Ⅰ 企业办公更畅爽,宝藏品牌爱快WiQ1800评测
在上述背景下,网络解决方案提供商爱快于近日发布了全新企业级无线路由IK-Q1800。作为一款千兆双频无线路由、首款Wi-Fi 6网关设备,爱快IK-Q1800不仅拥有强大的多设备传输能力,还支持MU-MIMO+OFDMA、SD-WAN组网等相关功能,提升了多用户并发传输速率、异地组网能力。由此可见,爱快IK-Q1800可谓集“万千宠爱”于一身。
在网络设备层面,随着智能、Wi-Fi 6等新技术的涌现,新一代企业级路由应更加智能,并具备更加灵活的业务感知和处理能力。那么,爱快IK-Q1800企业级无线路由是不是企业的明智之选?这款新品的实际表现如何?天极网编辑部用为期一个月时间的实际体验来告诉你答案。
外观篇:办公区的“颜值担当”
印象中企业级网络设备总是一副“笨拙不堪”的模样,缺乏一种令人耳目一新的 时尚 设计感,以至于极少有入得了眼的产品能够打破我对企业网络设备的刻板印象,直核尘到笔者亲自目睹爱快这款企业级无线路由——IK-Q1800。至今笔者犹记得同事初见爱快IK-Q1800时发出的讶异:“这难道不是家用路由吗?”
是的,爱快IK-Q1800的外观,的确很“家用”!
从整体来看,爱快IK-Q1800颇具设计感,尤其是其机身顶部的三条棱线与两条凹槽搭配得相得益彰,加之黑色的外观和四根天线的设计,进一步凸出了这款路由器的 时尚 、美观的特点,特别适合追求新潮的办公环境中使用。
从细节来看,该路由器顶部印有异常醒目的“iKuai”LOGO,靠前的位置还配置了开关、联网、LAN、2.4G、5G、USB等状态指示灯,正常状态下会绿灯常亮。不仅如此,爱快IK-Q1800还设计了丰富的散热孔,遍布于机身底部、机身侧面,以及机身顶部的两条凹槽中,散热性能强悍。
此外,爱快IK-Q1800采用四天线设计,四根天线均可实现前后90 、左右180 翻转,可根据实际需要进行角度调整。同时,机身背部设计了电源开关、电源插孔、5个LAN/WAN接口、USB连接插孔。
改蠢禅值得一提的是,在5个LAN/WAN接口中,有3个既是LAN接口又是WAN接口,而爱快IK-Q1800的多WAN口配置突出了“负载均衡”的优势,实现了带宽叠加,提高了传输访问速度。此外,爱快IK-Q1800还可以通过IP、应用协议、域名等维度进行流量分流和控制。
那么,该路由器是如何实现流量控制和分流的呢?
后台篇:更直观更安全更高效
随着企业业务的云化,原来本地部署的IT基础设施逐渐迁移到云端,企业IT运维人员在得到充分释放的同时,其工作内容得到进一步简化。以爱快为代表的企业级网络解决方案厂商充分遵循降本增效、简化运维这一规律,从网络硬件以及解决方案上,为企业提供更为简化的运维流程。而爱快IK-Q1800更为简化的安装与更为直观、安全、高效的后台充分体现了这一点。
接下来,我们一起看看数据可视化的的后台界面!
简单连接爱快IK-Q1800之后,在浏览器地址栏键入“192.168.1.1”,并访问该地址,可进入这台企业级无线路由器的后台操作界面,紧接着输入账号、密码(初始账号、密码均为admin),进入主操作界面。整个操作过程有专门的操作指导,小白用户也非常容易上手。
当进入后台之后,用户可以清晰地看到“网络状态”、“物理连接”、“接口状态”、“AC状态”、“协议流量分布”、“上下行速率”等,这些数据进行了一定的可视化处理,非常直观。
在状态监控一栏中,我们可以查看“线路监控”、“终端监控”、“协议监控”、“策略监控”、“负载监控”、“分流监控”等监控内容。其中在“终端监控”中,我们可以直观看到联网终端设备的状态,包括连接数、上行/下行速率、在线时长,还有终端类型。不仅如此,我们可以点击进档正入IP/MAC实时查看每个连接设备在使用的协议和应用,还可以直接对终端设备进行限速、禁止联网设置,防止非白名单用户上网。另外,在系统设置和网络设置中,我们可以对路由器本身以及网络相关进行设置,诸如登录管理、Wi-Fi账号密码设置等,操作起来也是非常便捷。
针对企业宽带经常被滥用的问题,爱快IK-Q1800的流控设置中,配置了针对域名、端口、协议等的分流方案,和智能流控的解决方案,可以根据场景(网页优先、下载优先、视频优先)进行流量控制,系统将会对网络应用进行智能识别,优先满足企业需求。
爱快IK-Q1800企业级无线路由还可以作为AC管理器使用,对接入该路由器的AP进行快速部署和管理。部署时,我们直接进入AC管理界面,实现查看并对AP进行分组、升级等操作。不仅如此,该路由器还可以帮助企业营销,其配置认证服务,可以通过“爱快云”进行简单的配置,让无线秒变企业营销的利器。
此外,为了维护 健康 、有序的上网行为,爱快IK-Q1800专门配置了行为管控功能,从终端设备到网址浏览,再到URL控制,再到应用协议等,都可以通过后台进行设置,对上网行为进行管控。有些企业为了维护秩序,禁止员工在上班时间打 游戏 、看 娱乐 视频,以及逛购物网站等行为,而爱快IK-Q1800配置的行为管控从技术层面帮企业解决了后顾之忧.
