Bei einer Interviewfrage, auf die ich in einem früheren Interview gestoßen bin, würde ich mich dafür entscheiden, sie zuerst auf der Netzwerkebene und dann auf der Kontrollebene zu beantworten.
Lösungen
- Richten Sie Firewalls ein, um den Netzwerkzugriff zu kontrollieren
Das erste, was mir dabei auf jeden Fall in den Sinn kommt, ist die Firewall, denn die Firewall kann den Netzwerkverkehr nach voreingestellten Regeln filtern und verhindern, dass unbefugter Datenverkehr in das Intranet gelangt. Bedenken Sie also:
- Verwendung von ACLs für eine strikte Weiterleitungszugriffskontrolle
- Aktivieren Sie die Funktionen zur Erkennung und Blockierung von Eindringlingen der Firewall
- Verwenden Sie VLANs zur logischen Isolierung
Das zweite, was mir in den Sinn kommt, ist die logische Isolierung durch VLAN. Da VLAN auf dem physischen Netzwerk basiert, ist es logisch unterteilt, um Geräte oder Benutzer unterschiedlichen Typs oder unterschiedlicher Sicherheitsstufen zu isolieren. VLAN kann über die VLAN-Funktion des Switches implementiert werden.
- Separates externes Zugangsnetzwerk und internes LAN
- Deaktivieren Sie nicht autorisiertes Routing zwischen VLANs
- Setzen Sie NAT ein, um die Intranet-IP-Adresse zu verbergen
Der dritte Schritt besteht darin, mithilfe von NAT die private IP-Adresse des internen Netzwerks in die IP-Adresse des öffentlichen Netzwerks umzuwandeln, sodass das externe Netzwerk nicht direkt auf das interne Netzwerk zugreifen kann.
- Stärken Sie die Authentifizierungs- und Verschlüsselungsmechanismen
Die obige Konfiguration auf Netzwerkebene ist im Wesentlichen abgeschlossen und der nächste Schritt besteht darin, die Zugriffskontrolle zu stärken. Hier kann über VPN ein sicherer Tunnel aufgebaut werden, der das interne Netzwerk mit dem externen Netzwerk verbindet und so externen Netzwerkbenutzern den sicheren Zugriff auf interne Netzwerkressourcen ermöglicht.
- Technologien wie VPN und IPSec sorgen für einen sicheren Zugriff
- Zugriffskontrollen können überprüft werden, um autorisierten Zugriff sicherzustellen
- Überwachen Sie den Netzwerkverkehr
Der letzte Schritt besteht darin, den Netzwerkverkehr zu überwachen und bei Problemen die Sicherheitsrichtlinien zeitnah anzupassen.
- IDS/IPS überwachen ungewöhnlichen Datenverkehr und Angriffe
- Protokollprüfung und -verwaltung
Lösung
Wenn ich mich für eine „All-in-One“-Lösung entscheiden möchte, wähle ich die Lösung von Huawei (weil ich damit besser vertraut bin).
- Verwenden Sie die Huawei-Firewall USG6000V, um strenge Zugriffskontrollrichtlinien festzulegen.
- Stellen Sie Huawei CloudEngine-Switches bereit und nutzen Sie VXLAN und andere Technologien, um interne und externe Netzwerke logisch zu isolieren;
- Verwenden Sie das intelligente All-in-One-Sicherheits-Gateway der Huawei HiSecEngine USG6500F-DL-Serie, um einen sicheren Zugriff und eine verschlüsselte Übertragung interner und externer Netzwerkressourcen zu erreichen.
- Stellen Sie die IPS-Funktion in der Huawei USG6000V-Firewall im Kernbereich zur Einbruchserkennung bereit;
- Führen Sie eine Verkehrsanalyse über das Huawei eSight-Netzwerkraumanalysesystem durch, um abnormalen Verkehr zu erkennen.
- In Kombination mit der Huawei AC-Lösung kann eine differenzierte Zugriffskontrolle für Benutzer und Geräte durchgeführt werden, um unbefugten Zugriff zu verhindern;
- Das Datenbank-Audit-System der DAS1500-Serie von Huawei kann zur Prüfung des Datenbankzugriffs und zur Bereitstellung von Schutzmaßnahmen zur Verhinderung von Datenbankangriffen verwendet werden.
- Setzen Sie Terminalschutz- und Anwendungssicherheitslösungen von Huawei ein, um das Eindringen gezielter Angriffe in Terminals zu verhindern.
- Nutzen Sie die Verschlüsselungsfunktion in der privaten Cloud-Lösung von Huawei, um kritische Daten zu schützen;
- Verbessern Sie den Sicherheitsbetrieb durch Sicherheitsschulungen und Geschäftskontinuitätsmanagement.