欧美性生交大片免费看|日韩黄色免费电影|男人叼女人的痛爽视频免费|一级a一级a爱片免费免免高潮

    1. <mark id="tntyx"></mark>
    2. <mark id="tntyx"><ol id="tntyx"><span id="tntyx"></span></ol></mark>
        1. <label id="tntyx"><sup id="tntyx"></sup></label>

            <code id="tntyx"><delect id="tntyx"></delect></code>
              日志樣式

              園區網安全解決方案

              概述 

                      在很多人看來,園區網代表企業內部的數據交流,被看作是安全的,可信任的網絡。但如同我們在前言中所述,內部用戶不經意的差錯或惡意的攻擊,往往會被來自外部的威脅帶來更直接和嚴重的后果--正是因為局域網的便利性,使數據偵聽、地址欺騙、惡意斟測、信息竊取變得更為容易。為此,客戶一方面要加強員工的安全培訓,提高安全意識;另一方面,在網絡架構上也應加強防御,將威脅可能性降到最小。

              解決方案

                      在本例中,我們考慮的是單純的業務或辦公網絡,其核心是互為冗余的兩臺第三層交換機;重要的應用服務器可直接以高帶寬接入核心交換機,而最終用戶的客戶機則接入各自的樓層交換機,再雙線上連至核心;分支機構則通過兩臺路由器以冗余結構作專線接入。 

                      鑒于局域網上運行了多種不同的應用,一般采用VLAN來實現數據和廣播的隔離――如業務部、財務部、技術部可使用不同的VLAN,VLAN內部可以自由通訊,VLAN間的互訪要通過第三層設備來完成。 

                      為了將網絡管理和安全監控的流量與業務或辦公數據流分開,特別設定了一個管理VLAN,將所有網絡設備的管理地址、網絡管理服務器、安全監控和應用服務器等放置其中。具體包括:網管平臺,IDS管理器,認證服務器,防病毒管理平臺,日志服務器等

              關鍵點描述 

                     在第三層網絡設備上可以實現的安全功能有:VLAN間的訪問控制(通過對數據流的識別來實現),反向路由檢測(防止地址欺騙),設備本身登錄的AAA認證等。 

                     在第二層交換機上可以實現的安全功能有:端口與MAC地址的綁定,802.1x用戶身份認證、設備本身登錄的AAA認證等。 

                      在核心交換機上部署了IDS入侵檢測系統,可以監控內部網絡中存在的非法攻擊行為。IDS一般由兩部分組成,探測器和管理平臺――具體實現時需要將被監控的數據流鏡像到IDS探測器所連的交換機端口。由于許多交換機(如思科的Catalyst系列)支持多端口鏡像(多個源端口的流量映射到同一目標端口)和遠程鏡像(不同交換機的多個源端口流量映射到同一目標端口)功能,使IDS的位置和數量設計顯得不那么絕對――一般建議將IDS探測器連接到核心交換機的某個千兆或百兆端口上,其數量由網絡中數據流和IDS的處理能力決定。IDS的管理平臺可以放置于網絡的任一位置,只要探測器的管理端口的IP地址能與其互通即可,一般建議將管理平臺放置于管理VLAN內。

              在管理VLAN內服務器的功能包括但不僅限于: 

              網管平臺:

                      使用特定的網管軟件對網絡實行監控,以呈現設備工作狀況、鏈接使用情況,匯報網絡事件并生成日志和報表;

              IDS管理平臺:

                      收集并整理由IDS探測器發來的攻擊事件,實時顯示與報警,日志存儲,生成歷史報表;

              認證服務器:

                      提供對被認證用戶的身份存儲,在用戶登錄應用系統時由服務器驗證其身份的有效性和合法權限;

              防病毒管理平臺:

                       從全面安全考慮,防病毒軟件需要部署到園區網的每一個客戶端,而這些部署和更新工作需要有一個集中的管理平臺來實現,這就是置于管理VLAN內的防病毒管理平臺的功能;