- 关 键 词:
- 路由器配置
网络安全系统主要依靠防火墙、网络防病毒系统等技术在网络层构筑一道安全屏障,并通过把不同的产品集成在同一个安全管理平台上,实现网络层的统一、集中的安全管理。
网络层安全平台
一个完善的网络安全平台至少需要部署以下产品:
防火墙:网络的安全核心,提供边界安全防护和访问权限控制;
网络防病毒系统:杜绝病毒传播,提供全网同步的病毒更新和策略设置,提供全网杀毒。
安全网络拓扑结构划分
防火墙主要是防范不同网段之间的攻击和非法访问。由于攻击的对象主要是各类计算机,所以要科学地划分计算机的类别来细化安全设计。在整个内网当中,根据用途可以将计算机划分为三类:内部使用的工作站与终端、对外提供服务的应用服务器,以及重要数据服务器。这三类计算机的作用不同,重要程度不同,安全需求也不同:
第一,重点保护各种应用服务器,特别是要保证数据库服务的代理服务器的绝对安全,不能允许用户直接访问。对应用服务器,则要保证用户的访问是受到控制的,要能够限制能够访问该服务器的用户范围,使其只能通过指定的方式进行访问。
第二,数据服务器的安全性要大于对外提供多种服务的WWW服务器、E-mail服务器等应用服务器。所以数据库服务器在防火墙定义的规则上要严于其他服务器。
第三,内部网络有可能会对各种服务器和应用系统的直接的网络攻击,所以内部办公网络也需要和代理服务器、对外服务器(WWW、E-mail)等隔离开。
第四,不能允许外网用户直接访问内部网络。
上述安全需求,需要通过划分出安全的网络拓扑结构,并通过VLAN划分、安全路由器配置和防火墙网关的配置来控制不同网段之间的访问控制。划分网络拓扑结构时,一方面要保证网络的安全,另一方面不能对原有网络结构做太大的更改,为此建议采用以防火墙为核心的支持非军事化区的三网段安全网络拓扑结构。
根据这种应用模式,使用非军事化区结构的网络拓扑是一种很自然的提高安全性的措施。如右图所示,在防火墙上安装三块网卡,分别连接三个不同网段:外网、内网和DMZ。安全设置如下:
三网段安全网络拓扑结构
1. 内网用户可以被授权访问外网和DMZ中的服务器;
2. 外网用户只能够访问到DMZ中的相关服务器,不能访问内网;
3. DMZ还放置各种应用服务器,应用模式中,对应的是各种Web服务器。这些服务器允许有控制地被各种用户访问,也能主动访问Internet。建议不允许DMZ服务器主动访问内网主机;
4. 在内网某台服务器上安装网络版防病毒软件的系统中心,定制全网杀毒策略并监控网络病毒情况;
5. 通过网络版防病毒软件的漏洞检测功能可以及时发现内网机器存在的漏洞,及时查堵防患未然。 更多请看Cisco与华为技术网(Vlan9.com)路由安全配置、网络管理实用手册、网络故障手册专题,或进入论坛讨论。
相关专题
- 路由安全配置 (11827篇文章)
- 网络管理实用手册 (17972篇文章)
- 网络故障手册 (13166篇文章)
- 网络组网专题 (12613篇文章)
- 网络建设 (14034篇文章)
- SSH安全技术 (8155篇文章)
- 局域网安全管理 (9503篇文章)
- 网路安全基础 (1586篇文章)
论坛精华
阅读排行榜
- “时间管理”无线路由器不能忽视的功能 (46次浏览)
- 城域光传送网光缆组网方案研究 (31次浏览)
最新技术文档
- 城域光传送网光缆组网方案研究 04-14
- “时间管理”无线路由器不能忽视的功能 04-11
- 网线缠绕,也能引发上网频繁掉线? 04-07
- 网络数据丢包严重 线路环路是“祸首” 03-29
- 网管支招:从本地入手解决双线路由设置 03-29
- 家用网络难点 无线路由自动掉线巧解决 03-27
- 加速交换机端口初始化进程的介绍 03-19
- 关于加速交换机端口初始化进程的介绍 03-19
- 网线的制作和连接 03-14
- 网线的制作和连接:网管员必须掌握 03-13
热门关键字导读