聊聊安全区域边界那点事儿

随着技术的发展，企业的网络环境越来越复杂，而复杂的网络则会带来更多的风险，导致信息系统受到很多来自网络的攻击，在区域边界处实施安全保护将会降低大部份安全风险。

安全域

安全域(Security Domain)是指具有相同的安全防护需求并使用同一个安全策略的子网或网络。

安全域是基于网络和系统进行安全检查和评估的基础，安全域的划分是企业网络抗渗 透的有效防护方式，那么当安全事件来临的时候，安全域的边界就是事件的终点，同时安全 域也是进行企业安全体系建设的部署依据之一。

根据安全级别将网络安全域以网络结构划分为四个部分:IDC 网域，DMZ 网域、办公网 域、远程接入网域以及合作网域，在不同的安全域之间需要设置相应的访问控制策略，如防 火墙、边界路由 ACL 策略等进行安全保护。

1. IDC网域:企业对外服务的区域，那么在IDC外网网域应该部署防火墙，抗DDOS， WAF 等保证对外服务的稳定，那么在 IDC 的内网连接内网 DMZ 网域的中间也应该部 署防火墙或设置相应的访问控制策略。

2. 内网DMZ网域:包含企业内部系统，如内部邮件系统，用户统一登录，企业OA系 统等。

3. 办公网络域:包含有线网络，无线网络，访客网络，终端以及打印服务等与安全相 关的内容等。

4. 远程网络域:远程用户对网络的安全访问，如VPN等。

5. 合作网络域:分企业、子企业、合作伙伴访问内部网络进行数据交互。

上述安全域还可根据内部不同部分的不同安全需求再划分为更多颗粒度更小的区域。

安全域划分的流程:

1. 分组:一般在在划分安全域之前，还应先把所有的设备进行分组。

2. 划分区域:分好组中，再把各个组放到相应的区域中去，如企业DNS、对外WEB服务放到 IDC 区域。每一个分组，包括设备，提供的服务，运行的服务，属于什么区 域，有什么功能及需求，使用什么技术等，最好都通过文档的形式反映出来，这样 更有助于进行划分。

3. 划分网段:设备划分到不同的安全区域中后，每个区域再划根据分组划分为几个子 网，每个子网是一个网段，每个分组的安全性要求和设置也应是不一样的。

4. 设计域间访问控制策略:区域划分后，就可设计不同区域间访问控制策略，如合作 网络域不允许访问 IDC 网域，接入需要达到安全要求，通过动态口令(双因子认 证)进行身份验证，身份合法后再采用 IPSEC 进行加密通信，并设置好可访问的资 源以及端口等。

5. 记录归档:所有过程应归档，以便在制定或修改网络安全策略时进行参考。

不同企业的由于业务不同，划分的方法也不同，当然最终的划分结果也将不同，不过最终的目的是相同的，对网络及网络内的业务进行保护，提高企业整体的安全防护能力。

网络隔离

隔离是在为了保护特定网络或业务而产生的安全措施，网络隔离(Network Isolation) 是将两个或两个以上的网络或安全域设置为不可到达从而实现隔离目的，而采用了不同的 协议隔离又称为协议隔离。

网络隔离技术的主要功能是有效控制网络通信中的数据信息，通过隔离技术或设备完成内外网间的数据交换，并利用访问控制、身份认证、加密签名等安全机制来实现交换数据 的机密性、完整性、可用性。

网络隔离技术的作用

网络隔离技术的核心是通过专用设备或安全协议来确保两个链路层断开的网络能够实 现数据信息在可信网络环境中进行交互及共享。

通过专用硬件硬件和安全协议在不同网域之间架构起安全隔离区域，使两个系统在空 间上物理隔离，如同图 13.2 中 DMZ1 区和 DMZ2 区一样，同时又可以通过设备或系统清除数 据交换过程中的病毒、木马等恶意代码，确保证数据信息在可信的网络环境中进行交换、共 享，同时还要通过严格的身份认证机制来确保用户获取所需数据信息。

网络隔离技术的分类:

1.物理网络隔离:在两个DMZ之间配置一个隔离区网络，让其中的通信只能经由一个安全策略实现。在这个安全策略里面，防火墙及 IDS/IPS 规则会监控信息包来 确认是否接收或拒绝它进入内网。这种技术是最安全但也最昂贵的，因为它需要 许多物理设备来将网络分隔成多个区块，如金融城域网。

