【51CTO.com 原創(chuàng)】各位好!想必各位看官通過“圍觀”廉哥的前兩篇漫談，已經(jīng)慢慢開始抽絲剝繭，漸入佳境了。8過，套用Amazon老板貝索斯的一句話：“It's still day one."或者說“萬里長征才都第一步!”讓我們繼續(xù)由老driver帶信息安全路，新手童鞋們請快上車吧。

[[170512]]

1. 應(yīng)用網(wǎng)閘設(shè)計

前文我們提到：各個企業(yè)特別是在線交易型企業(yè)本著“出名就乘早”的宗旨，紛紛上馬O2O型互聯(lián)網(wǎng)創(chuàng)新系統(tǒng)，而且是一副“根本停不下來”的樣子?？墒抢硇缘木W(wǎng)絡(luò)架構(gòu)師們應(yīng)該冷靜的考慮到數(shù)據(jù)流是通過架設(shè)在外網(wǎng)的門戶網(wǎng)站，然后再傳遞并導(dǎo)入到內(nèi)網(wǎng)數(shù)據(jù)庫中。這就涉及到了信息從非信任網(wǎng)絡(luò)向信任網(wǎng)絡(luò)的單向流入。根據(jù)現(xiàn)有合規(guī)的要求，就算企業(yè)總裁多么霸道，也有責(zé)任和義務(wù)保證客戶資料的CIA“機密性，完整性和未篡改性”，因此本人設(shè)計了在導(dǎo)入的路徑上架設(shè)應(yīng)用網(wǎng)閘(GAP)。

GAP的專用隔離交換單元受硬件電路控制高速切換，在任一瞬間僅連接內(nèi)網(wǎng)或外網(wǎng)之一,并與之進行數(shù)據(jù)交換。外部數(shù)據(jù)到達GAP后，斷開鏈路層并切斷所有的TCP連接，GAP對應(yīng)用層的數(shù)據(jù)按安全策略進行安全檢查，因此能夠保證數(shù)據(jù)的安全性并防止未知病毒的感染破壞;掃描完成后再將其轉(zhuǎn)移到內(nèi)網(wǎng)數(shù)據(jù)庫中。通過GAP的信息擺渡保證了即使某個低安全級別區(qū)域出現(xiàn)了安全問題，其他安全域也不會受到影響。另外，由于GAP工作在硬件鏈路層上，切斷了所有TCP、UDP、ICMP等各類協(xié)議的連接，因此它有效的阻斷了例如基于TCP的木馬以及未知的攻擊。

從個人的設(shè)計和實施經(jīng)驗來看，使用此類產(chǎn)品的企業(yè)并不多，一般僅限于對網(wǎng)絡(luò)安全和保密較高的電子政務(wù)、涉密等保、業(yè)務(wù)與辦公內(nèi)網(wǎng)等場合。說白了“安全第一、成本第二”的壕們。

2. 遠程訪問與維護設(shè)計

雖然在我們這個正在崛起的國度里，苦逼員工們熬夜加班已是各個行業(yè)常態(tài)，但隨著移動辦公和辦公消費電子化的普及，這終將被“隨時、隨地、片段、分散”的處理工作方式所取代。因此遠程接入的SSL VPN設(shè)備是網(wǎng)絡(luò)系統(tǒng)中必不可少的“重炮手”。在拓撲結(jié)構(gòu)上SSL VPN的部署一般采用旁路部署方式，將其直接與三層交換機組相連接。這樣便可在不改變原有網(wǎng)絡(luò)主體架構(gòu)的狀況下實現(xiàn)遠程訪問。SSL VPN設(shè)備使用基于應(yīng)用層的SSL VPN協(xié)議進行數(shù)據(jù)加密處理，在客戶終端與SSL 設(shè)備之間構(gòu)建一條專有的安全通道。在SSL VPN設(shè)備上，通過“角色”的定義與設(shè)置，可以“細粒度”的進行用戶、用戶組與應(yīng)用資源的綁定。

