区域防护在网络安全中应用分析

1防护策略

构建的安全网络架构还应该做好相关的访问控制策略工作。有没有必要在所有的网络设备上都部署安全策略？经过分析发现，这样做法存在两个问题：第一，维护人员的工作量大大增加，维护困难有所增加，将会有大量的麻烦出现在今后的改造和排错过程中；第二，网络设备的工作效率将会降低，这由于网络安全设备会存在巨大的负担，另外，也能够影响终端用户的网速，这是因为网络设备的CPU和内存会被大量的策略匹配所占用。这里，可以通过把局域网分为两层，核心则是服务器区，基于IP的访问控制在外层建立，而基于端口的访问控制在内层的服务区域内建立。这里所谓的位于内层与外层中间的核心层则较为特殊，各个层之间和他都存在着安全设备的防护工作，而核心层往往只是相关的桥梁作用。针对核心层，策略安全并不是我们所考虑的重点，而是考虑的互联交换问题比较多。另外特别注意，外层应该包括互联网接入区，这点本应该是通过IP来做访问控制，但是需要注意在互联网接入区的特殊性质：（1）具有较大的风险性，也是局域网唯一到达公网的出口所在；（2）访问控制在其上的部署并不会太多，也不会要求具有太多的对外服务的服务器，所以，应该尽可能做好较为详尽的访问控制，区别对待这个区域。访问权限最小化原则则是在部署安全策略中需要考虑的，这点不论在内层还是外层同样适用。比如，一台主机(192.168.4.1/23)要访问192.168.7.4的443、1521、3389等端口，可以按照如下的部署方法，首先确定此主机的区域，以及相关在此区域部署的防火墙，然后在此防火墙上设置进行此主机到达服务器的数据包的允许策略，对于其他的服务请求则应该拒绝，这里的访问控制是采用基于IP地址。对于服务器区防火墙来说，在达到内层以后，根据主机对于服务器的请求的端口相关命令，拒绝除了开放相应的1521、443、3389端口的其余请求，这种访问控制则是通过端口来实现。这样就完成了在局域网内的访问控制策略。在这样经过上述两层防火墙过滤以后，能够满足一台主机(192.168.4.1/23)要访问192.168.7.4的443、1521、3389等端口的要求，则拒绝其余访问。相比于所有网络设备上都做详细的访问控制方法，上述的访问策略能够满足既安全防护又降低设备负担的要求。在实际情况中，根据局域网的复杂程度，往往很多访问不能这样简单实现，要具体情况进行具体分析。

2安全配置

网络设备和安全设备运行安全的关键就是进行合理的安全配置。除了网络架构和防护策略，保障网络安全中必不可少的环节就是进行合理的安全配置，其主要包括以下4个方面。第一，IP地址限制管理。设备的源地址应该进行一定的限制管理，特定的网络设备管理则只能通过特定的主机，能够有效防止任意主机尝试登录设备。第二，做好密码和账号管理工作。连接设备一般不会采用现场的使用console口进行，在稳定的网络中，对于设备进行管理一般都是通过远程连接设备得以实现，因此，在此过程中重点保护对象就是账号的用户名和相应密码，网络设备本身的安全性可以通过用户名和密码得以提高。第三，SNMP(简单网络管理协议)协议关闭。简化大型网络中设备的管理和数据的获取则是开发与九十年代的SNMP的目的。对于SNMP协议来说，由于采用明文传输而具有较大的风险性，因此，在不使用SNMP的时候应该进行关闭。第四，用SSH登录方式代替telnet。对于telnet对网络设备进行管理过程中，网络中传输中的数据和命令都是以明文方式进行，这体现出管理的不安全性，非常容易被抓包软件获得。在传输的过程中的SSH安全外壳协议则是通过密文传输，是比较安全的登录管理方式。应该在实际应用过程中，根据情况需求而进行相关项目的加固应用，上述分析的几点内容只是在日常应用过程中较为常见的，其他的功能可以根据实际工作需求而定，比如限制登录时间、关闭HTTP服务等。

3结语

信息技术的发展非常迅速，对于网络安全的要求也日益提高，所以，应该把信息技术中的网络安全作为一项长期工作来抓。网络安全确实往往一般都落后于信息技术的发展，所以，更要要求我们走在信息技术的发展前沿，通过存在的问题去进一步加强网络安全技术的发展，真正意义上保护企业安全。

本文作者:邓兰英工作单位:湖南省邵阳师范学校