值得一提的是,作为一家专业的IT垂直网站,天极网的日常工作涉及到视频制作、文章撰写等,这就需要上网查询音视频、文字资料。所以天极网在使用该路由器的过程中,会将其进行简单的配置,诸如将其设置为视频优先的智能流控,与此同时会过滤一些与平时工作不相干的URL,这样不仅提升办公效率,公司抱怨网速慢的员工,也很少见了。
性能篇:认证上网限流管控更便捷
为了应对“外来人员”的上网需求,相信为数不少的企业会单独设置一个名为“Guest”的Wi-Fi,这样既可以保证访客的上网,也可以保证企业内部网络不受打搅,尤其是出于安全考虑的情况下。天极网亦是如此。不过随着网络的普及,越来越多的企业开始发掘一个简单的Wi-Fi背后的商机,尤其是酒店、餐饮等行业,爱快IK-Q1800支持微信连Wi-Fi、手机认证、用户认证、QQ认证等10种认证方式,借以满足商家的需求。
认证方式
作为企业的营销手段,用户可以通过爱快云平台,对认证的界面进行简单的配置,例如可以加一些关于企业形象的图片,可以加上企业的LOGO,以及企业的名称,这样访客在访问该网络时可以通过认证界面对公司的形象进行大致的了解。这也是企业自我营销的手段之一。
日常办公过程中,企业经常会遇到分支机构无法访问总部OA/CRM、Nas私有云外网不能随意获取企业内网文件等远程访问问题,为企业IT运维增加了许多烦恼。为此,爱快独辟蹊径地实现了内网穿透功能,满足企业移动办公的需求。
以下是内网穿透的适用场景:
1、适用于移动办公、分支机构便捷访问总部OA、CRM访问,以及文件传输等场景
2、适用于远程IT运维,支持自定义目的端口,满足多种访问需求,降低IT管理成本
3、适用于动态IP或私有IP接入场景,使用固定域名即可访问内网资源
不仅如此,爱快在发布IK-Q1800之前将其SD-WAN升级至3.0版本,引入基于零信任的SDP(软件定义边界),实现更高安全度、更轻量化的安全连接管控,保驾护航网络安全边界。此外,新版本支持绑定钉钉和企业微信,支持主备部署、透明网桥部署,以及U盘和邮件零配置,帮助企业解决用户在组网方面的部署难题,让组网变得更加简单、高效、便捷。
认证计费功能的设计,让企业增加了一个营销的渠道,爱快将认证后台打造的简单、直观,让网络小白可以直接上手,降低了运维难度。不仅如此,SD-WAN 3.0的全新升级更是爱快的诚意之作,其与企业微信、钉钉的打通,让网络部署变得更加简单,整体简化了运维的流程。
随着手机、平板等移动设备的普及,通过移动端APP对网络设备进行管理、运维已经成为“时髦”的方式之一。针对移动端,爱快专门开发“爱快e云”APP,手机直接进入管理后台,可实现测速、信号检测、快速配网、漫游测试等远程可视化运维,帮助企业管理者提升运维质量,缩短投入时间。
信号篇:无惧阻隔,覆盖加分
作为一款企业级无线路由,爱快IK-Q1800有着较高的带机量。为了维持机器性能的稳定,官方推荐待机量为80台。在实际使用过程中,天极网让员工随意、自愿接入该网络,显示设备终端数在57台的时候,性能依旧稳定。
此外,爱快IK-Q1800外置四根5dBi高增益天线,有着良好的无线覆盖能力。那么,爱快IK-Q1800能够覆盖天极网的办公空间吗?我们对这款路由的信号覆盖进行了测试。(测试结果仅供参考)
我们先来介绍一下测试环境和测试方法。
测试环境:该测试环境为天极网办公区域,A点为爱快IK-Q1800的摆放位置,其余点均为测试点,其中D点、E点、F点与路由器有墙体阻隔。
测试方法:我们在天极网办公区,通过专业的无线信号测试软件WirelessMon,实际测试爱快IK-Q1800路由器的无线覆盖和信号强度及无线穿墙能力。(注:2.4GHz在前;5GHz在后)
临近A点测试成绩:
无线信号强度为91%
无线信号强度为86%
B点测试成绩:
无线信号强度为63%
无线信号强度为48%
C点测试成绩:
无线信号强度为62%
