設計網(wǎng)絡安全策略

網(wǎng)絡安全策略主要包括訪問控制策略、流量檢測策略、安全審計策略、遠程接人策略和冗余策略五個方面，根據(jù)信息系統(tǒng)業(yè)務特點和安全目標，正確使用和配置這些安全策略是網(wǎng)絡安全規(guī)劃的關鍵工作。

1)訪問控制策略

不同安全級別的網(wǎng)絡相連，產(chǎn)生了網(wǎng)絡邊界。防止來自網(wǎng)絡外界的入侵就要在網(wǎng)絡邊界上建立可靠的安全訪問控制措施。

網(wǎng)絡邊界安全訪問策略為：允許高安全級別的安全域訪問低級別的安全域，限制低級別的安全域訪問高級別的安全域，在不同安全域內部分區(qū)進行安全防護。規(guī)劃部署網(wǎng)絡安全訪問控制設備，要求設計設備的具體部署位置和控制措施，維護安全區(qū)域內部的安全管理策略。常見措施包括設計VLAN、劃分網(wǎng)段、部署防火墻、IP地址與MAC地址綁定等。

其中，虛擬局域網(wǎng)( Virtual Local Area Network，VLAN)是一種劃分互相隔離子網(wǎng)的技術。通過VLAN隔離技術，可以把一個網(wǎng)絡系統(tǒng)中眾多的網(wǎng)絡設備邏輯地分成若干個虛擬工作組，組和組之間的網(wǎng)絡設備在第二層網(wǎng)絡上相互隔離，形成不同的安全區(qū)域，同時將廣播流量限制在不同的廣播域。防火墻是進行網(wǎng)絡區(qū)域邏輯隔離的一種常用系統(tǒng)，它可在不同安全等級的網(wǎng)絡區(qū)域之間建立起一個安全網(wǎng)關，對兩個網(wǎng)絡之間的通信進行控制，從而保護網(wǎng)絡免受非法用戶的侵入。

根據(jù)用戶安全要求，在網(wǎng)絡安全域的邊界部署不同的安全設備，配置不同的安全策略， 可以構成不同級別的邊界防護機制，下面給出一些常見的配置模式供參考。

◇簡單安全防護。采用簡單的邊界防護機制，如基本的登錄、連接和訪問控制機制，

實現(xiàn)信息系統(tǒng)邊界安全防護，可以通過在路由器或者交換機上劃分網(wǎng)段、設置VLAN來實現(xiàn)。

◇較嚴格安全防護。采用較嚴格的安全防護機制，如較嚴格的登錄、連接和訪問控制機制，可在網(wǎng)段劃分、虛擬局域網(wǎng)劃分的基礎上，通過部署防火墻、網(wǎng)關等來實現(xiàn)。

◇嚴格安全防護。采用嚴格的安全防護機制，如嚴格的登錄、連接和訪問控制機制，

可通過部署安全性較高的防火墻、入侵防御、信息過濾和網(wǎng)閘等設備，并結合縱深網(wǎng)絡區(qū)域設置策略、嚴格訪問控制許可策略來進行保護。

◇特別安全防護。采用當前最先進的邊界防護技術，必要時可以采用物理隔離安全機制，滿足高安全要求的邊界安全防護。