企业如何对内部网络安全性防火墙标准化界定



     在网络上的每一个元素执行不同的功能,并包含不同安全要求的数据,因此识别关键的安全控

制机制并了解这些控制机制失效的后果,对于设计和实现网络和系统架构的安全性是很有帮助的。

边界安全强弱只取决于其最薄弱的环节,如果无法保证每个外部连接足够安全,那么内部网络的

安全性就会依赖于已连接至内部网络的其他网络的安全性。强大的安全性将确保这些连接不会成

为进入内部网络的一个后门。
 
 
 
企业需要将信息提供给内部和外部用户,并将他们的基础设施连接到外部网络,所以开发了用于

支持这种连接同时保持足够的安全水平的网络拓扑结构和应用程序架构。描述这些架构最普遍的

术语是企业内部网(intranet)、外部网(extranet)和 非军事区(demiliarized zone, DMZ)。组织经常

使用防火墙将应用程序与其他内部系统分开部署在内部网和外部网上,从而能够通过防火墙实

现更高级别的访问控制以保证这些系统的完整性和安全性。
 
 
 
遵循的标准,如果你正在跟踪一个特定的安全框架, 可以参考在此给出的NIST、ISO27002 和

COBIT来配合本章的内容。NIST主要专注于无线,COBIT 提供了一些通用的高层次的不具体

的指导, 而ISO27002提供了网络设计的最具体的指导。
 
 
ISO 27002包含以下与本章内容有关的规定:用诸如即时消息、E-mail、 文件、传输、交互访问

和应用访问等连接类型来过滤网络流量。网络监控包括管理以及远程访问应该有有效的操作控制

,如将网络和系统管理设施分开:建立设备管理责任和程序文件;对在公网上处理的数据进行特

殊控制,保护其机密性和完整性。所有网络服务的安全特性、服务水平以及管理要求应被正确识

别并包含在所有网络服务的协议中。应定义如何保护网络服务,包括要访问哪部分网络、确定谁

可以做什么的授权服务以及如何保护访问网络连接和网络服务的程序。外部连接的用户身份验证

机制应使用授权机制以应对外部连接的挑战。
 
 
 
 
在被允许远程连接之前,设备应被正确识别。应使用安全机制来保护对调试端口的访问(物理和逻

辑)。应采用如防火墙的周边安全机制,对网络进行隔离。应对组织边界外部的服务采用网络连接

控制措施。应采用基于源和目标识别的网络路由控制措施确保计算机连接和信息流不违反业务应

用的访问控制策略。根据已定义的访问控制策略对访问进行限制。应根据系统的风险和数据敏感

级别对网络上的系统进行分区隔离。
分享: