摘要:网络安全域是指同一系统内有相同的安全保护需求、相互信任,并具有相同的安全访问控制和边界控制策略的子网或网络,相同的网络安全域共享一样的安全策略。网络安全域从广义上可理解为具有相同业务要求和安全要求的IT系统要素的集合。 |
一个大的安全域还可根据内部不同部分的不同安全需求,再划分为很多小的区域。一般在划分安全域之前,还应先把所有的计算机进行分组。分好组后,再把各个组放到相应的区域中去,如边界DNS和边界Web,都可放到边界防护区域(即所谓的DMZ区域)中去。为了更为细粒度地对网络进行访问控制,在划分安全域后,可以继续在安全域下划分若干子安全域,子安全域不能单独创建,必须属于某个安全域,子安全域之间可以互相重叠。计算机分组并划分到不同的安全区域中后,每个区域再根据分组划分为几个子网。每个组的安全性要求和设置是不一样的。区域划分后,就可设计不同区域间的通信机制,如允许和拒绝的通信流量、通信安全要求以及技术、端口开禁等。如公网到核心网通信,必须通过VPN,并且要通过双因子验证(需要智能卡、口令)进行身份验证,身份合法后再采用IP Sec进行加密通信。
传统安全域的访问管理
在基于传统安全域的访问控制体系模型中,有以下几个主要模块:
ID管理模块:用户信息管理模块,提供用户信息的添加、删除和修改等功能,集中管理企业网络中的用户,同时,可以将用户按权限进行分组、分角色,进而利用组和角色对特定用户集合进行管理;
安全域管理模块:管理用户划分的安全域和子安全域信息,用户可以添加、删除和修改安全域以及子安全域,可以配置安全域之间的访问控制关系,比如在访问安全域a的时候,不能同时访问安全域B等;
访问策略管理模块:管理用户与安全域、子安全域之间的访问控制关系,定义用户在什么时间、什么地点可以访问哪些安全域等;
Web服务管理:为用户提供Web服务,用户通过Web服务进行身份认证以及安全域的访问和退出等;
通信平台:主要是通过SSH、Telnet对防火墙进行配置,为用户打开指定的ACL访问;
探测模块:探测用户PC是否在线,探测方式可以采用ARP、ICMP、SAMBA等协议。
在基于传统安全域的访问控制体系下,用户接入网络、访问网络资源的步骤如下:
第1步:用户接入网络,直接访问安全域失败,因为防火墙ACL默认禁止用户访问此安全域;
第2步:用户通过Web浏览器访问安全域管理服务器IP或URL;
第3步:用户在身份认证页面输入身份信息,安全域管理服务器对用户进行认证,认证成功则继续,认证失败需重新认证;
第4步:用户认证成功后,安全域管理服务器利用管理员配置的访问策略将用户可访问域显示给用户;
第5步:用户选择登录其要访问的安全域,安全域管理服务器通过网络连接开启用户PC对安全域(或子安全域)的ACL;
第6步:用户成功访问其登录的安全域;
第7步:当用户退出安全域后,安全域管理服务器将下发给防火墙的ACL撤销。同时,如果在线探测模块探测到用户下线或者用户IP-MAC发生改变的时候,也会撤销其为此IP下发的ACL。