无线信号强度为40%
D点测试成绩
无线信号强度为48%
无线信号强度为41%
E点测试成绩
无线信号强度为63%
无线信号强度为46%
F点测试成绩:
无线信号强度是60%
无线信号强度是37%
值得注意的是,此次信号覆盖测试算是极限测试,测试点在或是办公区域的周边,或是与路由器有着一墙之隔的位置。
经过WirelessMon测试,爱快IK-Q1800的成绩已经出炉。数据显示,测试点在A点附近时,2.4GHz的信号强度是91%,而其他诸如B、C、D、E、F等测试点,或是靠近公司的边缘位置,或是与办公区有着一墙之隔。即便如此,爱快IK-Q1800的2.4GHz的信号强度依旧达到48%以上(D点与路由器距离远而且有一墙之隔),爱快IK-Q1800的5GHz的信号强度依旧达到37%以上(F点与路由器距离较远且有一墙之隔)。
综合来看,爱快IK-Q1800企业级无线路由的信号覆盖足以满足天极网日常所需。
评价篇:企业的智慧之选
通过以上严苛的测试,爱快IK-Q1800企业级路由器不管是在信号覆盖,还是在后台管理,亦或是SD-WAN部署上,都有着可圈可点的表现。无论是在中小企业办公场景,还是连锁店铺,亦或是餐饮,这样一款千兆双频、Wi-Fi 6无线路由无疑是明智之选。
购买链接://item.jd.com/100013184151.html
Ⅱ 微隔离安全原理
微隔离安全原理是:微隔离通过单个中央策略将安全性实施分配到每个单独的系统。微隔离仍然依靠传统的网络安全技术,例如访问控制网络。是专门为解决关键网络安全问题而设计的,可以降低风险并使安全性能够适应不断变化的IT环境。
提到微隔离,我们有必要先回顾一下零信任架构的概念。零信任是一个全新的安全机制和构想,即所有资产都必须先经过身份验证和授权,然后才能启动与另一资产的通信。
SDP是一种零信任实现框架,通过使用微隔离在资产之间创建信任关系,将零信任安全性概念应用于网络中。SDP可以作为有效的网络安全控制措施,使组织更能抵御传统的网络安全攻击。
因此,微隔离是基于SDP实现零信任架构的重要技术,但是与很多新兴技术一样,SDP也有很多实现方法和路径,不同的企业需要根据自身需求以及不同方法的优缺点来选择适合自己的道路。
需要重点指出的是,微隔离不仅是面向数据中心的技术。Cross说:“许多安全事件始于最终用户工作站,因为员工单击钓鱼链接,或者他们的系统受到其他方式的破坏。”从最初的感染点开始,攻击者可以流窜到整个企业网络。
他解释说:“微隔离平台应该能够通过单个控制台在数据中心,云工作负载和最终用户工作站上实施策略。”“它还应该能够阻止攻击在任何这些环境中的横向传播。”
Ⅲ 什么是网络安全零信任
先纠正一下,网络安全是网络安全,零信任是零信任,两者不是完全的等同关系的,应该说零信任是一种全新的网络安全防护理念。零信任基于身份认证和授权重新构建访问控制的信任基础,从而确保身份可信、设备可信、应用可信和链路可信。近年来,国内的零信任市场也风头强劲,很多公司都在深究零信任市场,我们公司目前合作的指掌易研究零信任挺久的了,他们家服务还不错,你可以去咨询了解了解。
Ⅳ 零信任落地实践方案探讨
文 华润医药商业集团有限公司智能与数字化部 孙宏鸣
零信任概念的提出,彻底颠覆了原来基于边界安全的防护模型,近年来受到了国内外网络安全业界的追捧。
所谓零信任顾名思义就是“从不信任”,那么企业是否需要摒弃原有已经建立或正在搭建的传统基于边界防护的安全模型,而向零信任安全模型进行转变呢?零信任是企业安全建设中必须经历的安全防护体系技术革新,但它必然要经历一个长期 探索 实践的过程。
一、零信任的主要安全模型分析
云计算和大数据时代,网络安全边界泛化,内外部威胁越来越大,传统的边界安全架构难以应对,零信任安全架构应运而生。作为企业,该如何选择“零信任”安全解决方案,为企业解决目前面临的安全风险?
