动态安全域保护企业网络的方法

评论：网络安全域是在同一系统中具有相同安全保护需求、相互信任和相同的安全访问控制和边界控制策略的子网或网络。相同的网络安全域共享相同的安全策略。

网络安全域是在同一系统中具有相同安全保护需求、相互信任和相同的安全访问控制和边界控制策略的子网或网络。相同的网络安全域共享相同的安全策略。从广义上讲，网络安全域可以理解为具有相同业务需求和安全需求的IT系统元素的集合。
总的来说，网络安全域可以分为四个部分：本地网络、远程网络、公共网络、合作伙伴的访问。有需要设立一个传统的安全域之间的安全保护防火墙，本地网络域的安全内容包括桌面管理、应用管理、用户账户管理、登录验证管理、文件和打印资源管理、沟通渠道管理、灾难恢复管理和其他安全相关的内容，远程网络域的安全内容的安全的远程用户和网络远程办公接入，公共网络域的安全内容：安全内部U访问互联网和互联网用户访问内部网络服务，合作伙伴访问域的安全内容是：确保企业合作伙伴对网络的访问安全，确保传输的可靠性和数据的真实性和机密性。
一个大的安全域也可以分成小区域，根据内部的不同部分的不同安全需求，在安全域划分，所有计算机应分组第一。当组分，每个组放置在相应的区域，如边界DNS和边界网络，它可以放在边界保护区（即所谓的DMZ区）。为了访问控制更加准确，划分安全域后，我们可以继续在安全域划分若干子安全域，和子安全域不能独立创造。它一定属于一个安全域，和子安全域可以相互重叠。当计算机分组，分为不同的安全区域，每个区域又分为若干个子网，根据分组。安全要求和每个组的设置不同，区域划分，我们可以设计不同的地区通信机制，如交通流量，并拒绝允许通信安全技术的要求，如多端口。如果核心网络通信的公共网络，我们必须通过VPN，我们需要验证的双因素认证（智能卡和密码）。在身份认证之后，我们使用IP秒对通信进行加密。
传统安全域的访问管理
在基于传统安全域的访问控制系统模型中，主要有几个模块：
ID管理模块：用户信息管理模块，提供用户信息的添加、删除和修改功能，对企业网络用户进行集中管理，同时用户可以根据权限对组进行分组，然后使用角色、组和角色来管理特定的用户集；
安全域管理模块：安全域和安全子域信息管理用户分区，用户可以添加、删除和修改安全域和安全域，可以在域访问控制之间配置，如访问安全域时，不能访问安全域B；
访问策略管理模块：管理用户和安全域和子安全域之间的访问控制关系，定义用户何时何地可以访问哪些安全区域。
Web服务管理：为用户提供Web服务、通过Web服务进行用户身份验证、安全域的访问和退出等。
通信平台：主要是通过SSH和telnet配置防火墙来为用户打开指定的ACL访问权限。
检测模块：检测用户PC是否联机，检测方法可以使用ARP、ICMP、桑巴等协议。
在基于传统安全域的访问控制系统中，用户访问网络和访问网络资源的步骤如下：
公牛；零步：用户接入网络，直接访问安全域失败，因为防火墙ACL默认用户访问安全域；
第一步：用户通过Web浏览器访问安全域管理服务器IP或URL；
公牛；第二步：用户进入身份认证页面的身份信息和安全域管理服务器对用户进行认证。如果身份验证成功，用户将继续失败。
第三步：在用户身份验证成功后，安全域管理服务器使用管理员配置的访问策略将用户访问域显示给用户。
第四步，第五步：用户选择登录要访问的安全域，安全域管理服务器通过网络连接将用户域的ACL打开到安全域（或子安全域）。
第六步：用户成功地访问了其登录的安全域；
公牛；第七步：当用户退出安全域，安全域管理服务器将撤销ACL防火墙。同时，如果在线检测模块检测到用户下线或者用户IP的变化，它也将撤销该IP的ACL。
