Ⅰ 企業辦公更暢爽,寶藏品牌愛快WiQ1800評測
在上述背景下,網路解決方案提供商愛快於近日發布了全新企業級無線路由IK-Q1800。作為一款千兆雙頻無線路由、首款Wi-Fi 6網關設備,愛快IK-Q1800不僅擁有強大的多設備傳輸能力,還支持MU-MIMO+OFDMA、SD-WAN組網等相關功能,提升了多用戶並發傳輸速率、異地組網能力。由此可見,愛快IK-Q1800可謂集「萬千寵愛」於一身。
在網路設備層面,隨著智能、Wi-Fi 6等新技術的涌現,新一代企業級路由應更加智能,並具備更加靈活的業務感知和處理能力。那麼,愛快IK-Q1800企業級無線路由是不是企業的明智之選?這款新品的實際表現如何?天極網編輯部用為期一個月時間的實際體驗來告訴你答案。
外觀篇:辦公區的「顏值擔當」
印象中企業級網路設備總是一副「笨拙不堪」的模樣,缺乏一種令人耳目一新的 時尚 設計感,以至於極少有入得了眼的產品能夠打破我對企業網路設備的刻板印象,直核塵到筆者親自目睹愛快這款企業級無線路由——IK-Q1800。至今筆者猶記得同事初見愛快IK-Q1800時發出的訝異:「這難道不是家用路由嗎?」
是的,愛快IK-Q1800的外觀,的確很「家用」!
從整體來看,愛快IK-Q1800頗具設計感,尤其是其機身頂部的三條棱線與兩條凹槽搭配得相得益彰,加之黑色的外觀和四根天線的設計,進一步凸出了這款路由器的 時尚 、美觀的特點,特別適合追求新潮的辦公環境中使用。
從細節來看,該路由器頂部印有異常醒目的「iKuai」LOGO,靠前的位置還配置了開關、聯網、LAN、2.4G、5G、USB等狀態指示燈,正常狀態下會綠燈常亮。不僅如此,愛快IK-Q1800還設計了豐富的散熱孔,遍布於機身底部、機身側面,以及機身頂部的兩條凹槽中,散熱性能強悍。
此外,愛快IK-Q1800採用四天線設計,四根天線均可實現前後90 、左右180 翻轉,可根據實際需要進行角度調整。同時,機身背部設計了電源開關、電源插孔、5個LAN/WAN介面、USB連接插孔。
改蠢禪值得一提的是,在5個LAN/WAN介面中,有3個既是LAN介面又是WAN介面,而愛快IK-Q1800的多WAN口配置突出了「負載均衡」的優勢,實現了帶寬疊加,提高了傳輸訪問速度。此外,愛快IK-Q1800還可以通過IP、應用協議、域名等維度進行流量分流和控制。
那麼,該路由器是如何實現流量控制和分流的呢?
後台篇:更直觀更安全更高效
隨著企業業務的雲化,原來本地部署的IT基礎設施逐漸遷移到雲端,企業IT運維人員在得到充分釋放的同時,其工作內容得到進一步簡化。以愛快為代表的企業級網路解決方案廠商充分遵循降本增效、簡化運維這一規律,從網路硬體以及解決方案上,為企業提供更為簡化的運維流程。而愛快IK-Q1800更為簡化的安裝與更為直觀、安全、高效的後台充分體現了這一點。
接下來,我們一起看看數據可視化的的後台界面!
簡單連接愛快IK-Q1800之後,在瀏覽器地址欄鍵入「192.168.1.1」,並訪問該地址,可進入這台企業級無線路由器的後台操作界面,緊接著輸入賬號、密碼(初始賬號、密碼均為admin),進入主操作界面。整個操作過程有專門的操作指導,小白用戶也非常容易上手。
當進入後台之後,用戶可以清晰地看到「網路狀態」、「物理連接」、「介面狀態」、「AC狀態」、「協議流量分布」、「上下行速率」等,這些數據進行了一定的可視化處理,非常直觀。
在狀態監控一欄中,我們可以查看「線路監控」、「終端監控」、「協議監控」、「策略監控」、「負載監控」、「分流監控」等監控內容。其中在「終端監控」中,我們可以直觀看到聯網終端設備的狀態,包括連接數、上行/下行速率、在線時長,還有終端類型。不僅如此,我們可以點擊進檔正入IP/MAC實時查看每個連接設備在使用的協議和應用,還可以直接對終端設備進行限速、禁止聯網設置,防止非白名單用戶上網。另外,在系統設置和網路設置中,我們可以對路由器本身以及網路相關進行設置,諸如登錄管理、Wi-Fi賬號密碼設置等,操作起來也是非常便捷。
針對企業寬頻經常被濫用的問題,愛快IK-Q1800的流控設置中,配置了針對域名、埠、協議等的分流方案,和智能流控的解決方案,可以根據場景(網頁優先、下載優先、視頻優先)進行流量控制,系統將會對網路應用進行智能識別,優先滿足企業需求。
愛快IK-Q1800企業級無線路由還可以作為AC管理器使用,對接入該路由器的AP進行快速部署和管理。部署時,我們直接進入AC管理界面,實現查看並對AP進行分組、升級等操作。不僅如此,該路由器還可以幫助企業營銷,其配置認證服務,可以通過「愛快雲」進行簡單的配置,讓無線秒變企業營銷的利器。
此外,為了維護 健康 、有序的上網行為,愛快IK-Q1800專門配置了行為管控功能,從終端設備到網址瀏覽,再到URL控制,再到應用協議等,都可以通過後台進行設置,對上網行為進行管控。有些企業為了維護秩序,禁止員工在上班時間打 游戲 、看 娛樂 視頻,以及逛購物網站等行為,而愛快IK-Q1800配置的行為管控從技術層面幫企業解決了後顧之憂.
