一種基于安全邊界的數字網絡訪問方法探析

鐘掖 衛薇 趙威揚

摘 要：隨著時代的發展以及信息技術的不斷更新，電子科技技術雖然改善了人們的生活和推動了社會的發展，但是現今新聞報道中各種犯罪事件已經屢見不鮮，所以科技技術的不斷發展，其也給犯罪分子帶來了可乘之機，這樣就會造成較大的經濟損失，所以網絡邊界安全問題已經日益突出。本文主要基于安全邊界對數字網絡的訪問方法進行分析，以期能夠創造安全的網絡環境。

關鍵詞：安全邊界;數字網絡;訪問;方法探析

中圖分類號：TP393 文獻標識碼：A 文章編號：1671-2064（2019）22-0028-02

隨著科學技術的不斷發展，社會也進入了互聯網時代，在其給人們帶來便利的同時，各種網絡安全問題也接踵而至，所以采用一定的方法對其進行控制也是十分重要的，這樣能夠創造一個安全的網絡環境。本文主要為數字網絡訪問的方法進行分析探討，以安全邊界為基礎，結合實際的網絡情況，對其進行探析。

1 安全邊界防護要求

對網絡邊界進行安全防護是保護其不受外界以外的網絡攻擊，同時也防止相關人員使用內部網絡對外部網絡進行攻擊和破壞。當出現網絡安全事故的時候，相關工作人員可根據日志檢測到的攻擊行為對攻擊事件進行分析。網絡邊界作為公司信息外網與互聯網之間的橫向邊界，對其進行安全防護主要從訪問控制、準入認證、惡意代碼防護及終端加固這幾方面入手，同時也應對網絡通道及終端安全措施進行加強[1]。

訪問控制：網絡邊界應部署相應的安全防護設備對網絡訪問進行限制，可根據實際需求強化控制設備的訪問列表，只允許特定的防護設備與IP地址進行數據交換，同時也應對服務器的網絡行為進行規范與控制，使得訪問的更加安全。

準入認證：當需要進行遠程連接的時候，可采用虛擬網等方式進行遠程連接，同時在進行虛擬連接的時候應該對用戶的身份進行確認，除了有常規的用戶名及密碼這樣的方式外，還可以使用RADIUS及數字簽名這樣的服務從而使得遠程服務更加安全。同時在進行遠程連接的時候可增加用戶名及密碼的復雜程度，從而避免出現弱口令的現象。

惡意代碼防護：采用入侵檢測/防御系統對邊界的流量進行入侵檢測，其主要是對攻擊行為進行檢測，其中包括惡意代碼類、漏洞利用類、Web類攻擊等，當檢測到攻擊之后，入侵檢測/防御系統根據警報級別對入侵事件進行警告以及在警告后切斷入侵行為。同時其也應對安全事件的事件動作、發生時間及IP信息等進行記錄，這樣更方便工作人員的審計工作。安全防護的設備日志只有管理員能進行查看，應對查看的用戶權限進行設置。

網絡通道：當內部人員未使用統一出口對外部網絡進行訪問，如私自搭建無線網絡用到使用內主網主機進行外部網絡的訪問，這樣就會對內部網絡的安全造成影響，這樣對互聯網的防護而言毫無意義，而外界攻擊者也可以通過無線網絡通道對其進行網絡攻擊。所以提升員工的網絡安全意識，禁止繞過公司同一網絡邊界搭建網絡通道這是十分重要的[2]。

2 常用的安全防護設備

網絡安全問題越來越受人們的重視，所以保護網絡安全的防護設備也越來越多，不同的安全防護設備會對不同的網絡威脅起到防護的作用，下面對安全防護設備及其部署方式進行分析。

2.1 防火墻

其主要是用在兩個要求不同的安全區域之間，從而對網絡進行安全防護，避免出現外部攻擊者入侵、攻擊以及惡意探測的行為。防火墻的主要功能有：防止IP地址欺騙、對流經防火墻的網絡進行控制;防止外部攻擊者窺探網絡細節。但是防火墻的自身具有一定的局限性，其并不能阻止繞過防火墻的攻擊以及對內部威脅進行防止。

2.2 入侵檢測系統

其主要是對網絡流量的信息進行收集和分析，從而發現其中存在的攻擊行為及疑似攻擊行為。入侵檢測系統的主要功能可包括：檢測系統漏洞、對網絡流量進行分析。根據設備開啟的規則對攻擊行為進行判斷，對用戶的行為進行識別，若識別出其存在攻擊行為應作出反應或警告。但是入侵檢測系統若是用戶不參與則無法進行檢測。

入侵檢測系統的功能及目標存在不同，所以其網絡部署也是不相同的。入侵檢測系統通常通過在網絡關鍵位置的路由器、交換機等設備上設置鏡像端口。其可以部署在DMZ的總出口處，因為其在DMZ出口處的時候可以檢測到外界用戶對DMZ的攻擊行為。

2.3 入侵防御系統

其能夠智能、主動的檢測到外界的入侵，并對其進行阻止，當發現存在攻擊行為或疑似攻擊行為的時候，可對其進行阻止。入侵防御系統與入侵檢測系統不同的是其不但能夠檢測到入侵行為，還能通過一定的方式終止入侵行為。

