在某些企業中出於安全目的建設了資訊內、外網兩套物理隔離網路系統,與生產相關的重要應用均在資訊內網中執行。由於使用者終端數量眾多,員工使用習慣各異,不可避免的存在內網終端違規外聯的情況,導致企業重要機密外洩風險可能性大大提高。
違規外聯的表現形式主要有以下三種:
為防止上述違規行為的發生,比較常規的方式是部署桌面行為管理軟體、ip與mac位址繫結、部署防火牆並新增安全策略等,這些常規方法能在一定程度上起到作用,但是不能在根源上阻斷非法外聯事件發生,特別是對於無線方式接入,常規防範方法效果甚微。
本文提供了一種通過配置ipsec安全策略,在根源(終端側)阻斷違規流量的方法,其主要實現思想是根據企業資訊內網ip位址分配特點,在終端機器上通過配置ipsec安全策略,允許目的位址為內網ip的流量通過,同時禁止其它流量,從而有效的解決上述三種主要違規外聯方式的發生。
1 ipsec安全策略介紹
1.1 ipsec安全體系結構
ipsec(internet protocol security,internet協議安全),是網路安全業內的一種開放標準,通過使用加密安全服務以確保網路通訊的保密性和安全性。ipsec是一種跨平台的安全標準,目前主流的作業系統基本都支援ipsec,都可以通過ipsec來提公升安全性。
ipsec是集多種安全技術為一體的安全體系結構,是一組ip安全協議集。ipsec工作在網路層,對使用者和應用程式是透明的,它可以提供對伺服器的受限制的訪問,可以自定義安全配置。ipsec提供的功能主要有以下三種:
ipsec安全體系結構如圖1所示。
ipsec是安全聯網的長期方向,它通過端對端的安全性來提供主動的保護,以防止來自專用網路與internet的***。在通訊中,只有傳送方和接收方才是惟一必須了解ipsec保護的計算機。ipsec提供了一種能力,以保護工作組、區域網計算機、域客戶端和伺服器、分支機構(物理上為遠端機構)、extranet以及漫遊客戶端之間的通訊。
1.2 ipsec安全策略
在windows系統中,ipsec被設計成了組策略中的乙個元件,稱為ipsec安全策略。在本文的案例中,主要是在內網終端使用率比較高的windows 7系統中配置ipsec安全策略,所有操作同樣也適用於windows xp/windows 8系統。
在「開始\執行」中輸入並執行「gpedit.msc」,開啟組策略編輯器,在「計算機配置\windows設定\安全設定\ip安全策略」中可以對ipsec進行配置。
ipsec安全策略的功能主要通過ipsec規則實現,通過ipsec規則來確定允許或禁止哪些網路通訊,或是對哪些網路通訊進行加密。每條ipsec規則又包括「ip篩選器」和「篩選器操作」兩部分。篩選器的作用是用來定義資料型別,篩選出符合要求的資料;篩選器操作則用來指定對這些篩選出來的資料進行什麼操作。
因而,定義ipsec規則主要分兩步進行:首先定義ip篩選器,然後定義對篩選器的操作。
MySQL安全策略
資料是企業核心資產,資料對企業而言是最重要的工作之一。稍有不慎,極有可能發生資料無意洩露,甚至被黑客惡意竊取的風險。每年業界都會傳出幾起大事件,某知名或不知名的公司被脫褲 拖庫的諧音,意思是整個資料庫被黑客盜取 之類的。從資料安全上也可以分為外網安全及內部操作安全,下面分別討論一下。內部操作安全策略...
SSH安全策略
ssh安全策略 ss配置基本安全策略 調整sshd服務配置,並過載服務 root vim etc ssh sshd config protocol 2 去掉ssh協議v1 permitrootlogin no 禁止root使用者登入 permitemptypasswords no 禁止密碼為空的使用...
無線安全策略
安全認證是一整套安全策略認證機制,它分為兩個部分,通常安全策略是由鏈路認證是和接入認證配合使用的。需要明確的是,鏈路認證和接入認證是兩個不同的概念,有以下圖 從表中可以看出,安全策略可以分為wep wpa wpa2和wapi幾種,這幾種安全策略對應的鏈路認證其實只有open和shared key a...