目前“零信任”安全模型较成熟的包括安全访问服务边缘(SASE)模型和零信任边缘(ZTE)模型等。以这两种模型为例,首先要先了解目前模型的区别,探讨各自的发展趋势,再选择适合企业的落地实施方案。
对 SASE 模型,身份驱动、云架构、支撑所有边缘以及网络服务提供点(PoP)分布是其主要特征。SASE 模型扩展了身份的定义,将原有的用户、组、角色分配扩展到了设备、应用程序、服务、物联网、网络边缘位置、网络源头等,这些要素都被归纳成了身份,所有这些与网络连接相关联的服务都由身份驱动。与传统的广域网不同,SASE 不会强制将流量回传到数据中心进行检索,而是将检查引擎带到附近的 PoP 点,客户端将网络流量发到 PoP 点进行检查,并转发到互联网或骨干网转发到其他 SASE 客户端,从而消除网络回传所造成的延迟。SASE 可提供广域网和安全即服务(SECaaS),即提供所有云服务特有的功能,实现最大效率、方便地适应业务需求,并将所有功能都放置在 PoP 点上。
SASE 模型的优点在于能够提供全面、灵活、一致的安全服务 , 同时降低整体安全建设成本,整合供应商和厂家的资源,为客户提供高效的云服务。通过基于云的网络安全服务可简化 IT 基础架构,减少 IT 团队管理及运维安全产品的数量,降低后期运维的复杂性,极大地提高了工作效率。SASE 模型并利用云技术为企业优化性能、简化用户验证流程,并对未授权的数据进行保护。
SASE 模型强调网络和安全紧耦合,网络和安全同步建设,为正在准备搭建安全体系的企业提供了较为理想的路径。反之,已经搭建或正在搭建安全体系过程中的企业,如果要重构企业网络结构,是个极大的挑战,也是一笔不小的投入。所以,SASE 模型可能更适用于面对终端用户的零售行业,为这类企业提供完整的安全服务,不需要企业在每一个分支节点上搭建一整套安全体系,便于统一管理并降低建设成本。
ZTE 模型的重点在零信任。一是数据中心零信任,即资源访问的零信任,二是边缘零信任,即所有边缘的零信任访问安全。其实可以理解为SASE 模型纳入了零信任的模块,本质上是一个概念。ZTE 模型强调网络和安全解耦,先解决远程访问问题,再解决网络架构重构问题。
二、华润医药商业集团零信任的实践
华润医药商业集团有限公司(以下简称“公司”)作为华润下属的大型医药流通企业,在全国分布百余家分子公司,近千家药店,日常业务经营都离不开信息化基础支撑,所以网络安全工作尤为重要。近年来各央企在网络安全建设方面均积极响应国家号召及相关法律法规要求,完善网络安全防护能力,公司同样十分重视网络安全建设,目前同国内主流安全厂商合作,建立了以态势感知为核心,贯穿边界与终端的纵深防御体系,并通过连续两年参与攻防演练,不断提升网络安全人员专业水平,通过攻防实战进一步优化网络安全建设。
但公司在涉及云计算、大数据、物联网等技术领域时,现有的网络边界泛化给企业带来的安全风险不可控,传统的基于边界的网络安全架构和解决方案难以适应现代企业网络基础设施,而零信任能够有效帮助公司在数字化转型中解决难以解决的问题。
公司选择了 SASE(安全访问服务边缘)和ZTE(零信任边缘)两种模型并行的解决方案为企业摸索“零信任”网络安全架构推进的方向。
公司分支企业众多,几乎覆盖全国范围,存在安全管控难、处置难、安全性低、资源灵活性差等问题,并缺少整体统一的长效运营机制。基于以上问题,公司参考了 SASE 模型的解决方案,将原有的传统广域网链接数据中心的访问形式变为PoP 点广域网汇聚的网络架构方案,由统一的运营服务商提供网络链路及全面的安全服务。但并不是完全重构原有的网络架构,而是分为三类情况使用不同的方案。
第一类是改变网络安全管理方式,主要针对区域公司。 由于大部分区域公司已经搭建了相对成熟的安全体系,只将原有的传统广域网链路改为就近接入运营商 PoP 点,并将原有的双线冗余线路的备用线路使用软件定义广域网(SD-WAN)技术进行替换,并通过服务质量(QoS)机制将主营业务与办公业务进行合理切分,大大提高了网络使用效率,降低费用成本,并且可以通过统一的管理平台对广域网进行管理,统一下发配置安全策略,提高整体安全管控和处置。
第二类是逐层汇聚、分层管理,主要针对二、三级分支机构。 这类单位安全体系虽已建设,但还未达到较高的程度,通过就近接入 PoP 点或汇聚到区域公司,由运营商提供部分安全服务或由区域公司进行统一管控。
第三类主要针对零售门店及小型分支机构这类没有能力搭建安全体系的单位。 使用 SD-WAN 安全接入方案就近接入 PoP 点,由运营商提供整体的安全服务,从而降低安全建设成本并加强统一安全管控。通过 SASE 模型的管理理念对网络架构进行调整,提供全面、一致的安全服务 , 同时降低整体安全建设成本,提高工作效率。