值得一提的是,作為一家專業的IT垂直網站,天極網的日常工作涉及到視頻製作、文章撰寫等,這就需要上網查詢音視頻、文字資料。所以天極網在使用該路由器的過程中,會將其進行簡單的配置,諸如將其設置為視頻優先的智能流控,與此同時會過濾一些與平時工作不相乾的URL,這樣不僅提升辦公效率,公司抱怨網速慢的員工,也很少見了。
性能篇:認證上網限流管控更便捷
為了應對「外來人員」的上網需求,相信為數不少的企業會單獨設置一個名為「Guest」的Wi-Fi,這樣既可以保證訪客的上網,也可以保證企業內部網路不受打攪,尤其是出於安全考慮的情況下。天極網亦是如此。不過隨著網路的普及,越來越多的企業開始發掘一個簡單的Wi-Fi背後的商機,尤其是酒店、餐飲等行業,愛快IK-Q1800支持微信連Wi-Fi、手機認證、用戶認證、QQ認證等10種認證方式,藉以滿足商家的需求。
認證方式
作為企業的營銷手段,用戶可以通過愛快雲平台,對認證的界面進行簡單的配置,例如可以加一些關於企業形象的圖片,可以加上企業的LOGO,以及企業的名稱,這樣訪客在訪問該網路時可以通過認證界面對公司的形象進行大致的了解。這也是企業自我營銷的手段之一。
日常辦公過程中,企業經常會遇到分支機構無法訪問總部OA/CRM、Nas私有雲外網不能隨意獲取企業內網文件等遠程訪問問題,為企業IT運維增加了許多煩惱。為此,愛快獨辟蹊徑地實現了內網穿透功能,滿足企業移動辦公的需求。
以下是內網穿透的適用場景:
1、適用於移動辦公、分支機構便捷訪問總部OA、CRM訪問,以及文件傳輸等場景
2、適用於遠程IT運維,支持自定義目的埠,滿足多種訪問需求,降低IT管理成本
3、適用於動態IP或私有IP接入場景,使用固定域名即可訪問內網資源
不僅如此,愛快在發布IK-Q1800之前將其SD-WAN升級至3.0版本,引入基於零信任的SDP(軟體定義邊界),實現更高安全度、更輕量化的安全連接管控,保駕護航網路安全邊界。此外,新版本支持綁定釘釘和企業微信,支持主備部署、透明網橋部署,以及U盤和郵件零配置,幫助企業解決用戶在組網方面的部署難題,讓組網變得更加簡單、高效、便捷。
認證計費功能的設計,讓企業增加了一個營銷的渠道,愛快將認證後台打造的簡單、直觀,讓網路小白可以直接上手,降低了運維難度。不僅如此,SD-WAN 3.0的全新升級更是愛快的誠意之作,其與企業微信、釘釘的打通,讓網路部署變得更加簡單,整體簡化了運維的流程。
隨著手機、平板等移動設備的普及,通過移動端APP對網路設備進行管理、運維已經成為「時髦」的方式之一。針對移動端,愛快專門開發「愛快e雲」APP,手機直接進入管理後台,可實現測速、信號檢測、快速配網、漫遊測試等遠程可視化運維,幫助企業管理者提升運維質量,縮短投入時間。
信號篇:無懼阻隔,覆蓋加分
作為一款企業級無線路由,愛快IK-Q1800有著較高的帶機量。為了維持機器性能的穩定,官方推薦待機量為80台。在實際使用過程中,天極網讓員工隨意、自願接入該網路,顯示設備終端數在57台的時候,性能依舊穩定。
此外,愛快IK-Q1800外置四根5dBi高增益天線,有著良好的無線覆蓋能力。那麼,愛快IK-Q1800能夠覆蓋天極網的辦公空間嗎?我們對這款路由的信號覆蓋進行了測試。(測試結果僅供參考)
我們先來介紹一下測試環境和測試方法。
測試環境:該測試環境為天極網辦公區域,A點為愛快IK-Q1800的擺放位置,其餘點均為測試點,其中D點、E點、F點與路由器有牆體阻隔。
測試方法:我們在天極網辦公區,通過專業的無線信號測試軟體WirelessMon,實際測試愛快IK-Q1800路由器的無線覆蓋和信號強度及無線穿牆能力。(註:2.4GHz在前;5GHz在後)
臨近A點測試成績:
無線信號強度為91%
無線信號強度為86%
B點測試成績:
無線信號強度為63%
無線信號強度為48%
C點測試成績:
無線信號強度為62%
