设计网络安全策略之访问控制策略

设计网络安全策略

网络安全策略主要包括访问控制策略、流量检测策略、安全审计策略、远程接人策略和冗余策略五个方面，根据信息系统业务特点和安全目标，正确使用和配置这些安全策略是网络安全规划的关键工作。

1)访问控制策略

不同安全级别的网络相连，产生了网络边界。防止来自网络外界的入侵就要在网络边界上建立可靠的安全访问控制措施。

网络边界安全访问策略为：允许高安全级别的安全域访问低级别的安全域，限制低级别的安全域访问高级别的安全域，在不同安全域内部分区进行安全防护。规划部署网络安全访问控制设备，要求设计设备的具体部署位置和控制措施，维护安全区域内部的安全管理策略。常见措施包括设计VLAN、划分网段、部署防火墙、IP地址与MAC地址绑定等。

其中，虚拟局域网( Virtual Local Area Network，VLAN)是一种划分互相隔离子网的技术。通过VLAN隔离技术，可以把一个网络系统中众多的网络设备逻辑地分成若干个虚拟工作组，组和组之间的网络设备在第二层网络上相互隔离，形成不同的安全区域，同时将广播流量限制在不同的广播域。防火墙是进行网络区域逻辑隔离的一种常用系统，它可在不同安全等级的网络区域之间建立起一个安全网关，对两个网络之间的通信进行控制，从而保护网络免受非法用户的侵入。

根据用户安全要求，在网络安全域的边界部署不同的安全设备，配置不同的安全策略， 可以构成不同级别的边界防护机制，下面给出一些常见的配置模式供参考。

◇简单安全防护。采用简单的边界防护机制，如基本的登录、连接和访问控制机制，

实现信息系统边界安全防护，可以通过在路由器或者交换机上划分网段、设置VLAN来实现。

◇较严格安全防护。采用较严格的安全防护机制，如较严格的登录、连接和访问控制机制，可在网段划分、虚拟局域网划分的基础上，通过部署防火墙、网关等来实现。

◇严格安全防护。采用严格的安全防护机制，如严格的登录、连接和访问控制机制，

可通过部署安全性较高的防火墙、入侵防御、信息过滤和网闸等设备，并结合纵深网络区域设置策略、严格访问控制许可策略来进行保护。

◇特别安全防护。采用当前最先进的边界防护技术，必要时可以采用物理隔离安全机制，满足高安全要求的边界安全防护。