- 等保2.0
- 为适应云计算、大数据、物联网及工业控制等新技术的安全需求,国家适时出台了等保2.0的建设体系。
- 等保2.0的要求包括安全物理环境、安全通信网络、安全区域边界、安全计算环境及安全管理中心5个方面。
- 物理安全一般在机房建设初期进行了考虑,安全相关制度需在数据中心投入使用时制定,相关安全配套建设需要与网络建设做到“三同步”,根据安全通信网络、安全区域边界以及安全计算环境的需求配置安全设备。
- 网络边界
- 网络边界是内部安全网络和外部非安全网络的分界线。
- 主要安全问题
- 信息泄密
- 入侵者攻击
- 网络病毒
- 木马、黑客、病毒入侵
- 网络攻击
- 保护手段
- 防火墙
- VPN网关
- 防ddos攻击网关
- 入侵防御网关
- 防病毒网关
- 反垃圾邮件网关
- 网闸
- 黑洞路由
- 黑洞路由也为一条静态路由,但与其他路由不同的是,黑洞路由的出口接口为NULL0。
- 若一条静态路由的网段的出口接口被指定为NULL0时,那么,去往这个网段内所有的数据报文将被直接丢弃,不进行转发。
- 它主要实现了数据的过滤,防止环路的产生等等。
- 静态路由和动态路由
- 动态路由是与静态路由相对的一个概念;
- 指路由器能够根据路由器之间的交换的特定路由信息,自动地建立自己的路由表,并且能够根据链路和节点的变化适时地进行自动调整。
- 当网络中节点或节点间的链路发生故障,或存在其它可用路由时,动态路由可以自行选择最佳的可用路由并继续转发报文。
- 流量型和非流量型安全原子能力
- 流量型一般包括网关类安全能力及镜像类安全能力,
- 网关类通过VPN/PBR/VxLAN/SRv6等技术,将流量牵引至安全能力池内,流量经过处理后再回注被防护对象,此类安全能力与业务流量相关,时延要求较低。
- 镜像类将访问流量镜像至安全资源池内进行分析,并将结果反馈至安全管理系统。
- 非流量型安全能力要求IP可达即可,安全原子能力只需与被防护目标网络IP可达,对时延要求比流量型的要求更低。
