4、 不同的区域就是网段配置不同的五大安全部件,在防火墙、防毒墙、身份验证、传输加密、IDS/IPS几个方面区别配置来适应不同区域的具体要求。
以上就是分区域防守思想,我们在具体实施之后发现网络安全有以下几点可喜的变化:
1、校园整体网络安全有所提高,不同区域的网络安全由具体人负责,责任到人,相关网络安全问题可以快速解决。
2、因为专业人员的方向不同,负责不同区域的防守个人的专业特长有所体现,处理问题得心应手。
3、在出现安全问题时可以轻松做到尽量减少损失。在损失掉一个区域之后其他区域仍有很强的安全性,以往整个网络同时出现一种安全问题的现象基本杜绝。
4、成立了安全委员会后,负责不同防守任务的人员互通情况相互促进学校安全人员的技能和素质有很大的提高。
但是,简单的靠IP分段会存在许多功能问题。而且由于IP的人为可设置性使得网络存在很大的安全隐患。所以在此基础上学校更换了主交换机和子交换机。使用了主三层交换设备和可配置VLAN的子交换设备和高性能路由器。这样使得我们的分网段实施“壁垒”的思想可以更方便地实现。分网段实施“壁垒”的思想是分区域防守的有利保证,从硬件方面增强了分区域防守的力度。
分网段增强网段“壁垒”的思想较为简单,为了让大家更好理解,在此作简单的阐述。
1、把原来的按地理情况分网段改按功能分网段,在设备的支持下改以物理连接控制为逻辑连接控制。
2、利用设备所能提供的三层交换和VLAN功能加强防火墙实力。
3、改IDS为IPS从根本上可以预防攻击的来临,同时启用设备自带的安全功能加强安全防护。
寻求主动优势
以上就是分网段加强壁垒的思想。在人员得到锻炼从而增强自身技术实力和硬件设备得到加强的基础上,我们对学校校园网的安全做了更大胆的改进。我们变被动防守为主动防守,在相关法律的允许下学校做了大量尝试。
首先,学校建立了自由网络攻击区域对学生们开放,学生可以自由对此区域的机器发起攻击,使得学生们有了攻击的目标。既锻炼了学生们的攻防能力又减少了校园网的内部攻击,一举两得。
其次,学校建立了诱攻区,转移来自外网对学校主服务器的攻击方向。通过改变主服务器的配置,使得来自网外针对服务器的攻击转入诱攻区。