本人之所以在各種VPN協(xié)議中選中SSL VPN，是因為SSL 內(nèi)嵌在瀏覽器中，它不需要像傳統(tǒng)IPSec VPN那樣必須為每一臺客戶機安裝客戶端軟件。因此用戶只要通過其終端上的瀏覽器訪問SSL VPN服務(wù)器所對應(yīng)的網(wǎng)址(一般是以https形式出現(xiàn))便可。這一點對于用戶終端類型千差萬別，且需要與公司機密信息相連接的用戶來說是至關(guān)重要的。免去了無IT協(xié)助時遠程客戶端安裝程序和配置的麻煩，實現(xiàn)了“零客戶端”的架構(gòu)。在運維方面，SSL VPN的應(yīng)用模式也給IT部門人員提供了遠程維護的便利通道，使之問題響應(yīng)速度更迅捷，從而大幅提高整體工作效率，并節(jié)約人員來往的成本。

那么問題來了，也許你要弱弱的問，是不是IPSec VPN一無是處，可以退休去開轟趴了?非也!IPSec VPN在Site-Site的連接，比如說總部和分支機構(gòu)，各個零售站點等網(wǎng)絡(luò)層面的連接有先天優(yōu)勢。由于IPsec VPN是基于網(wǎng)絡(luò)層的VPN，它對所有的IP應(yīng)用均透明，不需改寫。只不過IPSec客戶端需要支持“NAT穿透”功能才能穿透Firewall，而且需要Firewall打開UDP500端口。

3. 行為管理審計設(shè)計

隨著各大外企遵從各種行業(yè)法案的示范作用，不少國內(nèi)企業(yè)也與時俱進加強了對內(nèi)審和外審的重視程度。從耳濡目染的信息安全事件中，各個企業(yè)已經(jīng)領(lǐng)悟到對所持資料的機密性非常重要，同時也有相關(guān)規(guī)范的制約和定期的審計要求。因此在防御從外到內(nèi)諸如病毒、黑客入侵、垃圾郵件的同時，本人的網(wǎng)絡(luò)設(shè)計也考慮到了從內(nèi)到外諸如審計、監(jiān)控、訪問跟蹤、操作記錄等問題，從而保證內(nèi)部辦公網(wǎng)絡(luò)的統(tǒng)一管理、資源的合理利用、信息資產(chǎn)的不被泄漏，杜絕對不良網(wǎng)站和危險資源的訪問，防止P2P之類軟件的安全風(fēng)險。在物理連接上本人選擇將行為管理設(shè)備直接與三層交換機組以旁路的方式相連接，在交換機上配置鏡像口將數(shù)據(jù)發(fā)送給上網(wǎng)行為管理。

另外，對于普遍只重視企業(yè)一般用戶行為管理的情況，本人在設(shè)計中要求該設(shè)備將維護人員也納入管理審計范圍中。通過對服務(wù)器或網(wǎng)絡(luò)、安全設(shè)備的運行日志進行精細化的管理，和對運維人員的各類操作進行記錄甚至是錄屏，以滿足律所嚴格的合規(guī)相關(guān)要求。在發(fā)生意外時，對運維人員的過往操作實現(xiàn)有據(jù)可查。

和大家聊到這里，基本上企業(yè)網(wǎng)絡(luò)的接入和主題架構(gòu)里的硬件設(shè)計都給大家展示了。熱心的觀眾如果有問道：異常流量清洗，甚至是負載均衡設(shè)備要不要加?我的建議很簡單，如果還有預(yù)算，then why not?所以說在不破壞原有架構(gòu)和功能運作的條件下，各種安全設(shè)備總是要有的，萬一某個正好成功阻止了攻擊呢?另外，騷年!要學(xué)會風(fēng)險轉(zhuǎn)接!你懂的!不要到出事了，再被老板給你color see see!關(guān)于信息系統(tǒng)的Wind Control(風(fēng)控，我英語不好，你們別騙我!)我們會在后面的章節(jié)詳解，咱不要一次聊那么多，產(chǎn)生“身體背掏空的感覺”嘛。

【51CTO.com 原創(chuàng)稿件，轉(zhuǎn)載請注明作者及出處。】