大型企业动态安全域
基于传统安全域的访问控制系统模型是企业网络开发过程中形成的一种通用模式。它已经在中小企业的实施，这是高度专业和广泛分布于大中型企业，但企业在区域和区域和业务高度复杂、高度分散是一个十字架的形状，大量的大型、超大型企业集团，分布式或集中式的分布式部署应用广泛在信息系统中，传统的安全域模型的结构也被广泛复制，总部和分支结构的安全域模型的交叉，与快速扩张的业务人员的变化，加强企业改制或企业，网络和业务网络的边界是模糊的，访问管理模型变得越来越复杂，在安全域或子域安全变化频繁，基于ACL的安全政策控制或扩张，控制复杂性带来的网络管理员面临巨大的工作量和智力上的挑战，大企业开始在2005年初实施安全域，但上述情况的出现，逐渐的安全区改变边界，改变成30多个子域，100，核心交换机的ACL达到1000以上，分离矩阵表的逻辑已经完全不可读。导致安全域划分失败。
安全域的核心是通过一系列规则控制来控制特定的网络组按照指定的规则访问指定的组关系。其集团需要子网或网络相同的安全访问控制和边界控制策略。传统的模式更容易实现集中部署在一个单一的结构，群体中的成员的重量和责任的变化一般需要调整到相应的规则。假定组成员和子域调整和划分子网的动态调整可以实现基于传统复杂的安全域结构动态调整的动态变化，从而实现基于传统安全域模型结构。
在基于动态安全域的访问控制系统中，用户访问网络和访问网络资源的步骤如下：
公牛；第零步：用户接入网络并不能直接访问安全域，因为强制装置不通知接入开关打开网络端口，默认的用户访问隔离域使身份申请。
第一步：用户身份认证成功，强制设备打开访问端口，进行安全性检查，默认访问隔离域B，达到安全合规性改善。
第二：遵从性检查被传递，用户从隔离域B提取到公共访问域。
公牛；第三步：用户身份信息发送给安全域管理服务器，安全域管理服务器访问服务域控制器，和服务的域控制器将用户的安全域列表从人力资源数据库，责任和责任矩阵同步列表，并通知用户。
第四步：用户选择登录到他们想要访问的服务。安全域控制器根据安全域列表通知网络控制区域服务器，并且网络管理控制器通知网络交换域。
公牛；第五步：网络交换域生成控制列表，生成VLAN和VCL的组合，通知开关器件，并生成访问域控制隔离通道。
第六个步骤：服务控制服务器告诉相应的安全域通过交换域来匹配相应的权力和责任。
第七个步骤：用户访问所需的安全域服务；
公牛；第八步：当用户退出安全域，安全域管理服务器将发送VLAN ACL撤销用户交流。同时，如果在线检测模块检测到用户或用户当危险线的非法操作或IP-MAC的变化，会通知交换域其身份发出的IP撤销、VLAN和ACL，是孤立的；如果在线检测模块检测高风险的攻击性或破坏性的操作通知撤销交换域这身份发出的IP用户，VLAN，ACL，同时避免关闭端口的入侵。
安全域是基于网络和系统进行安全域划分的安全性检测与评价是一种有效的企业网络渗透的保护模式，边界点是抑制灾难发生时，在安全域是基于的基础部建设部网络和系统的安全性。基于传统的安全域，动态安全域的动态结合的网络成员的责任和安全域和子网，并将网络动态访问用户的权利和责任矩阵成为有效的管理和控制手段的大型或超大型企业网络。当然，以上安全域在管理系统也有需要改进的地方，如网络设备的动态控制。由于不同的网络设备制造商的订单处理是非常复杂的，这种模式有一个更高的要求，网络设备，两或大量的网络设备和网络控制发展的一致性，在同一一次，一个长周期的复杂框架的实现面临高成本等问题，主要原因是现在还没有这方面的行业或企业标准。然而，随着网络安全技术的进一步发展，这一问题有望得到改善。