近两年,公司办公受新冠疫情的影响,员工居家办公成为常态化。作为虚拟专用网络(VPN)产品的使用“大户”,公司原有的 VPN 账户众多 ,传统 VPN 在使用过程中已经难以满足当前业务的需求,一些问题逐渐暴露,经常出现不同程度的安全风险。传统 VPN 架构存在很多问题,如权限基于角色固定分配,不够灵活,在业务生成中及重保等特殊时期,粗放的权限管控无法达到对不同角色的业务人员及非法人员的访问控制。业务端口暴露在公网,本身即存在账号冒用、恶意扫描、口令爆破等安全隐患。公司总部负责 VPN 业务运维,涉及下级单位 VPN 问题均需要总部人员处理,诸如找回账号密码等细微而繁琐的问题占用了总部人员大量时间和精力。不同终端、浏览器对于传统 VPN 客户端的兼容性不同,兼容性问题也是经常被员工吐槽的地方。在 VPN 使用中,基于互联网的加密访问经常因为网络原因出现业务卡顿甚至掉线问题。
为此,公司参考了 ZTE 模型的解决方案,首先解决远程访问问题。公司于 2021 年进行了零信任安全建设试点,以零信任理念为指导,结合深信服软件定义边界(SDP)架构的零信任产品,构建了覆盖全国办公人员的零信任远程办公平台。
SDP 架构的零信任产品,对访问连接进行先认证、再连接,拒绝一切非法连接请求,有效缩小暴露面,避免业务被扫描探测以及应用层分布式拒绝服务攻击(DDoS)。通过单包认证(SPA)授权安全机制实现业务隐身、服务隐身,保护办公业务及设备自身。对于没有安装专有客户端的电脑,服务器不会响应来自任何客户端的任何连接,无法打开认证界面及无法访问任何接口。具备自适应身份认证策略,异常用户在异常网络、异常时间、新设备访问重要敏感应用或数据时,零信任平台强制要求用户进行二次认证、应用增强认证,确保用户身份的可靠性。
零信任的试点应用,提升了公司的网络安全性,简化了运维。但基于公司现状及规划,试点工作还需进一步同厂商进行下一步的工作落地和 探索 。在使用体验优化方面,由于 SDP 架构的数据转发链更多,零信任与 VPN 使用流畅度上差异不大,在用户使用体验方面需要进一步优化。零信任安全体系需要全面支持互联网协议第 6 版(IPV6),依据相关政策要求,需要进行 IPV6 业务改造,通过零信任对外发布的业务将优先进行改造。零信任安全体系需要支持内部即时通讯,将零信任产品进一步同公司现有办公平台进行对接,实现身份、业务的统一管理,实现单点登录。公司零信任安全体系建设的下一步工作,是将公司现有安全体系建设进一步与零信任产品体系打通,实现数据互通,进一步提高管理信息化中的安全可靠性。
三、结语
零信任安全架构对传统的边界安全架构模式重新进行了评估和审视,并对安全架构给出了新的建设思路。但零信任不是某一个产品,而是一种新的安全架构理念,在具体实践上,不是仅在企业网络边界上进行访问控制,而是应对企业的所有网络边缘、身份之间的所有访问请求进行更细化的动态访问控制,从而真正实现“从不信任,始终验证”。
(本文刊登于《中国信息安全》杂志2022年第2期)
Ⅳ 各网络层安全协议有哪些
应用层
·DHCP(动态主机分配协议)
· DNS (域名解析)
· FTP(File Transfer Protocol)文件传输协议
· Gopher (英文原义:The Internet Gopher Protocol 中文释义:(RFC-1436)网际Gopher协议)
· HTTP (Hypertext Transfer Protocol)超文本传输协议
· IMAP4 (Internet Message Access Protocol 4) 即 Internet信息访问协议的第4版本
· IRC (Internet Relay Chat )网络聊天协议
· NNTP (Network News Transport Protocol)RFC-977)网络新闻传输协议
· XMPP 可扩展消息处理现场协议
· POP3 (Post Office Protocol 3)即邮局协议的第3个版本
· SIP 信令控制协议
· SMTP (Simple Mail Transfer Protocol)即简单邮件传输协议
· SNMP (Simple Network Management Protocol,简单网络管理协议)
· SSH (Secure Shell)安全外壳协议
· TELNET 远程登录协议
