企業(yè)網(wǎng)絡(luò)安全架構(gòu)的相關(guān)知識(shí)點(diǎn)

　　今天學(xué)習(xí)啦小編就要跟大家講解下企業(yè)網(wǎng)絡(luò)安全架構(gòu)的知識(shí)~那么對(duì)此感興趣的網(wǎng)友可以多來了解了解下。下面就是具體內(nèi)容!!!

　　企業(yè)網(wǎng)絡(luò)安全架構(gòu)

　　1. 安全違規(guī)越來越難防御

　　安全違規(guī)與數(shù)據(jù)泄漏仍然是無(wú)論任何規(guī)模的公司機(jī)構(gòu)的安全噩夢(mèng)。威脅與防御兩者始終都在不斷進(jìn)化。這期間也帶來了各種樣的安全防護(hù)設(shè)備、軟件代理以及管理系統(tǒng)，但是很多情況下這些系統(tǒng)之間不能進(jìn)行有效的“溝通”，是一個(gè)背對(duì)背的狀態(tài)。一旦網(wǎng)絡(luò)罪犯自制一個(gè)具有完整“網(wǎng)絡(luò)威脅周期”的程序或軟件時(shí)，例如APT，沒有有效整體防御系統(tǒng)就很容易被滲透且攻破。新一代的安全架構(gòu)應(yīng)是整合的一個(gè)平臺(tái)，各個(gè)防御系統(tǒng)能夠協(xié)同工作，從而構(gòu)成多重多層多維度的防護(hù)。

　　2.云計(jì)算技術(shù)的扎根

　　各種形式的云開始以可行的形式進(jìn)入企業(yè)架構(gòu)。當(dāng)大多數(shù)企業(yè)機(jī)構(gòu)信任服務(wù)提供商的安全能力時(shí)，SaaS(Software as a Service)將達(dá)到其爆點(diǎn)。IaaS(Infrastructure as a service)仍然集中在web應(yīng)用的彈性與冗余上。云的爆發(fā)、混合云與私有云都意味著分布式服務(wù)、管理與安全的更多的共享。

　　3.移動(dòng)應(yīng)用與管理的多樣化

　　與PC市場(chǎng)不同，移動(dòng)設(shè)備市場(chǎng)(手機(jī)與平板)并沒有被微軟一家獨(dú)大。移動(dòng)端的多樣化意味著管理系統(tǒng)需要更靈活且開放。提升后的JavaScript性能將推動(dòng)HTML5以及瀏覽器作為主流企業(yè)應(yīng)用開發(fā)環(huán)境。這會(huì)帶來應(yīng)用的極大豐富以及集中力量在應(yīng)用的易用性上。

　　4. 軟件定義的模塊架構(gòu)常態(tài)化

　　控制層已被分離或整合成為架構(gòu)的不同部分。 開始是數(shù)據(jù)中心的虛擬化、軟件定義網(wǎng)絡(luò)、軟件定義存儲(chǔ)與單機(jī)交換。其結(jié)果就是API倍受青睞?？偟脕碚f，架構(gòu)的被切割與細(xì)分，API變得重要，但同時(shí)潛在的安全漏洞也不容忽視。

　　5.物聯(lián)網(wǎng)(IoT：Internet of Things)與工控系統(tǒng)(ICS：Industrial Control System)的碰撞

　　Gartner預(yù)計(jì)到2020年物聯(lián)網(wǎng)是會(huì)涉及到260億臺(tái)設(shè)備的產(chǎn)業(yè)。工控系統(tǒng)正在將控制與管理點(diǎn)外延。 這些網(wǎng)絡(luò)在如今是相對(duì)獨(dú)立的。但是，無(wú)論怎樣都需要面對(duì)網(wǎng)絡(luò)威脅，且這些系統(tǒng)的被破壞帶來的損失無(wú)法估量。