2.逻辑网络隔离:这个技术借由虚拟/逻辑设备，而不是物理的设备来隔离不同网段的通信。

3.虚拟局域网(VLAN):VLAN工作在第二层，与一个广播区域中拥有相同VLAN标签 的接口交互，而一个交换机上的所有接口都默认在同一个广播区域，支持 VLAN 的 交换机可以借由使用 VLAN 标签的方式将预定义的端口保留在各自的广播区域中， 从而建立多重的逻辑分隔网络。

4.虚拟路由和转发:这个技术工作在第三层，允许多个路由表同时共存在同一个路 由器上，用一台设备实现网络的分区。

5.虚拟交换机:虚拟交换机可以用来将一个网络与另一个网络分隔开来。它类似于 物理交换机，都是用来转发数据包，但是用软件来实现，所以不需要额外的硬件。

6.多协议标签交换(MPLS):MPLS工作在第三层，使用标签而不是保存在路由表里的网络地址来转发数据包，标签是用来辨认数据包将被转发到的某个远程节点。

网络准入

网络准入控制(NAC)确保只有合法的的终端设备(例如 PC、服务器、移动设备)接入 网络，防止非法设备接入网络的一种网络安全技术，准入控制配合身份认证技术能够在用户 访问网络之前确保用户的身份是否可信任。

当终端接入网络时，用户输入认证信息，终端设备将认证信息通过网络接入设备(如: 交换机、无线 AP、VPN 等)将认证信息发给网络准入设备，准入设备将认证信息发给后端认 证服务器，认证服务器对终端用户认证信息进行验证，返回给准入设备，当终端及使用者符 合网络准入设备上定义的策略后，终端可以接入网络，网络准入设备会通过认证服务器的授 权认证信息对终端进行授权和访问控制。

网络准入控制产品及技术可以完成下列目标:

1. 用户身份认证

自动发现网络上的所有接入设备，并记录 Mac 地址，可由管理员描述该 Mac 地址的 使用人，可将 Mac 绑定作为用户认证接入网络进行准入控制，防止外来电脑接入内部 网络中。
2. 上网权限管理

能对终端用户的上网权限进行管理，如对内网用户设置可访问本企业业务系统外禁 止访问互联网。
3. 终端资产信息自动采集

可以采集到终端详细的软硬件配置信息，所有这些信息都被保存在数据库中，对终 端设备的硬件配置变化进行监控，当终端用户新增一个硬件或有硬件配置发生变动时 系统会记录详细配置变更信息，及时通知管理员。

网络准入控制产品及技术应有的主要功能:

1. 身份认证
    除用户名和密码的身份认证外，应该支持更多元素绑定，如帐号、MAC 地址、IP 地址等，未通过身份认证的网络终端禁止接入网络。 

2. 准入控制

    可以按照用户角色权限规范用户的网络使用行为。终端用户的所属用户组、访问策 略等安全措施应由管理员统一配置实施。用户可以根据自己的实际需要，为内部员工、 外来访客等不同人群，定义不同的安全策略执行方式。

3. 终端管理

    可以对终端资产全方位的监控和管理，可以对终端软硬件使用情况、变更情况进行 监控，帮助客户更有效地管理企业的桌面资产。

虚拟专用网

远程用户访问内部资源大多通过虚拟专用网(Virtual Private Network，VPN)实现的， VPN 是指用户通过一个公用网络(通常是因特网)建立一个临时的安全的连接，这是建立在 混乱的公用网络的一条安全稳定的隧道。VPN 是对企业内部网的扩展，使用户通过专用网络 进行加密通讯。VPN 属于远程访问技术，可通过服务器、硬件、软件等多种方式实现。

VPN 的主要作用如下:

1. 使办公不受地域限制。VPN能够让移动员工、远程员工、商务合作伙伴和其他人利用本地可用的网连接连接到企业网络。

2. 确保数据安全性。使用VPN在公共网络上传输信息时，其信息是经过安全加密的，可以保证数据的机密性、完整性和可用性。

VPN 技术的主要类型及介绍如下: 

1. IPSecVPN

    IPSec VPN 指通过 IPSec(Internet Protocol Security)协议来实现远程接入的一种 VPN 技术，用以提供公用和专用网络的端对端加密和验证服务。

    IPSec VPN 的应用场景分为三种:

1. 1)  网关到网关(Site-to-Site):企业利用网关设备将北京总部和上海分企业建立VPN 隧道，上海分企业办公网的所有终端都可以访问北京总部内网资源，它们的通信就是通过这些网关建立的 IPSec 隧道实现数据交互的。