無線信號強度為40%
D點測試成績
無線信號強度為48%
無線信號強度為41%
E點測試成績
無線信號強度為63%
無線信號強度為46%
F點測試成績:
無線信號強度是60%
無線信號強度是37%
值得注意的是,此次信號覆蓋測試算是極限測試,測試點在或是辦公區域的周邊,或是與路由器有著一牆之隔的位置。
經過WirelessMon測試,愛快IK-Q1800的成績已經出爐。數據顯示,測試點在A點附近時,2.4GHz的信號強度是91%,而其他諸如B、C、D、E、F等測試點,或是靠近公司的邊緣位置,或是與辦公區有著一牆之隔。即便如此,愛快IK-Q1800的2.4GHz的信號強度依舊達到48%以上(D點與路由器距離遠而且有一牆之隔),愛快IK-Q1800的5GHz的信號強度依舊達到37%以上(F點與路由器距離較遠且有一牆之隔)。
綜合來看,愛快IK-Q1800企業級無線路由的信號覆蓋足以滿足天極網日常所需。
評價篇:企業的智慧之選
通過以上嚴苛的測試,愛快IK-Q1800企業級路由器不管是在信號覆蓋,還是在後台管理,亦或是SD-WAN部署上,都有著可圈可點的表現。無論是在中小企業辦公場景,還是連鎖店鋪,亦或是餐飲,這樣一款千兆雙頻、Wi-Fi 6無線路由無疑是明智之選。
購買鏈接://item.jd.com/100013184151.html
Ⅱ 微隔離安全原理
微隔離安全原理是:微隔離通過單個中央策略將安全性實施分配到每個單獨的系統。微隔離仍然依靠傳統的網路安全技術,例如訪問控制網路。是專門為解決關鍵網路安全問題而設計的,可以降低風險並使安全性能夠適應不斷變化的IT環境。
提到微隔離,我們有必要先回顧一下零信任架構的概念。零信任是一個全新的安全機制和構想,即所有資產都必須先經過身份驗證和授權,然後才能啟動與另一資產的通信。
SDP是一種零信任實現框架,通過使用微隔離在資產之間創建信任關系,將零信任安全性概念應用於網路中。SDP可以作為有效的網路安全控制措施,使組織更能抵禦傳統的網路安全攻擊。
因此,微隔離是基於SDP實現零信任架構的重要技術,但是與很多新興技術一樣,SDP也有很多實現方法和路徑,不同的企業需要根據自身需求以及不同方法的優缺點來選擇適合自己的道路。
需要重點指出的是,微隔離不僅是面向數據中心的技術。Cross說:「許多安全事件始於最終用戶工作站,因為員工單擊釣魚鏈接,或者他們的系統受到其他方式的破壞。」從最初的感染點開始,攻擊者可以流竄到整個企業網路。
他解釋說:「微隔離平台應該能夠通過單個控制台在數據中心,雲工作負載和最終用戶工作站上實施策略。」「它還應該能夠阻止攻擊在任何這些環境中的橫向傳播。」
Ⅲ 什麼是網路安全零信任
先糾正一下,網路安全是網路安全,零信任是零信任,兩者不是完全的等同關系的,應該說零信任是一種全新的網路安全防護理念。零信任基於身份認證和授權重新構建訪問控制的信任基礎,從而確保身份可信、設備可信、應用可信和鏈路可信。近年來,國內的零信任市場也風頭強勁,很多公司都在深究零信任市場,我們公司目前合作的指掌易研究零信任挺久的了,他們家服務還不錯,你可以去咨詢了解了解。
Ⅳ 零信任落地實踐方案探討
文 華潤醫葯商業集團有限公司智能與數字化部 孫宏鳴
零信任概念的提出,徹底顛覆了原來基於邊界安全的防護模型,近年來受到了國內外網路安全業界的追捧。
所謂零信任顧名思義就是「從不信任」,那麼企業是否需要摒棄原有已經建立或正在搭建的傳統基於邊界防護的安全模型,而向零信任安全模型進行轉變呢?零信任是企業安全建設中必須經歷的安全防護體系技術革新,但它必然要經歷一個長期 探索 實踐的過程。
一、零信任的主要安全模型分析
雲計算和大數據時代,網路安全邊界泛化,內外部威脅越來越大,傳統的邊界安全架構難以應對,零信任安全架構應運而生。作為企業,該如何選擇「零信任」安全解決方案,為企業解決目前面臨的安全風險?
