图示SAFE设计准则:安全不是堆砌

开篇：润墨网以专业的文秘视角，为您筛选了一篇图示SAFE设计准则:安全不是堆砌范文，如需获取更多写作素材，在线客服老师一对一协助。欢迎您的阅读与分享！

思科公司制订的面向企业网络的安全蓝图(safe)的主要目标是，为用户提供有关设计以及施行安全网络的最好实践信息。SAFE可作为正斟酌其网络安全性请求的网络设计人员的指南。SAFE在网络安全设计方面采取了深刻防御的方式。这种设计的重点在于所预测出的要挟及减轻要挟的法子，而不是单纯地“将防火墙放在这儿，将入侵检测系统放在那儿”等。该策略带来了1种安全分层方式，这样，1个安全系统的故障就不大可能引起对于整个网络资源的破坏。SAFE以思科及其合作火伴的产品为基础。

设计原则

SAFE最大限度地摹拟了现今企业网络的功能需求。施行决策取决于所需的网络功能。而下列按首要顺序列出的设计目标则是决策制定进程的指点准则：

一 安全性以及基于政策的袭击减缓

二 整个基础设施的安全施行（而非仅为具体安全装备）

三 安全性管理以及讲演

四 对于症结网络资源的用户以及管理员验证与授权

五 针对于症结资源以及子网的入侵检测

六 对于新兴联网利用的支撑

七 模块概念

虽然大多数企业网络随企业不断提高的IT请求而发展，SAFE体系结构使用了环保型的模块化方式。模块化方式有两种主要优势。首先，它允许体系结构实现网络各功能块间的安全瓜葛，其次，它让设计者可逐个模块地评估以及施行安全性，而非试图在1个阶段就完成整个体系结构。

图一 SAFE第1层模块

图一为SAFE的第1层模块。每一块代表1个功能区域。互联网接入服务供应商（ISP）模块不禁企业施行，而是用于提供ISP为减缓某些袭击而可能需要的特定安全功能。

第2层模块如图二所示，对于每一个功能区中的模块进行了展现，这些模块在网络中扮演特定角色，有特定的安全需求，但图中模块范围其实不代表其在实际网络中的大小。例如，代表终究用户装备的构建模块可能包含八0％的网络装备。每一个模块的安全设计单独描写，但作为整个企业设计的1部份加以验证。

图二 企业SAFE分块形成图

SAFE准则

路由器目标

路由器节制网络间接入。它们向网络播送信息并过滤可使用它们的人，它们是黑客潜伏的最佳朋友。路由器安全性是安全体署中的症结元素。可参考其他有关路由器安全性的文件。这些文件提供了有关以下方面的更多细节：

远程通讯网到路由器的接入; 简单网络管理协定（SNMP）到路由器的接入; 通过使用终端接入节制器接入节制系统＋（TACACS＋）来节制到路由器的接入; 关闭不需要的服务; 以适量级别登录;路由更新的验证。

交流机目标

以及路由器1样，交流机（第二层以及第三层）有自己的1套安全斟酌。而与路由器不同的是，有关交流机安全风险及为减轻这些风险而应采用的措施的公然信息其实不10分丰厚。上1部份“路由器目标”中描写的大多数安全技术均合用于交流机。另外，您应采用下列预防措施：

一 无需中继的端口应将中继装备置于关闭而非自动。

二 确保中继端口使用的虚拟LAN （VLAN）号不会在交流机中的其他处所使用。

三 将交流机上所有未用端口设置为第三层连接的VLAN。

四 防止将VLAN用作维护两个子网间接入的独一方式。

主机目标

主机在袭击中最有可能成为目标，从安全角度来说，也是最难维护的。它们有众多的硬件平台、操作系统以及利用，均在不同的时间段要进级、补钉以及修复。由于主机向提出要求的其他主机提供利用服务，它们在网络中是高度可视的。

为维护主机，就必需亲密注意系统中的每一个组件。使系统维持与最新补钉、修复等的同步。另外，要注意这些补钉对于其他系统组件的运行有所影响，在对于出产环境施行进级前，在测试系统上对于其进行评估。如不这样做，补钉自身就可能致使谢绝服务（DoS）。

网络目标

最糟糕的袭击是您没法中断的袭击。散布式谢绝服务（DDoS）恰是这样1种袭击。通过与其ISP合作，用户才有但愿挫败这种袭击。ISP可配置对于该公司网站输出接口的速率限制。

限制这种袭击的法子之1是遵循RFC一九一八以及RFC二八二七中列出的指点。RFC一九一八定义了保存专用且永久不应在公共互联网上看到的网络。对于于与互联网相连的路由器上的输入信息流，您可采取RFC一九一八以及二八二七过滤来避免未授权信息流进入公司网络。在ISP施行后，该过滤能避免DDoS袭击使用这些地址作为流经WAN链路的源地址的信息包，从而在袭击期间潜伏地节俭了带宽。总之，如果全世界的ISP均采用了RFC二八二七中的指点措施，源地址电子诈骗就会大大减少。此策略并未直接避免DDoS袭击，而是避免这种袭击损坏其源地址，这就会使跟踪所袭击网络更利便。

利用目标

利用（大多数时）是由人编写的，因而易于产生更多过错。这些过错可以是轻微的——如致使您文件过错打印的1个过错，也能够是歹意的——如使您信誉卡号码经过异步FTP在数据库服务器上公布。入侵检测系统（IDS）旨在发现歹意问题，和其他更常见的安全漏洞。思科建议将NIDS与HIDS系统组合起来——症结主机上设置HIDS、整个网络采取NIDS——来实现全面的入侵检测系统。

安全管理以及讲演

从体系结构的角度来讲，提供网络系统的带外管理是合用于所有管理以及讲演策略的最佳的第1步。装备应尽量地与这样1个网络树立直接本地连接，在没法实现的情况下（因为地舆缘由或者系统相干问题），装备应经过出产网络上的1条专用加密隧道与其连接。确保带外网络本身不会带来安全问题。

大多数联网装备可以发送系统日志数据，这些数据在对于网络问题或者安全要挟进行纠错时极其首要。管理还指除了记录以及讲演外，管理员对于某1装备所执行的功能，可进行安全配置。鉴于底层协定有本身的安全漏洞，应最为谨慎地处理SNMP。配置变更管理是另外一个与安全管理相干的问题。当1个网络处于袭击下，首要的是了解主要网络装备的状况和所知道的最后1次修改产生的时间。