　　6.去有線化的進(jìn)程

　　無(wú)線接入已然無(wú)所不在。新建的辦公大樓中去有線化尤其平常。 無(wú)線系統(tǒng)已上升為主要的網(wǎng)絡(luò)接入與訪問方式，這意味著認(rèn)證系統(tǒng)的集成成為了必需。無(wú)線技術(shù)自身也在不斷的發(fā)展，做為最新的wifi通信技術(shù)，802.11ac將會(huì)迎來更大的發(fā)展，這也是在2015年即將看到的事情。

　　7. 幾乎每10個(gè)月網(wǎng)絡(luò)帶寬就會(huì)翻倍

　　網(wǎng)絡(luò)帶寬的需求持續(xù)大幅增長(zhǎng)。從1G數(shù)據(jù)中心到10G數(shù)據(jù)中心的轉(zhuǎn)變花了10多年，從10G到100G則快了很多。 基礎(chǔ)架構(gòu)的所有方面均需要適應(yīng)這樣高速的網(wǎng)絡(luò)狀態(tài)。傳統(tǒng)基于CPU架構(gòu)的防火墻在性能變化的曲線中力量不足。更多的基于專有新品的防火墻設(shè)備取得性能突破的先機(jī)，擁有百G接口與吞吐，節(jié)省了機(jī)架空間與耗電。如今，高速網(wǎng)絡(luò)架構(gòu)中安全的部署已不會(huì)成為瓶頸。

　　8.對(duì)參與網(wǎng)絡(luò)中的所有信息進(jìn)行分析

　　大數(shù)據(jù)的挖掘與分析以不同的原因被應(yīng)用。數(shù)據(jù)應(yīng)用最大的需求是業(yè)務(wù)的智能化，這同時(shí)數(shù)據(jù)的安全也相當(dāng)重要。 數(shù)據(jù)的采集本已不易，但對(duì)采集的數(shù)據(jù)進(jìn)行細(xì)分可以產(chǎn)生很多的動(dòng)作。例如，零售店采集訪問無(wú)線WiFi的消費(fèi)者的信息可以了解其購(gòu)物模式。監(jiān)控用戶端鏈接網(wǎng)絡(luò)的地點(diǎn)與時(shí)間可以判別安全的態(tài)勢(shì)。根據(jù)實(shí)時(shí)的數(shù)據(jù)預(yù)測(cè)出貨量可以優(yōu)化運(yùn)營(yíng)的效率。

那么下面學(xué)習(xí)啦小編就再給大家介紹下企業(yè)架構(gòu)網(wǎng)絡(luò)安全的方案

　　網(wǎng)絡(luò)上"黑來黑去"的事件不斷發(fā)生，企業(yè)或組織可能面臨的傷害，輕則只是網(wǎng)頁(yè)被篡改， 但重則可能蒙受鉅額或商業(yè)利益上的損失。因此，許多企業(yè)組織開始警覺到架設(shè)防火墻的對(duì)網(wǎng)絡(luò)安全的重要性。 企業(yè)在選購(gòu)、架設(shè)防火墻時(shí)，一般會(huì)考慮的重點(diǎn)不外乎是產(chǎn)品功能、網(wǎng)絡(luò)架構(gòu)、技術(shù)支持、版本更新、售后服務(wù)等項(xiàng)。 大多數(shù)的企業(yè)或組織在架設(shè)防火墻系統(tǒng)時(shí)，通常都是從市面上或是系統(tǒng)整合商所建議的產(chǎn)品中開始著手， 但是如何在眾多的防火墻產(chǎn)品中評(píng)估各家的優(yōu)缺點(diǎn)，選擇一套滿足自己企業(yè)組織需求的防火墻， 并且完善地建構(gòu)企業(yè)的安全機(jī)制呢?許多有經(jīng)驗(yàn)的網(wǎng)絡(luò)安全管理人員都知道，這不是一件相當(dāng)簡(jiǎn)單或容易的事情。 雖然企業(yè)可輕易地從很多地方例如系統(tǒng)整合商得到各種防火墻產(chǎn)品的比較資料來作為選購(gòu)的要點(diǎn)， 但是企業(yè)在選定合適的防火墻產(chǎn)品后卻很可能因?yàn)槲磳⒎阑饓茉O(shè)的規(guī)劃也列入選購(gòu)的重點(diǎn)之一，因此產(chǎn)生更大的困擾： 該如何將防火墻架設(shè)到企業(yè)原有網(wǎng)絡(luò)?筆者經(jīng)常聽聞許多企業(yè)已安裝好防火墻，卻因?yàn)榧軜?gòu)的問題而必須重新進(jìn)行評(píng)估， 甚至更換品牌的情形。

