|
|
|
|
|
|
|
|
建安全体系结构
作为一个安全管理员,第一步是将安全策略转化为安全体系结构。现在,我们来讨论把每一项安全策略核心如何转化为技术实现。
第一项很容易,内部网络的任何东西都允许输出到Internet上。
第二项安全策略核心很微妙,这就要求我们要为公司建立Web和E-mail服务器。由于任何人都能访问Web和E-mail服务器,所以我们不能信任它们。我们通过把它们放入DMZ(Demilitarized Zone,中立区)来实现该项策略。DMZ是一个孤立的网络,通常把不信任的系统放在那里,DMZ中的系统不能启动连接内部网络。DMZ有两种类型,有保护的和无保护的。有保护的DMZ是与防火墙脱离的孤立的部分;无保护的DMZ是介于路由器和防火墙之间的网络部分。这里建议使用有保护的DMZ,我们把Web和E-mail服务器放在那里。
惟一的从Internet到内部网络的通话是远程管理。我们必须让系统管理员能远程地访问他们的系统。我们实现它的方式是只允许加密服务进入内部网络。
还有一样东西我们必须添加,那就是DNS。虽然我们没有在安全策略中陈述它,但我们必须提供这项服务。作为安全管理员,我们要实现Split DNS。Split DNS是指在两台不同的服务器上分离DNS的功能。我们通过用一台DNS来分析公司域名的External DNS服务器和一台页码:[1] [2] [3] [4] [5] [6] 第2页、共6页 |
|
|
|
|
设为首页 | 加入收藏 | 广告服务 | 友情链接 | 版权申明
Copyriht 2007 - 2008 © 科普之友 All right reserved |