2. 2)  端到端(End-to-End):总部和上海分企业办公区的两台终端安装特定的软件建 立的隧道，其它终端无法使用，它们之间的通信由两个终端之间的 IPSec 会话维持。

3. 3)  端到站点(End-to-Site):上海企业办公区的特定终端与总部的网关设备建立的 隧道，这个终端可以访问总的资源，但其它的终端无法访问。

4. 具有如下特点:
   

   1) 安全可靠，保证传输时的机密性，完整性，可用性。 

5. 2) 需购买专用的设备，配置复杂，管理成本高。
   3) 适用于站点到站点、点对点和点到站点的部署。

     4) 在互联网，二层传输网络，MPLS VPN 网络上均可以部署。

    主要解决问题企业内部文件加密传输，保障数据安全不易被泄露，即使黑客在网络 上截获了数据包，也无法得知其中真实内容。

2. SSLVPN

    SSL VPN即指采用SSL(Secure Sockets Layer)协议来实现远程接入的一种新型VPN技术。通过服务器认证、客户认证、SSL 的数据完整性和 SSL 的数据保密性来保证数据的安 全性。

    SSL VPN 是解决远程用户访问企业内部资源最简单最安全的解决技术，IPSEC VPN 是实 现的是 IP 级别的访问，远程网络和本地网络几乎没有区别，局域网能够传播的病毒，通过 VPN 一样能够传播，而 SSLVPN 是一个安全协议，数据全程加密传输的。

    主要解决为经常在外出差或者不在办公室且需要远程访问企业内网资源的员工，并且 连接是加密的，可以有效保证企业私有网络和数据安全。
3. PPTP&L2TP VPN

1. 1)  点对点隧道协议(Point to Point Tunneling Protocol，PPTP)该协议是在 PPP 协议的基础上开发的一种新的增强型安全协议，支持多协议虚拟专用网(VPN)， 可以通过密码验证协议(PAP)、可扩展认证协议(EAP)等方法增强安全性。

2. 2)  二层隧道协议(Layer2TunnelingProtocol，L2TP),功能大致和PPTP协议类 似，同样可以对网络数据流进行加密,不过也有不同之处，比如 PPTP 要求网络为 IP 网络，L2TP 要求面向数据包的点对点连接。PPTP 使用单一隧道，L2TP 使用多隧道。L2TP 提供包头压缩、隧道验证。

PPTP 在 VPN 协议中历史悠久，其端口固定，数据加密容易破解，现在慢慢的由其他的VPN协议进行替换，MacOS系统在10.15+ 版本以后系统更是直接删除了对PPTP 的支持。随着疫情的反复发作，员工使用 VPN 居家办公的情况也越来越普遍，这将对 VPN 系统及 服务的安全与稳定也将带来巨大挑战。

防火墙

防火墙(Firewall)是一种重要的网络安全设备，通常部署在不同网络或不同安全域之 间边界，用于网络或安全域之间的安全访问控制。

防火墙的目的是保证网络内部数据流的合法性，防止外部非法数据流的侵入，同时管理 内部网络用户访问外部网络的权限，防火墙对流经它的数据流进行安全访问控制，只有符合 防火墙策略的数据才允许通过，不符合策略的数据将被拒绝。

防火墙主要有以下作用:

1.  过滤进出网络的数据流。

2. 管理进出网络的访问行为。
3. 记录通过防火墙的信息内容和活动。

4. 对网络攻击进行检测和报警

防火墙通常使用的技术主要是包过滤和应用代理:

包过滤技术考虑的是 OSI 参考模型的网络层和传输层的数据安全问题，而应用代理技术则是在应用层检查数据分组的安全性。

1. 包过滤技术根据数据分组的源地址、目的地址、端口号和协议类型等标志确定是否允 许通过，只有符合过滤条件的数据分组才被转发，其余不符合条件的数据分组则被丢弃。

包过滤技术分为简单包过滤和状态检测包过滤二种:

       1)  简单分组过滤是一种简单、有效的安全控制技术。它根据已经定义的过滤规则检查每个数据分组，以便确定该数据分组是否与某一条分组过滤规则匹配。过滤规 则是根据数据分组的源 IP 地址、目的 IP 地址、源端口、目的端口和协议类型制 定的。如果找到匹配的允许规则，则允许该数据分组通过。如果没有找到匹配的 规则或者找到一个匹配的拒绝规则，则丢弃该数据分组。简单包过滤技术的运行 速度较快，传输性能高，但由于安全控制只限于源 IP 地址、目的 IP 地址、源端 口、目的端口和协议类型，因此，只能进行初级的安全控制，对于恶意的拥塞攻 击、内存覆盖攻击或病毒等高层次的攻击手段则无能为力。

