随着关键业务对
网络依
的资金和精力。一种流行的
数据流阻挡在企业
网络的大
赖程度地日益增强,企业IT部门
方法是在
网络边缘上部署防火墙
门之外。
必须在保护
网络安全方面投入更多
,将来自攻击者的端口扫描和恶意
尽管边缘防火墙是实现
击(来自
网络内部的攻击可
无能为力。对于用户来说,
及整个
网络。
网络安全的不可缺少的工具,但
能是心怀不满的员工、物理安全
仅仅在
网络边缘部署防火墙,一
是它们对于阻止来自
网络内部的攻
事故或者利用WLAN发起的攻击)却
次故障或一次错误的配置就可能危
化解这些风险,企业网
网络安全的一种有效途径是
网络资源进行访问输入和输
的ACL可以帮助用户有效减
络需要实施分层次的安全战略,
在
网络中的路由器或交换机上使
出控制,确保
网络设备不被非法
少安全风险。
即所谓的“纵深防御”。目前实现
用访问控制列表(ACL)。ACL通过对
访问或被用作攻击跳板。使用适当
ACL的工作原理
ACL是一张规则表,路由器或交换机
进入接口的数据包。每条规则根据数据包
拒绝数据包通过。由于规则是按照一定顺
不允许什么样的数据包通过
网络至关重要
等
网络设备按照顺序执行这些规则,并且处理每一个
的属性(如源地址、目的地址和协议)要么允许、要么
序处理的,因此每条规则的相对位置对于确定允许和
。
虽然ACL是提高安全性的有效手段,
甚至完全没有利用ACL。出现这种情况,
,错误的ACL会造成长时间的停机和业务
就会出现以下问题:
但是目前许多用户并没有充分地利用ACL,一些用户
主要是因为正确管理和维护
网络设备的ACL十分困难
损失。当访问控制规则添加到路由器或交换机上时,
1、ACL冗长而复杂,并且缺少确定添加或修改某些ACL的信息。
2、ACL的变化没有被定期监测或控制,导致有关各方很少关注和交流ACL的变化。
3、由于ACL长度和复杂性不断增加,停机时间和故障风险也会随之增加。
4、ACL缺少专人负责,多数企业用户没有将ACL交给专门工程师去处理。
为解决这些问题,公司
行。如果不执行,最好的安
需要采取合适的流程控制,而这
全政策和程序也会毫无用处,还
种控制必须在基础层面上被有效执
会造成安全的假象。
ACL可以做些什么
以下是几种帮助用户利用ACL化解风险的技术机制。
实时变化通知:不管何时
网络设备的
IT工程师必须掌握哪些设备发生了变化以
改正问题,从而最终减少
网络停机时间。
ACL发生了变化,都必须及时通知相应的管理人员。
及它们是如何修改的,只有这样才可以迅速地确定和
对规则变化进行注解:
细注解每一条规则。保留每
工程师必须了解增加每条ACL规
条ACL规则的详细信息,以减少
则的原因。成功的ACL设置需要详
日后
搜索ACL资源所用的时间。
审计跟踪:由于ACL存
责跟踪ACL的变化。
在的问题在于缺少专职负责ACL
的工程师,所以企业应该派专人负
日志分析:任何一位安
据。任何技术执行机制不仅
历史知识库中,以满足日后
络设备配置提供同样保存历
全专家都会建议用户必须为安全
生成记录修改
网络设备ACL的日
的追踪分析要求。如果这种执行
史资料的能力,就更好了。
事件保留适当的追踪信息和历史数
志,而且还必须将这些日志保存在
机制不仅为ACL,还能为所有的网
ACL作为一种提高安全性的有效工具
可以帮助企业在节省费用的同时提高安全
,应当被经常使用。在ACL管理控制技术帮助下,ACL
性。
减小字体
增大字体