才能访问的网络服务。它可以与dmz和intranet通过防火墙连接。d. intranet--受控区域。

与dmz类似，这里包含着受控的，但能够连接到internet的业务和计算机。e.管理网络--安全区域。

运行只为少数被授权员工提供的业务。

如对你有帮助，请购买**打赏，谢谢！

下图是一个基于这种模型的网络架构实例。

IT基础设施与网络安全

市政基础设施竣工验收目录

基础设施班长岗位说明书

网络安全基础讲稿

其他用户还读了