        2)  状态检测包过滤是比简单包过滤更为有效的安全控制方法。它把进出网络的数据 流看成是多个会话，利用会话表(会话表是记录允许通过会话的相关信息的状态 表)跟踪每一个会话的状态。对于新的会话请求，防火墙检查第一个数据分组是 否符合预先设置的安全规则，允许符合安全规则的数据分组通过并在内存中记录 下该数据分组的相关信息，作为一个新的会话插入会话表。对于该会话的后续数 据分组，只要符合会话状态就允许通过。状态检测包过滤检查数据分组所处会话 的状态，提高了完整的对传输层的控制能力。这种方式的好处在于:由于不需要 对每个数据分组进行规则检查，而是直接进行状态检查，从而较大提高了数据的 传输性能。而且，由于会话表是动态的，因此，可以有选择地、动态地开通端口， 提高安全性。

2. 应用代理技术工作在应用层，在应用层检查数据分组的安全性。应用代理通常运行在 两个网络之间，彻底隔断了两端的直接通信，所有通信都必须经应用层的代理转发， 访问者任何时候都不能与服务器建立直接的连接。应用代理技术是一种透明的代理方 式，它可以对网络中任何一层的数据通信进行筛选保护。这种代理方式检测能力强、 安全性高，但是处理速度慢，配置起来也比较繁琐。

访问控制列表

访问控制列表(ACL)是一种基于包过滤的访问策略，读取 OSI 七层模型的第 3 层和第 4 层包头中的信息，如源地址，目标地址，源端口，目标端口等，根据预先定义好的规则， 对包进行过滤，从而达到访问控制的目的。访问控制列表被广泛地应用于防火墙、路由器和 三层交换机，借助于访问控制列表，可以有效地控制用户对网络的访问，从而最大程度地保 障网络安全。

ACL 是一组规则的集合，它应用在设备的某个接口上，对于接口而言，访问控制列表应该有两个方向:

1. 出:已经过接口的处理，正离开设备的数据包。 

2. 入:已到达接口的数据包，将被设备进行处理。

访问控制列表的类型:

1. 标准访问控制列表:根据数据包的源IP地址来允许或拒绝数据包，标准访问控制列表

   的访问控制列表号是 1-99。

2. 扩展访问控制列表:根据数据包的源IP地址，目的IP地址，指定协议，端口和标志，用来允许或拒绝数据包。扩展访问控制列表的访问控制列表号是 100-199。

3. 命名控制列表:就是不使上面所述的使用访问控制列表号，自定义的访问控制列表。通过命令访问控制列表可以很方便的管理 ACL 规则，可以随便添加和删除规则，而无需删 除整个访问控制列表了。

访问控制列表的功能:

1. 提供网络访问的基本安全手段，决定网络接口哪种类型的通信流量被转发、哪种类型的通信流量被拒绝。

2. 提供对通信流量的控制手段，管理网络流量，决定哪种类型的数据包具有更高的优先级。

访问控制列表的配置原则:

1.  ACL语句默认策略应为拒绝。

2. ACL语句的顺序很重要，语句是按自顶向下顺序进行处理。

3. ACL语句没有匹配成功，会默认拒绝。
4. 每个接口在出入每个方向上都应有一个ACL。

小结

通过此文希望读者朋友们了解安全区域边界防护相关知识，通过划分安全域，建立网络隔离策略，网络准入及远程用户访问，利用防火墙及访问控制列表进行网域划分，制定相应的边界防护措施，再结合用户终端管理EDR、企业杀软、上网行为管理、网络流量分析等技术，减少安全风险，从而提高企业整体安全水平。

-----------

格式，越调越乱，不调了。

这篇也是书的一个章节，目前基本上把每个部份都选出一个章节给朋友们先看看，鉴于本人所学知识和写作的水平又十分有限，一定会出现不足和错误之处，还请朋友们谅解，有什么意见或建议欢迎留言，抱拳了。

再次感谢CEO的推荐

lak2，公众号：朴实无华lake2

一些安全大佬的公众号推荐(2)

原文始发于微信公众号（安全管理杂谈）：聊聊安全区域边界那点事儿