· RPC (Remote Procere Call Protocol)(RFC-1831)远程过程调用协议
· RTCP (RTP Control Protocol)RTP 控制协议
· RTSP (Real Time Streaming Protocol)实时流传输协议
· TLS (Transport Layer Security Protocol)安全传输层协议
· SDP( Session Description Protocol)会话描述协议
· SOAP (Simple Object Access Protocol)简单对象访问协议
· GTP 通用数据传输平台
· STUN (Simple Traversal of UDP over NATs,NAT 的UDP简单穿越)是一种网络协议
· NTP (Network Time Protocol)网络校时协议
传输层
·TCP(Transmission Control Protocol)传输控制协议
· UDP (User Datagram Protocol)用户数据报协议
· DCCP (Datagram Congestion Control Protocol)数据报拥塞控制协议
· SCTP(STREAM CONTROL TRANSMISSION PROTOCOL)流控制传输协议
· RTP(Real-time Transport Protocol或简写RTP)实时传送协议
· RSVP (Resource ReSer Vation Protocol)资源预留协议
· PPTP ( Point to Point Tunneling Protocol)点对点隧道协议
网络层
IP(IPv4 · IPv6) Internet Protocol(网络之间互连的协议)
ARP : Address Resolution Protocol即地址解析协议,实现通过IP地址得知其物理地址。
RARP :Reverse Address Resolution Protocol 反向地址转换协议允许局域网的物理机器从网关服务器的 ARP 表或者缓存上请求其 IP 地址。
ICMP :(Internet Control Message Protocol)Internet控制报文协议。它是TCP/IP协议族的一个子协议,用于在IP主机、路由器之间传递控制消息。
ICMPv6:
IGMP :Internet 组管理协议(IGMP)是因特网协议家族中的一个组播协议,用于IP 主机向任一个直接相邻的路由器报告他们的组成员情况。
RIP : 路由信息协议(RIP)是一种在网关与主机之间交换路由选择信息的标准。
OSPF :(Open Shortest Path First开放式最短路径优先).
BGP :(Border Gateway Protocol )边界网关协议,用来连接Internet上独立系统的路由选择协议
IS-IS:(Intermediate System to Intermediate System Routing Protocol)中间系统到中间系统的路由选择协议.
IPsec:“Internet 协议安全性”是一种开放标准的框架结构,通过使用加密的安全服务以确保在 Internet 协议 (IP) 网络上进行保密而安全的通讯。
数据链路层
802.11 · 802.16 · Wi-Fi · WiMAX · ATM · DTM · 令牌环 · 以太网 · FDDI · 帧中继 · GPRS · EVDO · HSPA · HDLC · PPP · L2TP · ISDN
Ⅵ 零信任网络安全
近年来,国内信息与通信技术(ICT)发展迅速,各企业将新技术应用于商业环境,推动了其数字化应用与发展。与此同时,也出现了许多信息安全方面的问题,如用户信息泄露和盗用、病毒引起的数据丢失、外部攻击导致的业务停顿等,对企业和社会的发展产生了极大影响。确保企业日益复杂的IT系统能够长期、安全、可靠运转成为众多企业IT决策者面临的巨大挑战。另外,随着以《中华人民共和国网络安全法》颁布为标志的一系列法律法规及各类标准的推出,网络安全上升为重要国家战略。网络安全不仅是企业内部的问题,还是企业合法合规开展业务的重要内容。
随着云计算、大数据、移动互联网、物联网(IoT)、第五代移动通信(5G)等新技术的崛起,传统的网络安全架构难以适应时代发展需求,一场网络安全架构的技术革命正在悄然发生,其受到越来越多企业IT决策者的认可。
