安全域隔离与访问控制技术探讨ppt课件.ppt

安全域隔离与访问控制技术探讨 提纲 安全域产品部署隔离与访问控制技术 安全域概念 安全域概念 具有相同和相似的安全要求和策略的IT要素的集合 这些IT要素包括 网络区域 主机和系统 人和组织 物理环境 策略和流程 业务和使命等 应用安全域理论的意义 应用安全域理论的意义基于网络和系统进行安全检查和评估的基础安全域的分割是抗渗透的防护方式基于网络和系统进行安全建设的部署依据安全域边界是灾难发生时的抑制点 防止影响的扩散大家最容易理解的一个应用意义就是 分割 安全域划分方法 典型的安全域划分模型之一 IATF 安全域产品部署图 UTM 外联入侵监测 网络入侵监测 主机管理 UTM VPN网关 认证 安全管理平台 监测与管理 防御与控制 应用审计 客户端 外网边界 办公网 计算环境域边界 计算域核心 生产网边界 网络审计 UTM FW 外联入侵监测 提纲 安全域产品部署隔离与访问控制技术 访问控制模型 采用防火墙执行访问控制的问题 防火墙的主要不足 缺少对主体的控制非法终端 仿冒合法终端IP 非法用户 使用合法终端 被控制的合法终端 中了木马 非法应用程序 攻击扫描 访问者 主体 终端 IP地址 用户 ID 终端健康状态要求 进程 访问对象 客体 应用服务 服务器IP地址 服务端口号 需要的访问控制策略 公司ERP服务器上的ERP应用系统 只允许商务部员工 使用健康检查合格的终端 通过ERP客户端程序访问 统一访问控制策略表 访问控制策略 BBS访问条件内部用户 ERP访问条件内部用户终端健康状态合格使用ERP客户端访问 OA访问条件内部用户终端健康状态合格 USG 天珣 天珣 公司网络 访客 内部员工 x ERPScanner 未通过用户认证不是内部员工不允许访问 访问控制策略 BBS访问条件内部用户 ERP访问条件内部用户终端健康状态合格使用ERP客户端访问 OA访问条件内部用户终端健康状态合格 USG 天珣 天珣 公司网络 访客 内部员工 ERPScanner 内部用户允许访问BBS 访问控制策略 BBS访问条件内部用户 ERP访问条件内部用户终端健康状态合格使用ERP客户端访问 OA访问条件内部用户终端健康状态合格 USG 天珣 天珣 公司网络 访客 内部员工 ERPScanner x 未安装天珣 终端健康状态未知不允许访问OA 访问控制策略 BBS访问条件内部用户 ERP访问条件内部用户终端健康状态合格使用ERP客户端访问 OA访问条件内部用户终端健康状态合格 USG 天珣 天珣 公司网络 访客 内部员工 ERPScanner 内部用户 安装天珣 终端健康状态合格允许访问OA 访问控制策略 BBS访问条件内部用户 ERP访问条件内部用户终端健康状态合格使用ERP客户端访问 OA访问条件内部用户终端健康状态合格 USG 天珣 天珣 公司网络 访客 内部员工 ERPScanner x 不允许非法软件访问ERP系统 访问控制策略 BBS访问条件内部用户 ERP访问条件内部用户终端健康状态合格使用ERP客户端访问 OA访问条件内部用户终端健康状态合格 USG 天珣 天珣 公司网络 访客 内部员工 ERPScanner 内部用户 安装天珣 终端健康状态合格访问ERP的业务全程审计 允许ERP软件访问ERP系统 审计系统 统一网络访问控制 USG 客户端 服务器 策略控制中心 天珣 统一网络访问控制系统 业务访问 访问控制策略 认证中心 日志中心 访问控制过程 终端请求访问服务器USG截获访问请求 USG请示策略控制中心策略控制中心通过SSL通道 认证终端和用户身份 通过天珣检查终端健康状态策略控制中心根据认证结果 向USG和天珣主机防火墙下发访问控制策略USG和天珣执行访问控制策略 允许合法访问通过 USG FW IPS 部署 USG FW 终端 服务器 策略控制中心 天珣 业务访问 认证 访问控制策略 USG FW 接入域 互联域 计算域 认证服务器 日志中心 关键技术 强接入认证USBCA证书认证用户身份以VPNsession维持客户连接 防止客户身份仿冒天珣通过MD5认证可信应用程序 强访问控制 USG 天珣 USG上基于内容粒度的访问控制 ACL URLpolicy天珣上通过主机防火墙 只允许可信应用访问核心计算域终端环境安全天珣检查终端的安全状态天珣给可信应用提供安全环境天珣根据策略 限制应用程序的本地文件操作 例 不允许本地保存 关键技术 加密技术VPN加密 网络加密可信应用访问核心计算域 应用加密数据在本地加密保存 加密密钥保存在核心计算域中 存储加密防攻击技术USG上启动IPS防攻击天珣上启动终端防攻击统一策略配置 强访问控制器实现