　　確認(rèn)了符合企業(yè)各項(xiàng)功能需求的防火墻之后，最重要的是還要確認(rèn)防火墻系統(tǒng)的硬件在架設(shè)時(shí)或日后可以很彈性地?cái)U(kuò)充網(wǎng)絡(luò)架構(gòu)， 以因應(yīng)企業(yè)更新架構(gòu)之需求。千萬(wàn)別讓防火墻系統(tǒng)的硬件架構(gòu)，成為建置的限制。

　　在網(wǎng)絡(luò)架構(gòu)方面，可以依據(jù)防火墻系統(tǒng)的網(wǎng)絡(luò)接口，來區(qū)分不同的防火墻網(wǎng)絡(luò)建置型態(tài)。

　　第一種類型，是所謂的「單機(jī)版」防火墻。如圖1-1的網(wǎng)絡(luò)架構(gòu)，這種型態(tài)的防火墻建置架構(gòu)， 是目前防火墻產(chǎn)品市場(chǎng)中較少被提出的方案?！竼螜C(jī)版」的防火墻是針對(duì)特定主機(jī)作安全防護(hù)的措施，而非整個(gè)網(wǎng)絡(luò)內(nèi)所有的機(jī)器。 這種「單機(jī)版」的防火墻對(duì)某些企業(yè)而言有一定的需求;例如已架設(shè)防火墻，但需要重點(diǎn)式保護(hù)某些主機(jī)的企業(yè)， 或是只有單一主機(jī)的企業(yè)。這種架構(gòu)從網(wǎng)絡(luò)的底層就開始保護(hù)這臺(tái)伺服主機(jī)，可以徹底地防御類似「拒絕服務(wù) (Denial of Service)的攻擊，因?yàn)檫@類攻擊可能不單來自外界或者是網(wǎng)際網(wǎng)絡(luò)，亦可能來自同一個(gè)網(wǎng)絡(luò)區(qū)段上的任何一臺(tái)機(jī)器。

　　因此，架設(shè)這種「單機(jī)版」的防火墻絕對(duì)會(huì)提升在同一個(gè)網(wǎng)絡(luò)區(qū)段上的服務(wù)器的安全等級(jí)。

　　另一種網(wǎng)絡(luò)架構(gòu)的建置類似圖1-2的架構(gòu)，號(hào)稱為「入侵終結(jié)者(Intrusion Detection Monitor)」， 其防護(hù)的對(duì)象不是一部伺服主機(jī)，而是在同一網(wǎng)絡(luò)區(qū)段上監(jiān)聽封包， 對(duì)于非法的封包加以攔截并送出TCP/IP表頭的RST訊號(hào)以回絕對(duì)方的聯(lián)機(jī)。這種作法必須隨時(shí)去網(wǎng)絡(luò)上作刺探的動(dòng)作， 而它也是另一種防火墻的建置型態(tài)。這種網(wǎng)絡(luò)架構(gòu)很難確定所有的網(wǎng)絡(luò)封包都可以被這個(gè)「入侵終結(jié)者」所欄截， 所以并無(wú)法保證是否沒有漏網(wǎng)之魚。