當(dāng)前位置:
首頁>
技術(shù)交流>內(nèi)網(wǎng)安全設(shè)計方案(二)
內(nèi)網(wǎng)安全設(shè)計方案(二)
系統(tǒng)內(nèi)部(包括系統(tǒng)內(nèi)/部門間應(yīng)用)服務(wù)器的安全要求:
所有的服務(wù)器都設(shè)在相應(yīng)的服務(wù)器網(wǎng)絡(luò)���,同一系統(tǒng)內(nèi)的不同單位��,我們可以在分布層允許它們互相通信。
通過賬號��、密碼機制我們可以允許本單位和本系統(tǒng)內(nèi)其他單位的授權(quán)用戶訪問�,再通過在路由器上設(shè)置ACCESS-LIST,可以加強這種安全性���。
同樣我們通過帳號、密碼以及ACCESS-LIST安全特性��,不允許其他用戶訪問��。
服務(wù)器的安全管理非常重要����?梢詮膬蓚級別來對它進(jìn)行保護(hù)����,第一級別服務(wù)器網(wǎng)段的保護(hù)和第二級別服務(wù)器本身的保護(hù)����。我們先說服務(wù)器本身的保護(hù)�����。
服務(wù)器本身的操作系統(tǒng)必須保持最新的更新���,要必須密切注意操作系統(tǒng)的補丁程序���,減少操作系統(tǒng)本身的安全漏洞問題。
關(guān)閉不必要的TCP/UDP端口���。
關(guān)閉不必要的服務(wù)���。
關(guān)閉不必要的共享文件夾。
認(rèn)真審核各個文件夾的用戶權(quán)限�。
對文件夾進(jìn)行安全審核,記錄文件夾的被訪問情況��。
公共網(wǎng)段的安全要求
認(rèn)證���、授權(quán)及記帳(AAA)、安全服務(wù)器協(xié)議�、流量過濾和防火墻、IP安全和加密技術(shù)可以對網(wǎng)段提供高安全保護(hù)����。認(rèn)證提供了識別用戶的方法����,它在允許用戶訪問網(wǎng)絡(luò)以及網(wǎng)絡(luò)資源之前確認(rèn)用戶的身份;授權(quán)提供了訪問控制的方法����,它包括一次性授權(quán)和對每個服務(wù)進(jìn)行授權(quán);記帳提供了收集和發(fā)送帳單信息����、審計信息以及報告信息的手段。安全服務(wù)器協(xié)議提供配置RADIUS��、Kerberos�����、TACACS+�����、TACACS和擴(kuò)展TACACS的方法��、命令和過程��。流量過濾和防火墻提供了網(wǎng)絡(luò)設(shè)備進(jìn)行流量過濾以及如何把網(wǎng)絡(luò)設(shè)備配置成精細(xì)入微的防火墻����。IP安全與加密部分提供Cisco 加密技術(shù)、配置IPSec、配置證書認(rèn)證機構(gòu)(CA)的互操作能力以及配置Internet密鑰交換的方法�����。
