網(wǎng)絡(luò)安全區(qū)可以通過在路由器前架設(shè)防火墻或者在系統(tǒng)前架設(shè)防火墻的方式實(shí)現(xiàn)。不論哪種方式,都需要使用IPSec規(guī)則,或者操作系統(tǒng)防火墻(比如Windows自帶的防火墻)。而另一種對安全區(qū)提供保護(hù)的方式就是直接建立一個(gè)完全獨(dú)立的VLAN 。
從網(wǎng)絡(luò)交換的角度看,一個(gè)完全獨(dú)立的VLAN基本上都屬于Layer 2 (L2) 連接,并且不通過路由器與其他TCP/IP網(wǎng)絡(luò)連接。這個(gè)完全獨(dú)立的網(wǎng)絡(luò)需要有專用的接口以及交換設(shè)備,但是很多時(shí)候,這樣做意味著成本提高,并且所需的端口數(shù)難以滿足。對于何時(shí)采用完全隔離的L2 VLAN,我在實(shí)際工作中發(fā)現(xiàn)了一些比較有代表性的方案,可以確實(shí)起到獨(dú)立VLAN的保護(hù)作用。
最常見的使用情況是,有多端口的獨(dú)立系統(tǒng),可以專門用于獨(dú)立VLAN相關(guān)的安全區(qū)。當(dāng)然,如果一個(gè)系統(tǒng)連接到多個(gè)安全區(qū),也會有風(fēng)險(xiǎn)并引發(fā)相關(guān)的問題。因此最重要的一點(diǎn)是,在這些系統(tǒng)間不要有橋接或者路由功能,否則一切努力都白費(fèi)了。
坦率的講,如果系統(tǒng)中的每個(gè)角色只使用確定的端口,那么這整個(gè)系統(tǒng)會適用于大多數(shù)環(huán)境。獨(dú)立的安全區(qū)的常見應(yīng)用是在虛擬機(jī)遷移時(shí)保護(hù)數(shù)據(jù)安全。對于安裝VMware 來說,這種應(yīng)用體現(xiàn)出了如何在虛擬機(jī)遷移時(shí)保護(hù)未經(jīng)加密的數(shù)據(jù)。另外,還有其他一些常見應(yīng)用,基本上都是用來防止man-in-the-middle類型的攻擊。而接下來我們要面對的問題只是要不要將這個(gè)L2網(wǎng)絡(luò)路由到其他大型網(wǎng)絡(luò)環(huán)境中去的問題了。
相關(guān)推薦:推薦:2010年計(jì)算機(jī)軟件水平考試必備完美攻略北京 | 天津 | 上海 | 江蘇 | 山東 |
安徽 | 浙江 | 江西 | 福建 | 深圳 |
廣東 | 河北 | 湖南 | 廣西 | 河南 |
海南 | 湖北 | 四川 | 重慶 | 云南 |
貴州 | 西藏 | 新疆 | 陜西 | 山西 |
寧夏 | 甘肅 | 青海 | 遼寧 | 吉林 |
黑龍江 | 內(nèi)蒙古 |