動態安全域保護企業網

安危與共安全域

網絡安全域是指同一系統內有相同的安全保護需求、相互信任，并具有相同的安全訪問控制和邊界控制策略的子網或網絡，相同的網絡安全域共享一樣的安全策略。網絡安全域從廣義上可理解為具有相同業務要求和安全要求的IT系統要素的集合。

網絡安全域從大的方面一般可劃分為四個部分：本地網絡、遠程網絡、公共網絡、伙伴訪問。傳統的安全域之間需要設置防火墻以進行安全保護。本地網絡域的安全內容有：桌面管理、應用程序管理、用戶賬號管理、登錄驗證管理、文件和打印資源管理、通信通道管理以及災難恢復管理等與安全相關的內容。遠程網絡域的安全內容為：安全遠程用戶以及遠程辦公室對網絡的訪問。公共網絡域的安全內容為：安全內部用戶訪問互聯網以及互聯網用戶訪問內網服務。伙伴訪問域的安全內容為：保證企業合作伙伴對網絡的訪問安全，保證傳輸的可靠性以及數據的真實性和機密性。

一個大的安全域還可根據內部不同部分的不同安全需求，再劃分為很多小的區域。一般在劃分安全域之前，還應先把所有的計算機進行分組。分好組后，再把各個組放到相應的區域中去，如邊界DNS和邊界Web，都可放到邊界防護區域（即所謂的DMZ區域）中去。為了更為細粒度地對網絡進行訪問控制，在劃分安全域后，可以繼續在安全域下劃分若干子安全域，子安全域不能單獨創建，必須屬于某個安全域，子安全域之間可以互相重疊。計算機分組并劃分到不同的安全區域中后，每個區域再根據分組劃分為幾個子網。每個組的安全性要求和設置是不一樣的。區域劃分后，就可設計不同區域間的通信機制，如允許和拒絕的通信流量、通信安全要求以及技術、端口開禁等。如公網到核心網通信，必須通過VPN，并且要通過雙因子驗證（需要智能卡、口令）進行身份驗證，身份合法后再采用IP Sec進行加密通信。

傳統安全域的訪問管理

在基于傳統安全域的訪問控制體系模型中，有以下幾個主要模塊：

#8226; ID管理模塊：用戶信息管理模塊，提供用戶信息的添加、刪除和修改等功能，集中管理企業網絡中的用戶，同時，可以將用戶按權限進行分組、分角色，進而利用組和角色對特定用戶集合進行管理；

#8226;安全域管理模塊：管理用戶劃分的安全域和子安全域信息，用戶可以添加、刪除和修改安全域以及子安全域，可以配置安全域之間的訪問控制關系，比如在訪問安全域A的時候，不能同時訪問安全域B等；

#8226;訪問策略管理模塊：管理用戶與安全域、子安全域之間的訪問控制關系，定義用戶在什么時間、什么地點可以訪問哪些安全域等；

#8226;Web服務管理：為用戶提供Web服務，用戶通過Web服務進行身份認證以及安全域的訪問和退出等；

#8226;通信平臺：主要是通過SSH、Telnet對防火墻進行配置，為用戶打開指定的ACL訪問；

#8226;探測模塊：探測用戶PC是否在線，探測方式可以采用ARP、ICMP、SAMBA等協議。

在基于傳統安全域的訪問控制體系下，用戶接入網絡、訪問網絡資源的步驟如下：

#8226;第0步：用戶接入網絡，直接訪問安全域失敗，因為防火墻ACL默認禁止用戶訪問此安全域；

#8226;第1步：用戶通過Web瀏覽器訪問安全域管理服務器IP或URL；

#8226;第2步：用戶在身份認證頁面輸入身份信息，安全域管理服務器對用戶進行認證，認證成功則繼續，認證失敗需重新認證；

#8226;第3步：用戶認證成功后，安全域管理服務器利用管理員配置的訪問策略將用戶可訪問域顯示給用戶；

#8226;第4、5步：用戶選擇登錄其要訪問的安全域，安全域管理服務器通過網絡連接開啟用戶PC對安全域（或子安全域）的ACL；

#8226;第6步：用戶成功訪問其登錄的安全域；

#8226;第7步：當用戶退出安全域后，安全域管理服務器將下發給防火墻的ACL撤銷。同時，如果在線探測模塊探測到用戶下線或者用戶IP-MAC發生改變的時候，也會撤銷其為此IP下發的ACL。