目前「零信任」安全模型較成熟的包括安全訪問服務邊緣(SASE)模型和零信任邊緣(ZTE)模型等。以這兩種模型為例,首先要先了解目前模型的區別,探討各自的發展趨勢,再選擇適合企業的落地實施方案。
對 SASE 模型,身份驅動、雲架構、支撐所有邊緣以及網路服務提供點(PoP)分布是其主要特徵。SASE 模型擴展了身份的定義,將原有的用戶、組、角色分配擴展到了設備、應用程序、服務、物聯網、網路邊緣位置、網路源頭等,這些要素都被歸納成了身份,所有這些與網路連接相關聯的服務都由身份驅動。與傳統的廣域網不同,SASE 不會強制將流量回傳到數據中心進行檢索,而是將檢查引擎帶到附近的 PoP 點,客戶端將網路流量發到 PoP 點進行檢查,並轉發到互聯網或骨幹網轉發到其他 SASE 客戶端,從而消除網路回傳所造成的延遲。SASE 可提供廣域網和安全即服務(SECaaS),即提供所有雲服務特有的功能,實現最大效率、方便地適應業務需求,並將所有功能都放置在 PoP 點上。
SASE 模型的優點在於能夠提供全面、靈活、一致的安全服務 , 同時降低整體安全建設成本,整合供應商和廠家的資源,為客戶提供高效的雲服務。通過基於雲的網路安全服務可簡化 IT 基礎架構,減少 IT 團隊管理及運維安全產品的數量,降低後期運維的復雜性,極大地提高了工作效率。SASE 模型並利用雲技術為企業優化性能、簡化用戶驗證流程,並對未授權的數據進行保護。
SASE 模型強調網路和安全緊耦合,網路和安全同步建設,為正在准備搭建安全體系的企業提供了較為理想的路徑。反之,已經搭建或正在搭建安全體系過程中的企業,如果要重構企業網路結構,是個極大的挑戰,也是一筆不小的投入。所以,SASE 模型可能更適用於面對終端用戶的零售行業,為這類企業提供完整的安全服務,不需要企業在每一個分支節點上搭建一整套安全體系,便於統一管理並降低建設成本。
ZTE 模型的重點在零信任。一是數據中心零信任,即資源訪問的零信任,二是邊緣零信任,即所有邊緣的零信任訪問安全。其實可以理解為SASE 模型納入了零信任的模塊,本質上是一個概念。ZTE 模型強調網路和安全解耦,先解決遠程訪問問題,再解決網路架構重構問題。
二、華潤醫葯商業集團零信任的實踐
華潤醫葯商業集團有限公司(以下簡稱「公司」)作為華潤下屬的大型醫葯流通企業,在全國分布百餘家分子公司,近千家葯店,日常業務經營都離不開信息化基礎支撐,所以網路安全工作尤為重要。近年來各央企在網路安全建設方面均積極響應國家號召及相關法律法規要求,完善網路安全防護能力,公司同樣十分重視網路安全建設,目前同國內主流安全廠商合作,建立了以態勢感知為核心,貫穿邊界與終端的縱深防禦體系,並通過連續兩年參與攻防演練,不斷提升網路安全人員專業水平,通過攻防實戰進一步優化網路安全建設。
但公司在涉及雲計算、大數據、物聯網等技術領域時,現有的網路邊界泛化給企業帶來的安全風險不可控,傳統的基於邊界的網路安全架構和解決方案難以適應現代企業網路基礎設施,而零信任能夠有效幫助公司在數字化轉型中解決難以解決的問題。
公司選擇了 SASE(安全訪問服務邊緣)和ZTE(零信任邊緣)兩種模型並行的解決方案為企業摸索「零信任」網路安全架構推進的方向。
公司分支企業眾多,幾乎覆蓋全國范圍,存在安全管控難、處置難、安全性低、資源靈活性差等問題,並缺少整體統一的長效運營機制。基於以上問題,公司參考了 SASE 模型的解決方案,將原有的傳統廣域網鏈接數據中心的訪問形式變為PoP 點廣域網匯聚的網路架構方案,由統一的運營服務商提供網路鏈路及全面的安全服務。但並不是完全重構原有的網路架構,而是分為三類情況使用不同的方案。
第一類是改變網路安全管理方式,主要針對區域公司。 由於大部分區域公司已經搭建了相對成熟的安全體系,只將原有的傳統廣域網鏈路改為就近接入運營商 PoP 點,並將原有的雙線冗餘線路的備用線路使用軟體定義廣域網(SD-WAN)技術進行替換,並通過服務質量(QoS)機制將主營業務與辦公業務進行合理切分,大大提高了網路使用效率,降低費用成本,並且可以通過統一的管理平台對廣域網進行管理,統一下發配置安全策略,提高整體安全管控和處置。
第二類是逐層匯聚、分層管理,主要針對二、三級分支機構。 這類單位安全體系雖已建設,但還未達到較高的程度,通過就近接入 PoP 點或匯聚到區域公司,由運營商提供部分安全服務或由區域公司進行統一管控。
第三類主要針對零售門店及小型分支機構這類沒有能力搭建安全體系的單位。 使用 SD-WAN 安全接入方案就近接入 PoP 點,由運營商提供整體的安全服務,從而降低安全建設成本並加強統一安全管控。通過 SASE 模型的管理理念對網路架構進行調整,提供全面、一致的安全服務 , 同時降低整體安全建設成本,提高工作效率。