在传统安全理念中,企业的服务器和终端办公设备主要运行在内部网络中,因此,企业的网络安全主要围绕网络的“墙”建设,即基于边界防护。然而,物理安全边界有天然的局限性。随着云计算、大数据、移动互联网、物联网等技术的融入,企业不可能将数据局限在自己的内部网络中。例如,企业要上云,就不能将公有云装入自己的防火墙;企业要发展移动办公、物联网,防火墙却无法覆盖外部各角落;企业要拥抱大数含森据,就不可避免地要与合作伙伴进行数据交换。因此,传统安全边界模型在发展新技术的趋势下逐渐瓦解,在万物互联的新时代成为企业发展的障碍,企业需要建立新的网络安全模型。
在这样的时代背景下,基于零信任理念的新一代网络安全架构应运而生。它打破了传统安全边界,不再默认企业物理边界内的安全性,不再基于用户与设备在网络中的位置判断是否可信,而是始终验证用户的身份、设备的合法性及权限,即遵循“永不信任,始终校验(Never Trust,Always Verify)”的零信任理念。在零信任理念下,网络位置变得不再重要,其完全通过软件来定义企业的安全边界,“数据在哪里,安全就到哪里”。SDP依托自身优势成为解决新时代诸多安全问题的最佳选项,其安全性和易用性也通过大量企业的实践得到了验证。为了推进SDP技术在中国的落地,CSA(大中华区)于2019年成立SDP工作组。
本书基于SDP工作组的若干成果,对分散在不同文献中的理论与概念进行汇总和整理,自上而下地对SDP的完整架构进行详细介绍,并结合大量实践案例,为读者提供完整的软件定义边界技术架构指南。
(1)企业信息安全决策者。本书为企业信息安全决策者设计基于SDP的企业信息安全战略提供完整的技术指导和案例参考。
(2)信息安全、企业架构或安全合规领域的专业人员。本书将指导他们对SDP解决方案进行评估、设计、部署和运营。
(3)解决方案供应商、服务供应商和技术供应商将从本书提供的信息中获益。
(4)安全领域的研究人员。
(5)对SDP有兴趣并有志从事安全领域工作的人。
第1章对SDP的基本概念、主要功能等进行介绍。
第2章对SDP架构、工作原理、连接过程、访问控制及部署模式等进行介绍。
第3章对SDP架构的具体协议及日志进行介绍。
第4章对SDP架构部署模式及其适用场景进行介绍,为企业部署SDP架构做技术准谈丛亩备。
第5章对企业部署SDP需要考虑的问题、SDP与企业信息安全要素集成及SDP的应用领域进行介绍。
第6章对技术原理和IaaS使用场景进行分析与介绍,指导企业安全上云。
第7章通过展示SDP对DDoS攻击的防御机制,加强读者对SDP的认识和理解。
第8章介绍SDP对等保2.0各级要求的适用情况。通过对等保2.0的深入解读,展示如何通过SDP满足企业的等保2.0合规要求。
第9章对SDP战略规划与部署迁移方法进行介绍,在战略规划和部署迁移层面为企业提供指导。
第10章对NIST、Google、微软及Forrester的零信任架构与实现进行介绍。
第11章精郑孙选了国内主要的SDP和零信任实践案例,对其进行介绍。
(1)本书主要基于公有云的IaaS产品,如Amazon Web Services、Microsoft Azure、Google Compute Engine和Rackspace Public Cloud等。其相关用例和方法同样适用于私有化部署的IaaS,如基于VMware或OpenStack的私有云等。
(2)按照SDP规范实现商业化的厂商与没有严格按照SDP规范进行产品开发的厂商,在构建产品的过程中,有不同架构、方法和能力。本书对厂商保持中立并避免涉及与头部厂商相关的能力。如果有因为厂商能力产生的差异化案例,本书尽量使用“也许、典型的、通常”等词语来解释这些差异,避免减弱本书的可读性。
(3)高可用性和负载均衡不在本书的讨论范围内。
(4)SDP策略模型不在本书的讨论范围内。本书讨论的SDP用例和方法也适用于平台即服务(PaaS)。
(5)下列内容为引用文字。
零信任网络又称软件定义边界(SDP),是围绕某个应用或某组应用创建的基于身份和上下文的逻辑访问边界。应用是隐藏的,无法被发现,并且通过信任代理限制一组指定实体访问。在允许访问前,代理会验证指定访问者的身份、上下文和策略合规性。该机制将应用资源从公共视野中消除,从而显着缩小可攻击面。
(6)下列内容为数据包格式。
IP TCP AID(32位) 密码(32位) 计数器(64位)
(7)标题带有“JSON规范格式”字样的方框中的内容为JSON文件的标准格式。
JSON规范格式
{
“sid”: <256-bit IH Session ID>,
“seed”:<32-bit SPA seed>,
