「Network」- 园区网络安全,Campus Netwrok Security

  CREATED BY JENKINSBOT

园区边界:
通过防火墙实现不同安全区域之间的划分及业务隔离、安全管控。
通过Anti-DDoS设备抵御DDoS攻击。
通过IPS设备进行入侵检测及安全态势感知。

核心层、汇聚层:
对不同的业务进行隔离部署、互访流量管控。
按需部署网络准入控制。
部署设备本机防攻击,提高设备抗攻击能力。

接入层
建议开启广播风暴控制、DHCP Snooping、IPSG、DAI等安全功能,建议部署端口隔离,加强用户通信安全。
部署网络准入控制,对接入园区的用户的身份或终端进行认证,并根据结果授予网络访问权限。
部署无线空口安全及无线业务安全。

基于防火墙的安全区域划分及安全策略

防火墙是针对区域来实施安全策略的,控制区域间的互访。

安全区域(Security Zone),或者简称为区域(Zone),是一个安全的概念,大部分的安全策略都基于安全区域实施。
一个安全区域是防火墙若干接口所连网络的集合,这些网络中的用户具有相同的安全属性。
将企业员工网络、公司服务器网络、外部网络划分到不同安全区域,对安全区域间的流量进行检测和保护。

在一台防火墙上不允许创建两个相同安全级别(Priority)的安全区域;
防火墙的接口必须加入一个安全区域,否则不能正常转发流量。
防火墙的一个接口只能属于一个安全区域。
防火墙的一个安全区域可以拥有多个接口。
系统自带的缺省安全区域不能删除,用户可以根据实际需求创建自定义的安全区域。

防火墙双机热备概述

防火墙部署在网络出口位置时,如果发生故障会影响到整网业务。需提升网络的可靠性。
部署多台防火墙可提升可靠性,需保证设备切换过程中的业务连续性。
1)部署两台FW并组成双机热备。
2)双机热备需要两台硬件和软件配置均相同的FW。
3)两台FW之间通过一条独立的链路连接,这条链路通常被称之为“心跳线”。两台FW通过心跳线了解对端的健康状况,向对端备份配置和表项(如会话表、IPSec SA等)。
4)当一台FW出现故障时,业务流量能平滑地切换到另台设备上处理,使业务不中断。

网络地址转换(NAT)

内网用户(采用私网IP地址)需访问Internet,需对其源IP地址进行转换,转换为公网IP地址。

外网用户需访问采用私网IP地址的服务器(例如WEB服务器) ⇒ 作为辅助手段,避免服务器整个暴露在公网。