當(dāng)前位置:
首頁>
技術(shù)交流>內(nèi)網(wǎng)安全設(shè)計方案(二)
內(nèi)網(wǎng)安全設(shè)計方案(二)
系統(tǒng)內(nèi)部(包括系統(tǒng)內(nèi)/部門間應(yīng)用)服務(wù)器的安全要求:
所有的服務(wù)器都設(shè)在相應(yīng)的服務(wù)器網(wǎng)絡(luò)��,同一系統(tǒng)內(nèi)的不同單位����,我們可以在分布層允許它們互相通信���。
通過賬號���、密碼機(jī)制我們可以允許本單位和本系統(tǒng)內(nèi)其他單位的授權(quán)用戶訪問,再通過在路由器上設(shè)置ACCESS-LIST�,可以加強(qiáng)這種安全性。
同樣我們通過帳號��、密碼以及ACCESS-LIST安全特性�,不允許其他用戶訪問。
服務(wù)器的安全管理非常重要�。可以從兩個級別來對它進(jìn)行保護(hù)���,第一級別服務(wù)器網(wǎng)段的保護(hù)和第二級別服務(wù)器本身的保護(hù)��。我們先說服務(wù)器本身的保護(hù)�。
服務(wù)器本身的操作系統(tǒng)必須保持最新的更新,要必須密切注意操作系統(tǒng)的補(bǔ)丁程序�����,減少操作系統(tǒng)本身的安全漏洞問題���。
關(guān)閉不必要的TCP/UDP端口����。
關(guān)閉不必要的服務(wù)���。
關(guān)閉不必要的共享文件夾�����。
認(rèn)真審核各個文件夾的用戶權(quán)限��。
對文件夾進(jìn)行安全審核�����,記錄文件夾的被訪問情況。
公共網(wǎng)段的安全要求
認(rèn)證��、授權(quán)及記帳(AAA)、安全服務(wù)器協(xié)議�、流量過濾和防火墻、IP安全和加密技術(shù)可以對網(wǎng)段提供高安全保護(hù)��。認(rèn)證提供了識別用戶的方法���,它在允許用戶訪問網(wǎng)絡(luò)以及網(wǎng)絡(luò)資源之前確認(rèn)用戶的身份��;授權(quán)提供了訪問控制的方法�,它包括一次性授權(quán)和對每個服務(wù)進(jìn)行授權(quán)�����;記帳提供了收集和發(fā)送帳單信息���、審計信息以及報告信息的手段���。安全服務(wù)器協(xié)議提供配置RADIUS、Kerberos��、TACACS+����、TACACS和擴(kuò)展TACACS的方法���、命令和過程。流量過濾和防火墻提供了網(wǎng)絡(luò)設(shè)備進(jìn)行流量過濾以及如何把網(wǎng)絡(luò)設(shè)備配置成精細(xì)入微的防火墻���。IP安全與加密部分提供Cisco 加密技術(shù)�����、配置IPSec���、配置證書認(rèn)證機(jī)構(gòu)(CA)的互操作能力以及配置Internet密鑰交換的方法。
