蓝盟-系统集成-蓝盟官网

蓝盟IT外包聊聊“网络安全域”

发布者：蓝盟IT外包来源：www.linemore.com

越来越多的安全解决方案都会提到安全域的概念，但什么是安全域？怎样做安全域的划分呢？

首先来看定义：

定义1：安全域是由一组具有相同安全保护需求、并相互信任的系统组成的逻辑区域。

定义2：安全域是由在同一工作环境中、具有相同或相似的安全保护需求和保护策略、相互信任、相互关联或相互作用的IT要素的集合。

定义3：安全域是指同一环境内有相同的安全保护需求、相互信任、并具有相同的安全访问控制边界控制策略的网络或系统。

安全域是一个术语，用于概念化计算机、网络，或属于特定安全协议下的信息技术基础设施要素。域是作为这些要素的一个受限制的单元而建立的，这些要素有一个单一的身份验证方法来访问安全域中的要素。鉴于这一术语本质上是概念性的，它可以应用于广泛的领域信息技术（IT）元素的集合，例如一组网站、一个通信网络、一个房间中的一组计算机，甚至是其中任何一个或所有这些的组合。

咱们今天主要聊聊网络安全域，网络安全域从大的方面分一般可划分为四个部分：本地网络、远程网络、公共网络、伙伴访问。而在不同的安全域之间需要设置防火墙以进行安全保护。

本地网络域的安全内容有:桌面管理，应用程序管理，用户帐号管理，登录验证管理、文件、打印资源管理，通信通道管理以及灾难恢复管理等与安全相关的内容等。远程网络域的安全内容为:安全远程用户以及远程办公室对网络的访问。公共网络域的安全内容为:安全内部用户访问互联网以及互联网用户访问内网服务。伙伴访问域的安全内容为:保证企业合作伙伴对网络的访问安全,保证传输的可靠性以数据的真实性和机密性。一个大的安全域还可根据内部不同部分的不同安全需求再划分为很多小的区域，下图是将本地安全域再进行划分后的情况。

那么我们如何划分网络安全域呢？一般在在划分安全域之前，还应先把所有的计算机进行分组。分好组中，再把各个组放到相应的区域中去，如边界DNS、和边界WEB都可放到边界区域中（即所谓的DMZ区域）去。每一个分组，包括的计算机，提供的服务，运行的服务，属于什么区域，有什么功能击需求，使用什么技术等，都要通过一相文档的形式反映出来。计算机分组并划分到不同的安全区域中后，每个区域再划根据分组划分为几个子网。每个组的安全性要求和设置是不一样的。安全区域划分后，就可设计不同区域间通信机制。如允许和拒绝的通信流量，通信安全要求以及技术，端口开禁等。如公网到核心通信必须通信 VPN ，并且要通过双因子验证进行身份验证，身份合法后再采用 IPSEC 进行加密通信等等。

如需对网络安全域进一步了解，请联系蓝盟IT外包获取免费咨询。

文/上海蓝盟 IT外包专家

微软云

IT采购

弱电工程

系统集成

客户故事

蓝盟IT外包聊聊“网络安全域”

400-635-8089