在部署方面，其主要是采用In-line的透明模式接入到網絡中，而正是由于其可以以嵌入式的方式接入到網絡中，所以其極有可能或造成單點故障或網絡瓶頸問題。

2.4 Web應用防火墻

其主要是對網絡掛馬、跨站腳本、注入等常見攻擊進行防護，使得網絡免遭其攻擊，其往往位于服務器和客戶端之間，通過URL過濾技術、協議分析等技術手段，對客戶端的請求進行檢測和驗證，從而對網絡流量的安全進行確保，若是發現不安全或具有危險的請求可及時將其阻斷。

由于網絡應用的需求不同，所以在部署Web應用防火墻的時候，其部署方式也是不相同的，可包括旁路監控部署方式、路由器部署及透明部署方式這三種。不同的部署方式其有著不同的優點。旁路監控部署方式的優點是對網絡的影響較小，但是服務器并無法對流量源的地址進行獲取。路由器部署方式的安全防護程度最高。透明部署方式的特點是快速、簡單。

3 網絡安全的現狀

為滿足網絡安全的需求，不同的地區都會配置符合本地區的邊界安全設備，但是往往這些設備品牌較多，并且數量較大，所以往往都會存在以下幾方面的問題。

3.1 設備差異化

由于配備的設備具有一定的差異化，所以使得設備的后期維修等問題難以進行，這就加大了相關人員的管理力度，使得運維的工作效率降低。

3.2 防火墻使用策略不正確

當采用防火墻進行安全防護的時候，由于各安全區域的防火墻其一直采用“加法”的安全策略，所以無法對當前策略的冗余性及有效性進行判斷。

3.3 網絡權限存在問題

若是公司的業務集中之后，往往都會出現頻繁更換網絡權限的情況，從而使得對資料的管理較難，所以若想很好的進行安全防護，應對網絡權限的管理流程進行完善。

4 網絡安全防護步驟

4.1 對邊界進行調整合并

進行邏輯調整合并：通常是指對現行系統的單個邏輯邊界進行整合，以期能夠通過邊界調整使系統保持較高的條理性和完整性。在系統中極有可能存在一些特定區域，在對這類區域進行調整合并的時候應根據實際要求，對邊界進行處理，使其能夠有機結合。安全區域的交互網絡與專線、互聯網和內網的邊界為網絡邊界，其是安全與較重要的邊界。

物理整合調整：進行物理整合，也就是對系統或多個系統及相應的安全域進行物理方面的整合，主要是通過有效的物理層面的整合，使得網絡體系的安全等級得到提升，同時也更加方便對整個體系的管理工作，從而避免出現網絡危害。在實際的工作中往往都會出現資源浪費的情況，這種情況對系統的整體安全都會造成一定的影響，例如在系統正常運行的時候，若是存在多個內部節點與外部網絡相連通的情況，但是連通的端口不同，這樣則需要外部的端口進行連接，這樣不僅會增加工作量，對系統的安全也會造成一定的影響。對于這樣的情況應及時對端口進行合并，將各種類型的端口統一，并將使用系統設備的端口也進行統一。通過將同一類型安全域的不同系統進行合并，這樣能夠使得端口的投資費用降低，通過整合之后也能使得安全域集合在一起，這樣更方便工作人員在接下來的操作。

4.2 安全防護

邊界防護：對安全域進行防護可根據其等級和邊界特點進行保護，不同的等級采取的安全防護策略也是不同的。若是維護域存在安全防護需求的時候，應該加強審計和認證，并嚴格遵守配置標準，采取相應的安全工具。例如：口令管理、防病毒系統等。另外對邊界進行安全防護的時候也因對終端進行安全管理。

檢測與預防相結合：互聯網技術的不斷發展，網絡病毒的侵入不僅有著速度快的特點，其潛伏周期也較長，所以為了能夠更好地對網絡安全進行防護，應在系統中設置防火墻，而由于病毒的更新速度較快，所以在設置防火墻的時候其更新速度也應較快。另外病毒的潛伏周期較長，一旦觸發源啟動，病毒就會立即啟動，從而對系統造成一定的威脅。所以在進行安全防護的時候應對系統自身進行檢查，將所有病毒清除，做到從根源上預防。

5 安全防護方案

為了保證互聯網的安全性，在信息外網與互聯網之間應該部署相應的安全設備從而滿足網絡防護的需求。但是安全設備的部署會對網絡造成一定的影響，所以應在網絡安全與網絡性能之間進行考慮，從而找出適合的方案?；ヂ摼W的安全防護方案如表1所示。

從上表可以看出，防火墻+入侵檢測系統/入侵防御系統與防火墻+Web應用防火墻這種方法過于簡單，并且無法滿足網絡需求。而防火墻+網絡入侵防御+Web應用防火墻+網頁篡改的防護效果較高，但是會對網絡性能造成較大的影響。對網絡進行安全部署應該根據實際情況，選擇合理的防護方案。

6 結語

基于安全邊界進行網絡訪問，能夠使得網絡環境越來越清晰與安全，并在實際的工作中，積累經驗以及對相關數據進行分析，從而對安全策略體系不斷完善，為網絡安全環境提供保證，最終實現網絡安全。

參考文獻

[1] 宋曉琴.維護網絡意識形態安全的路徑[J].傳媒論壇，2019（20）：3+5.

[2] 程愷.云計算下網絡安全技術的現狀與對策[J/OL].電子技術與軟件工程，2019（19）：185.