近兩年,公司辦公受新冠疫情的影響,員工居家辦公成為常態化。作為虛擬專用網路(VPN)產品的使用「大戶」,公司原有的 VPN 賬戶眾多 ,傳統 VPN 在使用過程中已經難以滿足當前業務的需求,一些問題逐漸暴露,經常出現不同程度的安全風險。傳統 VPN 架構存在很多問題,如許可權基於角色固定分配,不夠靈活,在業務生成中及重保等特殊時期,粗放的許可權管控無法達到對不同角色的業務人員及非法人員的訪問控制。業務埠暴露在公網,本身即存在賬號冒用、惡意掃描、口令爆破等安全隱患。公司總部負責 VPN 業務運維,涉及下級單位 VPN 問題均需要總部人員處理,諸如找回賬號密碼等細微而繁瑣的問題佔用了總部人員大量時間和精力。不同終端、瀏覽器對於傳統 VPN 客戶端的兼容性不同,兼容性問題也是經常被員工吐槽的地方。在 VPN 使用中,基於互聯網的加密訪問經常因為網路原因出現業務卡頓甚至掉線問題。
為此,公司參考了 ZTE 模型的解決方案,首先解決遠程訪問問題。公司於 2021 年進行了零信任安全建設試點,以零信任理念為指導,結合深信服軟體定義邊界(SDP)架構的零信任產品,構建了覆蓋全國辦公人員的零信任遠程辦公平台。
SDP 架構的零信任產品,對訪問連接進行先認證、再連接,拒絕一切非法連接請求,有效縮小暴露面,避免業務被掃描探測以及應用層分布式拒絕服務攻擊(DDoS)。通過單包認證(SPA)授權安全機制實現業務隱身、服務隱身,保護辦公業務及設備自身。對於沒有安裝專有客戶端的電腦,伺服器不會響應來自任何客戶端的任何連接,無法打開認證界面及無法訪問任何介面。具備自適應身份認證策略,異常用戶在異常網路、異常時間、新設備訪問重要敏感應用或數據時,零信任平台強制要求用戶進行二次認證、應用增強認證,確保用戶身份的可靠性。
零信任的試點應用,提升了公司的網路安全性,簡化了運維。但基於公司現狀及規劃,試點工作還需進一步同廠商進行下一步的工作落地和 探索 。在使用體驗優化方面,由於 SDP 架構的數據轉發鏈更多,零信任與 VPN 使用流暢度上差異不大,在用戶使用體驗方面需要進一步優化。零信任安全體系需要全面支持互聯網協議第 6 版(IPV6),依據相關政策要求,需要進行 IPV6 業務改造,通過零信任對外發布的業務將優先進行改造。零信任安全體系需要支持內部即時通訊,將零信任產品進一步同公司現有辦公平台進行對接,實現身份、業務的統一管理,實現單點登錄。公司零信任安全體系建設的下一步工作,是將公司現有安全體系建設進一步與零信任產品體系打通,實現數據互通,進一步提高管理信息化中的安全可靠性。
三、結語
零信任安全架構對傳統的邊界安全架構模式重新進行了評估和審視,並對安全架構給出了新的建設思路。但零信任不是某一個產品,而是一種新的安全架構理念,在具體實踐上,不是僅在企業網路邊界上進行訪問控制,而是應對企業的所有網路邊緣、身份之間的所有訪問請求進行更細化的動態訪問控制,從而真正實現「從不信任,始終驗證」。
(本文刊登於《中國信息安全》雜志2022年第2期)
Ⅳ 各網路層安全協議有哪些
應用層
·DHCP(動態主機分配協議)
· DNS (域名解析)
· FTP(File Transfer Protocol)文件傳輸協議
· Gopher (英文原義:The Internet Gopher Protocol 中文釋義:(RFC-1436)網際Gopher協議)
· HTTP (Hypertext Transfer Protocol)超文本傳輸協議
· IMAP4 (Internet Message Access Protocol 4) 即 Internet信息訪問協議的第4版本
· IRC (Internet Relay Chat )網路聊天協議
· NNTP (Network News Transport Protocol)RFC-977)網路新聞傳輸協議
· XMPP 可擴展消息處理現場協議
· POP3 (Post Office Protocol 3)即郵局協議的第3個版本
· SIP 信令控制協議
· SMTP (Simple Mail Transfer Protocol)即簡單郵件傳輸協議
· SNMP (Simple Network Management Protocol,簡單網路管理協議)
· SSH (Secure Shell)安全外殼協議
· TELNET 遠程登錄協議
