企業網絡的經典結構就是基於安全域的網絡結構,一般包括企業數據中心,企業辦公內網,DMZ區,廣域網和Internet幾個部分。基本結構如下圖所示。
企業網絡各個區域之間通信受到限制,區域內部通信多不進行限制。
為了保障企業的信息安全,我們應該從哪幾個方面入手?
這里有一句經常被提到的話,就是凡是用戶輸入的內容,都是有害的。這句話可以為我們做好企業信息安全規划提供一個較好的思考方向。
針對整個企業網絡結構,什么是用戶輸入的內容,用戶可以從哪里進行輸入呢?
1、終端計算機
2、互聯網出入口
3、廣域網出入口
4、公司對外發布服務的DMZ服務器
5、VPN和類似遠程連接設備。
上述五個方面,基本涵蓋了公司網絡邊界的幾個方面。
對公司網絡邊界進行防護,在我看來,僅僅是做好公司信息安全防護工作的第一步。
那么接下來我們應該考慮什么呢?
當然是如果上述五個方面被黑客攻陷了,那么我們還拿什么進行防護?
這就涉及到了黑客攻擊的幾個步驟,黑客提權或者拿到設備權限之后,第一件事就是想知道我們的內網是什么樣子的。
那么,他們一定會進行內網掃描。而網絡掃描這種事情,又是一種特征非常明顯的網絡攻擊行為,非常易於識別。
這就要求我們企業安全管理人員要重點關注內網掃描,做好被攻擊后的進一步防護工作。
由於上述5個方面易於被黑客攻陷,易於產生信息安全問題,那么我們就不能讓這些區域可直接訪問我們的核心資源。因此,需要進行安全域划分。同時,我們也要在各個高風險安全域的核心交換機上部署IDS,做好網絡安全監控,並且在安全域出入口處部署防火牆,針對IDS產生的報警及時切斷相關網絡訪問路徑,保障損失的最小化。
於是,企業網絡安全的基本中的基本要求就是根據面臨的風險,划分安全域,在安全域之間部署防火牆,在每個安全域內部署IDS。這也是我個人理解的網絡安全域划分的本質安全需要。