“counter”: <32-bit SPA counter>
[
“id”:<32-bit Service ID>
]
}
Ⅶ 零信任,未来网络安全体系的“骨架”
企业实现零信任网络能够获得什么效果?实施零信任网络使得企业网络安全水平提升、合规审计能力提升、生产效率提升,其可作为网络安全体系的“骨架”连接其他安全技术,笔者认为零信任网络是更符合发展潮流的IT设施建设方案。
零信任网络实现了身份、设备、应用的动态信任评估体系,并通过信任评估进行作用于资源访问路径上持续的访问控制。零信任技术使得网络平台具备层次化的、一致的、持续的访问控制能力。
在边界防护体系中,安全产品堆砌在网络边界,意图建立起一道防线阻隔网络攻击,内网则成为信任区,内网的东西向流量缺少最基础的访问控制能力。这种体系下内网计算机失陷后,攻击者能够利用设备固有的信任和已授予用户的信任来进一步横向移动、访问资源。
零信任网络则以资源保护为核心诉求规划防护体系,通过在所有资源访问路径上建立访问控制点,收敛了资源暴露面,综合资源访问过程中包括身份、设备、环境、时间在内的所有网络空间因素对访问行为进行可信度判断,以此为依据从网络可见性、资源可见性、资源访问权限三个层级进行访问控制。
典型的企业IT系统建设呈现烟囱式,各个系统相互独立,企业成员需要在每个系统上建立账号,弱密码、各系统用同一个密码、密码长期不更改等问题无法根除。当人员流动、人员职责变更时账号身份管理出现疏漏难以避免,导致人员权限膨胀,遗留大量僵尸账号等问题。在面对网络攻击时,这些失控身份将成为攻击者渗透企业的切入点,获取资源的入口。企业可以通过建设IAM系统,对身份统一管理,建立多因子、SSO认证,缓解身份失控风险,强化认证强度和可信度。然而IAM系统是基于应用层进行访问控制,无法防护对操作系统、中间件等的攻击。
零信任网络在围绕资源建立了访问控制点后,进一步实现以身份为中心访问控制策略。工程实践上,零信任架构能够与IAM系统对接,集成现有身份和访问管理能力,实质上扩展了IMA的作用边界,将其对应用层的保护延伸到网络接入层。
企业的办公环境正变得越来越复杂,员工需要能使用公司配发资产、个人自带设备或者移动设备访问企业资产,这对企业网络安全带来巨大挑战。企业IT和安全人员需要面对设备黑洞,有多少员工自带办公设备、哪个设备现在是谁在用、某个IP是谁的什么设备,当应急响应事件发生时如何快速定位到谁的设备出现异常。EPP、EDR、CWPP等主机防护安全产品能够对设备资产进行管理,但是缺少将设备资产与企业数字身份关联的能力。
零信任网络为所有设备建立标识,关联设备与使用者身份,将设备状态作为访问控制策略的关键因素,纳入信任度评价体系,不同设备类型、不同设备状态计算出不同信任度,不同信任度设定合理的资源访问权限。在实践中,设备管理可以采用灵活的解决方案,例如对公司设备资产颁发专用数字证书赋予唯一身份认证,员工自带设备则安装客户端软件进行基线检测。
零信任体系能够与传统安全产品集成,或者直接使用传统安全产品实现。以NIST抽象的零信任架构为例:策略决策点可与IAM系统对接实现身份信息的获取和认证授权,持续评估可结合UEBA、SOC、SIEM等系统实现,设备资产的标识和保护可以使用EDR类产品,设备资产可以安装DLP类产品实现端到端的资源保护。
满足等保2.0的解决方案
等保2.0完善了我国网络安全建设标准,其提出的一个中心三重防护思想与零信任思想高度契合。在CSA发布的《SDP实现等保2.0合规技术指南白皮书》中,CSA中国区专家梳理了SDP与等保技术要求点的适用情况,零信任技术在等保2.0技术要求的网络架构、通信传输、边界安全、访问控制、安全审计、身份鉴别等要求项上均有良好适用性。
企业将信息系统、资源部署在私有或者云数据中心,员工通过办公场所的有线固网、企业专有WIFI等方式接入网络获取工作所需资源。外出员工、企业分支机构、合作伙伴则通过VPN与数据中心建立连接,进行日常办公和信息交互。用户使用不同工具对资源进行访问。
在零信任网络下,无论员工在办公场所、机场、高铁,无论资源在私有数据中心还是公有云上,其都能通过零信任网络提供的“身份、设备、应用”信任链访问有权访问的资源。
随着企业数据中心和分支机构增多,异地数据中心繁多,核心应用上云,大量应用第三方SaaS,其办公环境愈发复杂,员工一项工作需要多种资源,所需资源分布在不同物理设施,工作时常要登录多个系统,来回切换不同的VPN。
零信任网络通过统一的认证管理,使得员工一次登录即可获得应有的应用访问权限,同时使用部署在不同位置的应用,极大改善了工作效率和工作体验。