b s架构 网络安全 网络安全架构分析

目录


文章目录

• 目录
  
• 网络安全逻辑架构
  

• 微分段（Micro-segmentation）
  
• 防火墙即服务（Firewall asa Service ，FWaaS）
  
• 安全网络网关（Secure web gateway）
  
• 净化域名体系（Sanitized Domain Name System，S-DNS）
  
• 网络安全策略管理（NetworkSecurity Policy Management ，NSPM）
  
• 网络防火墙（Network firewall）
  
• 入侵防御体系（IntrusionPrevention System，IPS）
  
• 网络访问控制（Network access control ）
  
• 网络数据包署理（Network packet broker）
  
• 网络检测和响应（Network detection and response ）
  
• 安全访问服务边缘（SecureAccess Service Edge ，SASE）
  
• DNS 安全扩展（DNS security extensions）
  
• DDoS 攻击缓解（DDoS mitigation）
  
• 网络安全架构（Network security architect）
  
• 网络风险评估（Network risk assessment ）
  

网络安全逻辑架构

微分段（Micro-segmentation）

可以克制已经在网络上的攻击者在网络中为了访问关键资产而举行的横向移动。用于网络安全的微分段工具有 3 类：

• 基于网络的工具部署在网络层面，通常与软件界说网络结合在一起并用于掩护与网络连接的资产。
  
• 基于管理程序的工具是最初形态的微分段，此类工具专门用于提高在不同管理程序之间移动的不透明网络流量的可见性。
  
• 基于主机署理的工具会在将与网络其他部门隔离的主机上安装一个署理；主机署理解决方案在云工作负载、管理程序工作负载和物理服务器上同样有效。
  

防火墙即服务（Firewall asa Service ，FWaaS）

是一项与云端 SWG 密切相关的新技术。它的不同之处在于架构：FWaaS 通过端点和网络边缘设备之间的 VPN 连接以及云端的安全栈运行。它还可以通过 VPN 隧道连接终端用户与本地服务。FWaaS 的遍及度远不如 SWG。
安全网络网关（Secure web gateway）

其用途已经从过去的优化互联网带宽，发展为掩护用户免受互联网恶意内容的影响。诸如 URL 过滤、反恶意软件、解密和检查通过 HTTPS 访问的网站、数据丢失预防（DLP）、规定形式的云访问安全署理（CASB）等功能现已成为标准功能。
净化域名体系（Sanitized Domain Name System，S-DNS）

是厂商提供的作为企业机构域名体系运行的服务，可防止终端用户（包括长途工作者）访问有不良声誉的网站。
网络安全策略管理（NetworkSecurity Policy Management ，NSPM）

通过分析和考核来优化引导网络安全的规则并更改管理工作流程、规则测试以及合规性评估和可视化。NSPM 工具可以利用可视化网络地图表现叠加在多个网络路径上的全部设备和防火墙访问规则。
网络防火墙（Network firewall）

是一种成熟、广为人知的安全产品，它通过一系列功能防止任何人直接访问企业机构应用和数据地点的网络服务器。
网络防火墙具有的灵活性使其既可用于本地网络，也可用于云。而在云端，有专门用于云的产品，也有 IaaS 提供商部署的具有相同功能的策略。
入侵防御体系（IntrusionPrevention System，IPS）

为未修补的服务器部署检测和阻止攻击的 IPS 设备，从而掩护无法修补的弊端（例如在服务提供商不再支持的打包应用上）。IPS 功能通常包含在其他安全产品中，但也有独立的产品。由于云原生控制步伐在参加 IPS 方面盼望迟钝，IPS 正在 “东山再起”。
网络访问控制（Network access control ）

提供了对网络上一切内容的可见性以及基于策略的网络底子设施访问控制。策略可以根据用户的角色、认证或其他因素来界说访问权限。
网络数据包署理（Network packet broker）

设备通过处置惩罚网络流量，使其他监控设备能够更加有效地运行，例如：专门用于网络性能监控和安全相关监控的设备。其功能包括用于确定风险水平的分封数据过滤、分配数据包负载和基于硬件的时间戳插入等。
网络检测和响应（Network detection and response ）

持续分析入站和出站流量以及数据流记录，从而记录正常的网络行为，因此它可以辨认异常情况并向企业机构发出提醒。这些工具能够结合利用机器学习（ML）、试探法、分析工具和基于规则的检测。
安全访问服务边缘（SecureAccess Service Edge ，SASE）

是一个新型框架，它将包括 SWG、SD-WAN 和 ZTNA 在内的全方位网络安全功能与综合全面的广域网功能相结合，资助满足企业机构的安全访问需求。SASE 与其说是一个框架，不如说是一个概念，其目标是实现一个统一的安全服务模式，并且该模式能够以可扩展、灵活和低耽误的方式提供跨越整个网络的功能。
DNS 安全扩展（DNS security extensions）

是 DNS 协议的一项能够验证 DNS 响应的附加功能。DNSSEC 的安全优势在于要求对颠末验证的 DNS 数据举行数字署名，而该流程非常消耗处置惩罚器资源。
DDoS 攻击缓解（DDoS mitigation）

限定了分布式拒绝服务（DDoS）攻击对网络运行的破坏性影响。这些产品接纳多层策略来掩护防火墙内的网络资源、位于本地但在网络防火墙之前的资源以及位于企业机构外部的资源，例如来自互联网服务提供商或内容交付网络的资源。
网络安全架构（Network security architect）

指与云安全架构、网络安全架构和数据安全架构有关的一整套职责。
企业机构可以根据自身的规模，为每一个网络安全架构范畴单独指定一名负责的人员，也可以指定一名流员监督全部这些范畴。无论采用哪种方法，企业机构都须要确定负责的人员并赋予他们做出关键任务决策的权力。
网络风险评估（Network risk assessment ）

指全面清查内部和外部怀有恶意或粗心的行动者大概利用网络来攻击联网资源的方式。企业机构能够通过全面的评估来界说风险，并通过安全控制步伐来减微风险。
这些风险大概包括：

• 对体系或流程理解不透彻。
  
• 难以权衡体系的风险水平。
  
• 同时受到业务和技术风险影响的 “混合” 体系。
  

免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！更多信息从访问主页：qidao123.com:ToB企服之家，中国第一个企服评测及商务社交产业平台。