以前面试的时候遇到过的一个面试题,我会选择按照先网络层面再到控制层面进行回答。
解决思路
- 设置防火墙,实现网络访问控制
这第一个肯定就是想到防火墙了,因为防火墙可以根据预设的规则对网络流量进行过滤,阻止未授权的流量进入内网。因此可以考虑:
- 使用ACL进行严格的正向访问控制
- 启用防火墙的入侵检测和阻断功能
- 使用VLAN进行逻辑隔离
第二个想到的就是通过 VLAN 来进行逻辑隔离,由于 VLAN是在物理网络的基础上,通过逻辑划分,将不同类型或不同安全级别的设备或用户隔离开来。VLAN可以通过交换机的VLAN功能来实现。
- 分离外部访问网络和内部局域网
- 禁止VLAN间非授权路由
- 部署NAT,隐藏内网IP地址
这第三个就是通过 NAT 将内网的私有IP地址转换为公网的IP地址,从而实现外网无法直接访问内网。
- 加强认证和加密机制
上面网络层面的已经基本完成配置,下面就是要加强访问控制了。这里可以通过 VPN 建立一个安全的隧道,将内网和外网连接起来,从而实现外网用户对内网资源的安全访问。
- VPN、IPSec等技术保证安全访问
- 访问控制均可被审计,确保授权访问
- 监控网络流量
最后就是监控网络流量,发现问题应及时调整安全策略。
- IDS/IPS监测异常流量和攻击
- 日志审计和管理
解决方案
如果要选择“一体成型”的解决方案的话,我会选用华为的解决方案(因为比较熟悉)
- 使用华为防火墙 USG6000V 来进行严格的访问控制策略设置;
- 部署华为 CloudEngine 交换机,利用 VXLAN 等技术进行内外网的逻辑隔离;
- 使用华为 HiSecEngine USG6500F-DL 系列 All-in-One 智能安全网关实现内外网资源的安全访问和加密传输;
- 在核心区域部署华为 USG6000V 防火墙中的 IPS 功能,进行入侵检测;
- 通过华为 eSight 网络空间分析系统进行流量分析,检测异常流量;
- 结合华为 AC 解决方案可以对用户和设备进行细粒度的访问控制,从而防止未授权的访问;
- 采用华为 DAS1500 系列数据库审计系统可以对数据库访问进行审计,并提供防护措施,从而防止数据库被攻击;
- 部署华为终端防护和应用安全解决方案,防止目标攻击的终端渗透;
- 使用华为私有云解决方案中的加密功能保护关键数据;
- 通过安全培训和业务连续性管理提高安全运营水平;