网络安全综合指南:区域、协议与认证详解
1. 安全区域
网络可想象为由离散的网络段组成,这些网络段被称为安全区域,每个区域内的系统具有共同的需求。安全区域具有以下特点:
- 区域内的系统可能运行不同的协议和操作系统,如Windows和NetWare。
- 计算机类型和操作系统并不决定特定的安全区域。
- 机器所处的环境有助于确定其所在的安全区域。
- 安全区域的常见需求可能包括:
- 区域处理的信息类型。
- 使用该区域的人员。
- 保护数据所需的安全级别。
安全区域的定义是具有特定安全问题或需求的网络部分,例如企业内部网、外联网、非军事区(DMZ)和虚拟局域网(VLAN)都是安全区域。以下是一些可能定义的安全区域示例:
1.1 DMZ(非军事区)
DMZ是位于不可信的互联网和可信的内部网络之间的网络段。通常,需要向公众互联网开放的系统会放置在DMZ中,它提供了一些基本的攻击防护,但不如可信的内部网络安全。DMZ段可以通过以下两种方式存在:
-分层DMZ实现:需要保护的系统放置在两个具有不同规则集的防火墙设备之间,允许互联网上的系统连接到DMZ系统上提供的服务,但防止它们连接到组织内部网络段的计算机。
-多接口防火墙实现:在防火墙上添加第三个接口,将需要保护的系统放置在该网络段上。使用同一个防火墙来管理互联网、DMZ和受保护网络之间的流量。
DMZ中的系统可以托管以下服务:
-HTTP服务器:Internet In