· RPC (Remote Procere Call Protocol)(RFC-1831)遠程過程調用協議
· RTCP (RTP Control Protocol)RTP 控制協議
· RTSP (Real Time Streaming Protocol)實時流傳輸協議
· TLS (Transport Layer Security Protocol)安全傳輸層協議
· SDP( Session Description Protocol)會話描述協議
· SOAP (Simple Object Access Protocol)簡單對象訪問協議
· GTP 通用數據傳輸平台
· STUN (Simple Traversal of UDP over NATs,NAT 的UDP簡單穿越)是一種網路協議
· NTP (Network Time Protocol)網路校時協議
傳輸層
·TCP(Transmission Control Protocol)傳輸控制協議
· UDP (User Datagram Protocol)用戶數據報協議
· DCCP (Datagram Congestion Control Protocol)數據報擁塞控制協議
· SCTP(STREAM CONTROL TRANSMISSION PROTOCOL)流控制傳輸協議
· RTP(Real-time Transport Protocol或簡寫RTP)實時傳送協議
· RSVP (Resource ReSer Vation Protocol)資源預留協議
· PPTP ( Point to Point Tunneling Protocol)點對點隧道協議
網路層
IP(IPv4 · IPv6) Internet Protocol(網路之間互連的協議)
ARP : Address Resolution Protocol即地址解析協議,實現通過IP地址得知其物理地址。
RARP :Reverse Address Resolution Protocol 反向地址轉換協議允許區域網的物理機器從網關伺服器的 ARP 表或者緩存上請求其 IP 地址。
ICMP :(Internet Control Message Protocol)Internet控制報文協議。它是TCP/IP協議族的一個子協議,用於在IP主機、路由器之間傳遞控制消息。
ICMPv6:
IGMP :Internet 組管理協議(IGMP)是網際網路協議家族中的一個組播協議,用於IP 主機向任一個直接相鄰的路由器報告他們的組成員情況。
RIP : 路由信息協議(RIP)是一種在網關與主機之間交換路由選擇信息的標准。
OSPF :(Open Shortest Path First開放式最短路徑優先).
BGP :(Border Gateway Protocol )邊界網關協議,用來連接Internet上獨立系統的路由選擇協議
IS-IS:(Intermediate System to Intermediate System Routing Protocol)中間系統到中間系統的路由選擇協議.
IPsec:「Internet 協議安全性」是一種開放標準的框架結構,通過使用加密的安全服務以確保在 Internet 協議 (IP) 網路上進行保密而安全的通訊。
數據鏈路層
802.11 · 802.16 · Wi-Fi · WiMAX · ATM · DTM · 令牌環 · 乙太網 · FDDI · 幀中繼 · GPRS · EVDO · HSPA · HDLC · PPP · L2TP · ISDN
Ⅵ 零信任網路安全
近年來,國內信息與通信技術(ICT)發展迅速,各企業將新技術應用於商業環境,推動了其數字化應用與發展。與此同時,也出現了許多信息安全方面的問題,如用戶信息泄露和盜用、病毒引起的數據丟失、外部攻擊導致的業務停頓等,對企業和社會的發展產生了極大影響。確保企業日益復雜的IT系統能夠長期、安全、可靠運轉成為眾多企業IT決策者面臨的巨大挑戰。另外,隨著以《中華人民共和國網路安全法》頒布為標志的一系列法律法規及各類標準的推出,網路安全上升為重要國家戰略。網路安全不僅是企業內部的問題,還是企業合法合規開展業務的重要內容。
隨著雲計算、大數據、移動互聯網、物聯網(IoT)、第五代移動通信(5G)等新技術的崛起,傳統的網路安全架構難以適應時代發展需求,一場網路安全架構的技術革命正在悄然發生,其受到越來越多企業IT決策者的認可。
