购买
下载掌阅APP,畅读海量书库
立即打开
畅读海量书库
扫码下载掌阅APP

Chapter 4
第4章

网络边界安全

以IP为边界是网络安全纵深防御关键手段。网络边界安全主要是指由网络设备组成的通信安全,是传统意义上的网络连接安全。随着云计算的大发展,政企正在从内网有清晰边界的模式走向混合云这种模糊边界的模式。数字化推动了云上和云下资产数量的增加,并与更多的上下游合作伙伴相连接,比如金融行业中的银行、理财、证券、互联网金融等通过业务互通、技术互通、场景互通等方式相互连接。因此,一个金融系统的安全问题可能会波及相关系统,我们需要从更广泛的防御角度考虑安全性。

古代的君王保护子民的安全首先是建立城墙将城内外分割开来,然后在城墙上修建城门作为检查关卡,监控进出人员与车马,甚至城王府和民居之间还要有院墙。同样,网络安全也采用了类似方法:通过构建各种检查关卡,形成纵深防御。

网络边界是指组织内部核心业务区域和互联网攻击者(或者任何其他未受控制的外部网络)之间的边界。如图4-1所示,互联网暴露层、网络边界层、边界设备互通层和内网核心层之间都有边界,一次成功的攻击需要层层突破。换句话说,网络边界指的是政企控制范围的边缘。例如,一个小型政企有一个内部机房,连接了一个服务器、几十台员工台式计算机、几台打印机,以及路由器和交换机等设备。如果员工将个人笔记本带进酒店,笔记本在网络边界外;如果将它连接到内部机房,笔记本在网络边界内。

本章以典型的金融机构混合云为例,介绍了网络设备和安全设备的配置和协同,包括域名系统(DNS)、证书(SSL)、路由器(Router)、交换机(Swtich)、防火墙(Firewall,FW)、统一威胁管理(Unified Threat Management,UTM)、入侵检测系统(Intrusion Detection System,IDS)、入侵防御系统(Intrusion Prevention System,IPS)、虚拟专有网络(Virtual Private Network,VPN)、无线(Wi-Fi)等。同时,如果使用了公有云,还可能涉及一些特定厂商的网络安全产品和服务,例如抗DDoS、SLB等。本章覆盖的网络安全设备如图4-2所示。

图4-1 纵深防御体系

图4-2 网络边界安全设备 XKSTuYcjcZ1GKxI49HXuLposzd0JSd0dzWzssZZaGg52OInC8AIPv4chMG+BtL3K

点击中间区域
呼出菜单
上一章
目录
下一章
×