動態安全域

助力大型企業

基于傳統安全域的訪問控制體系模型是企業網在發展過程中形成的通用模式，在中小型企業、業務專業性較強和地域分布不廣的大中型企業中都有很好的實現。但在業務高度復雜、地域高度分散且地域及業務均呈交叉狀、人員眾多的大型或超大型企業集團中，信息系統廣泛采用分布式或集中分布式部署，傳統的安全域模型結構也被大量復制，其總部結構和分支機構安全域模型交叉，隨著人員業務變化性的增強和企業重組或業務快速膨脹，承載網和業務網邊界日益模糊，訪問管理模型也隨之日益復雜，安全域或安全子域的變化頻繁，ACL控制或基礎安全策略日益膨脹，隨之帶來的管控復雜性使網絡管理員面臨巨大工作量和智力挑戰。某大型企業集團早在2005年就開始實施安全域，但隨著上述情況的出現，安全域邊界不斷變化，其安全域逐步變化成為30多個，子域多達上百個，其核心交換機上的ACL就達1000余條，矩陣分離表的邏輯性也逐漸完全不可讀，最終導致其安全域劃分的失敗。

安全域的核心就是通過一系列的規則控制，達到特定網絡群組按照指定規則訪問指定群組的關系，其組群需要具有相同的安全訪問控制和邊界控制策略的子網或網絡。傳統模型較為容易在集中部署的單一結構中實現，其組群成員的權責變化一般也需要對相應規則做調整。假定將組群成員動態的變化和子域調整與子網劃分動態結合，就可以實現基于傳統復雜安全域結構上的動態調整，從而實現基于傳統安全域基礎上的動態安全域的模型結構。

在基于動態安全域的訪問控制體系下，用戶接入網絡、訪問網絡資源的步驟如下：

#8226;第0步：用戶接入網絡，直接訪問安全域失敗，因為強制器沒有通知接入交換機打開網絡端口，默認用戶訪問隔離域A，做身份申請；

#8226;第1步：用戶身份認證成功，強制器打開接入端口，做安全合規性檢測，默認訪問隔離域B，做安全合規性完善；

#8226;第2步：合規性檢查通過，用戶從隔離域B中劃出到公共訪問域；

#8226;第3步：用戶身份信息傳送給安全域管理服務器，安全域管理服務器訪問服務域控制器，服務域控制器從人力資源數據庫權責矩陣同步列表中生成用戶安全域列表，并通知用戶；

#8226;第4步：用戶選擇登錄其要訪問的服務，安全域控制器根據安全域列表，通知網管控制域服務器，網管控制器通知網絡交換域；

#8226;第5步：網絡交換域生成控制列表，生成VLAN及VCL組合，通知交換設備，生成訪問域控制隔離通道；

#8226;第6步：服務控制服務器通過交換域，通知相應安全域做對應權責匹配；

#8226;第7步：用戶訪問所需安全域的服務；

#8226;第8步：當用戶退出安全域后，安全域管理服務器將下發給交換用戶的VLAN及ACL撤銷。同時，如果在線探測模塊探測到用戶下線或者用戶進行危險性違規性操作或IP-MAC發生改變的時候，也會通知交換域撤銷其為此身份下發的IP、VLAN及ACL，進行隔離；如果在線探測模塊探測到用戶進行攻擊性或高危破壞性操作，通知交換域撤銷其為此身份下發的IP、VLAN及ACL，并同時關閉端口避免入侵破壞。

安全域是基于網絡和系統進行安全檢查和評估的基礎，安全域的劃分是企業網絡抗滲透的有效防護方式，安全域邊界是災難發生時的抑制點，同時安全域也是基于網絡和系統進行安全建設的部署依據。動態安全域在傳統安全域常規手段的基礎上，將網絡成員權責與安全子域和子網劃分動態結合，同時將網絡動態接入和用戶權責矩陣有機結合，成為大型或超大型企業網絡的有效管控手段。當然，上述安全域管理系統也有需要改進的部分，如網絡設備的動態管控。由于網絡設備廠商的多樣化導致命令處理十分復雜，此模型對網絡設備具有較高要求，并需要網絡設備一致性或大量針對性網絡控制的二次開發，同時面臨構架復雜、實施周期長、成本較高等難題，主要原因是現如今還沒有這方面的業界或企業標準。不過隨著網絡安全的進一步發展，這方面問題有望得到改善。