在傳統安全理念中,企業的伺服器和終端辦公設備主要運行在內部網路中,因此,企業的網路安全主要圍繞網路的「牆」建設,即基於邊界防護。然而,物理安全邊界有天然的局限性。隨著雲計算、大數據、移動互聯網、物聯網等技術的融入,企業不可能將數據局限在自己的內部網路中。例如,企業要上雲,就不能將公有雲裝入自己的防火牆;企業要發展移動辦公、物聯網,防火牆卻無法覆蓋外部各角落;企業要擁抱大數含森據,就不可避免地要與合作夥伴進行數據交換。因此,傳統安全邊界模型在發展新技術的趨勢下逐漸瓦解,在萬物互聯的新時代成為企業發展的障礙,企業需要建立新的網路安全模型。
在這樣的時代背景下,基於零信任理念的新一代網路安全架構應運而生。它打破了傳統安全邊界,不再默認企業物理邊界內的安全性,不再基於用戶與設備在網路中的位置判斷是否可信,而是始終驗證用戶的身份、設備的合法性及許可權,即遵循「永不信任,始終校驗(Never Trust,Always Verify)」的零信任理念。在零信任理念下,網路位置變得不再重要,其完全通過軟體來定義企業的安全邊界,「數據在哪裡,安全就到哪裡」。SDP依託自身優勢成為解決新時代諸多安全問題的最佳選項,其安全性和易用性也通過大量企業的實踐得到了驗證。為了推進SDP技術在中國的落地,CSA(大中華區)於2019年成立SDP工作組。
本書基於SDP工作組的若干成果,對分散在不同文獻中的理論與概念進行匯總和整理,自上而下地對SDP的完整架構進行詳細介紹,並結合大量實踐案例,為讀者提供完整的軟體定義邊界技術架構指南。
(1)企業信息安全決策者。本書為企業信息安全決策者設計基於SDP的企業信息安全戰略提供完整的技術指導和案例參考。
(2)信息安全、企業架構或安全合規領域的專業人員。本書將指導他們對SDP解決方案進行評估、設計、部署和運營。
(3)解決方案供應商、服務供應商和技術供應商將從本書提供的信息中獲益。
(4)安全領域的研究人員。
(5)對SDP有興趣並有志從事安全領域工作的人。
第1章對SDP的基本概念、主要功能等進行介紹。
第2章對SDP架構、工作原理、連接過程、訪問控制及部署模式等進行介紹。
第3章對SDP架構的具體協議及日誌進行介紹。
第4章對SDP架構部署模式及其適用場景進行介紹,為企業部署SDP架構做技術准談叢畝備。
第5章對企業部署SDP需要考慮的問題、SDP與企業信息安全要素集成及SDP的應用領域進行介紹。
第6章對技術原理和IaaS使用場景進行分析與介紹,指導企業安全上雲。
第7章通過展示SDP對DDoS攻擊的防禦機制,加強讀者對SDP的認識和理解。
第8章介紹SDP對等保2.0各級要求的適用情況。通過對等保2.0的深入解讀,展示如何通過SDP滿足企業的等保2.0合規要求。
第9章對SDP戰略規劃與部署遷移方法進行介紹,在戰略規劃和部署遷移層面為企業提供指導。
第10章對NIST、Google、微軟及Forrester的零信任架構與實現進行介紹。
第11章精鄭孫選了國內主要的SDP和零信任實踐案例,對其進行介紹。
(1)本書主要基於公有雲的IaaS產品,如Amazon Web Services、Microsoft Azure、Google Compute Engine和Rackspace Public Cloud等。其相關用例和方法同樣適用於私有化部署的IaaS,如基於VMware或OpenStack的私有雲等。
(2)按照SDP規范實現商業化的廠商與沒有嚴格按照SDP規范進行產品開發的廠商,在構建產品的過程中,有不同架構、方法和能力。本書對廠商保持中立並避免涉及與頭部廠商相關的能力。如果有因為廠商能力產生的差異化案例,本書盡量使用「也許、典型的、通常」等詞語來解釋這些差異,避免減弱本書的可讀性。
(3)高可用性和負載均衡不在本書的討論范圍內。
(4)SDP策略模型不在本書的討論范圍內。本書討論的SDP用例和方法也適用於平台即服務(PaaS)。
(5)下列內容為引用文字。
零信任網路又稱軟體定義邊界(SDP),是圍繞某個應用或某組應用創建的基於身份和上下文的邏輯訪問邊界。應用是隱藏的,無法被發現,並且通過信任代理限制一組指定實體訪問。在允許訪問前,代理會驗證指定訪問者的身份、上下文和策略合規性。該機制將應用資源從公共視野中消除,從而顯著縮小可攻擊面。
(6)下列內容為數據包格式。
IP TCP AID(32位) 密碼(32位) 計數器(64位)
(7)標題帶有「JSON規范格式」字樣的方框中的內容為JSON文件的標准格式。
JSON規范格式
{
「sid」: <256-bit IH Session ID>,
「seed」:<32-bit SPA seed>,
「counter」: <32-bit SPA counter>
[
「id」:<32-bit Service ID>
]
}
Ⅶ 零信任,未來網路安全體系的「骨架」
企業實現零信任網路能夠獲得什麼效果?實施零信任網路使得企業網路安全水平提升、合規審計能力提升、生產效率提升,其可作為網路安全體系的「骨架」連接其他安全技術,筆者認為零信任網路是更符合發展潮流的IT設施建設方案。
零信任網路實現了身份、設備、應用的動態信任評估體系,並通過信任評估進行作用於資源訪問路徑上持續的訪問控制。零信任技術使得網路平台具備層次化的、一致的、持續的訪問控制能力。
在邊界防護體系中,安全產品堆砌在網路邊界,意圖建立起一道防線阻隔網路攻擊,內網則成為信任區,內網的東西向流量缺少最基礎的訪問控制能力。這種體系下內網計算機失陷後,攻擊者能夠利用設備固有的信任和已授予用戶的信任來進一步橫向移動、訪問資源。
零信任網路則以資源保護為核心訴求規劃防護體系,通過在所有資源訪問路徑上建立訪問控制點,收斂了資源暴露面,綜合資源訪問過程中包括身份、設備、環境、時間在內的所有網路空間因素對訪問行為進行可信度判斷,以此為依據從網路可見性、資源可見性、資源訪問許可權三個層級進行訪問控制。
典型的企業IT系統建設呈現煙囪式,各個系統相互獨立,企業成員需要在每個系統上建立賬號,弱密碼、各系統用同一個密碼、密碼長期不更改等問題無法根除。當人員流動、人員職責變更時賬號身份管理出現疏漏難以避免,導致人員許可權膨脹,遺留大量僵屍賬號等問題。在面對網路攻擊時,這些失控身份將成為攻擊者滲透企業的切入點,獲取資源的入口。企業可以通過建設IAM系統,對身份統一管理,建立多因子、SSO認證,緩解身份失控風險,強化認證強度和可信度。然而IAM系統是基於應用層進行訪問控制,無法防護對操作系統、中間件等的攻擊。
零信任網路在圍繞資源建立了訪問控制點後,進一步實現以身份為中心訪問控制策略。工程實踐上,零信任架構能夠與IAM系統對接,集成現有身份和訪問管理能力,實質上擴展了IMA的作用邊界,將其對應用層的保護延伸到網路接入層。
企業的辦公環境正變得越來越復雜,員工需要能使用公司配發資產、個人自帶設備或者移動設備訪問企業資產,這對企業網路安全帶來巨大挑戰。企業IT和安全人員需要面對設備黑洞,有多少員工自帶辦公設備、哪個設備現在是誰在用、某個IP是誰的什麼設備,當應急響應事件發生時如何快速定位到誰的設備出現異常。EPP、EDR、CWPP等主機防護安全產品能夠對設備資產進行管理,但是缺少將設備資產與企業數字身份關聯的能力。
零信任網路為所有設備建立標識,關聯設備與使用者身份,將設備狀態作為訪問控制策略的關鍵因素,納入信任度評價體系,不同設備類型、不同設備狀態計算出不同信任度,不同信任度設定合理的資源訪問許可權。在實踐中,設備管理可以採用靈活的解決方案,例如對公司設備資產頒發專用數字證書賦予唯一身份認證,員工自帶設備則安裝客戶端軟體進行基線檢測。
零信任體系能夠與傳統安全產品集成,或者直接使用傳統安全產品實現。以NIST抽象的零信任架構為例:策略決策點可與IAM系統對接實現身份信息的獲取和認證授權,持續評估可結合UEBA、SOC、SIEM等系統實現,設備資產的標識和保護可以使用EDR類產品,設備資產可以安裝DLP類產品實現端到端的資源保護。
滿足等保2.0的解決方案
等保2.0完善了我國網路安全建設標准,其提出的一個中心三重防護思想與零信任思想高度契合。在CSA發布的《SDP實現等保2.0合規技術指南白皮書》中,CSA中國區專家梳理了SDP與等保技術要求點的適用情況,零信任技術在等保2.0技術要求的網路架構、通信傳輸、邊界安全、訪問控制、安全審計、身份鑒別等要求項上均有良好適用性。
企業將信息系統、資源部署在私有或者雲數據中心,員工通過辦公場所的有線固網、企業專有WIFI等方式接入網路獲取工作所需資源。外出員工、企業分支機構、合作夥伴則通過VPN與數據中心建立連接,進行日常辦公和信息交互。用戶使用不同工具對資源進行訪問。
在零信任網路下,無論員工在辦公場所、機場、高鐵,無論資源在私有數據中心還是公有雲上,其都能通過零信任網路提供的「身份、設備、應用」信任鏈訪問有權訪問的資源。
隨著企業數據中心和分支機構增多,異地數據中心繁多,核心應用上雲,大量應用第三方SaaS,其辦公環境愈發復雜,員工一項工作需要多種資源,所需資源分布在不同物理設施,工作時常要登錄多個系統,來回切換不同的VPN。
零信任網路通過統一的認證管理,使得員工一次登錄即可獲得應有的應用訪問許可權,同時使用部署在不同位置的應用,極大改善了工作效率和工作體驗。