假如只有一个安全域,那么我们应该做什么能保护好这个安全域呢?
第一,防火墙
第二,IDS
第三,终端防护软件
有了这三件套,安全域的基本防护才算达到。
以一种域的形式划分安全区域,我们的目的是防护什么呢?当然是区域中计算机中存在的宝贵资源。
那么如何能访问这些资源呢?
1、域的出入口处,通过网络访问。
2、域内其他计算机上,通过局域网访问。
3、存储资源计算机上,通过操作系统访问。
防火墙防止域外网络的非法访问。
IDS监控域内计算机的非法访问。
终端管控软件防止操作系统被非法访问。
由此衍生了另外一个问题,如果,我是一个外来者,自己私自将计算机接入了这个域的网络呢?
这就涉及到了域的准入控制问题。可通过NAC解决。
域的访问需求更进一步,我出差在外的员工也需要访问域内网络进行办公,而域的管理要求又规定了不能通过域外网络直接访问域内资源,这就需要VPN和云桌面结合身份认证的方式保障访问的合法性。
公司逐步发展,网络提供的服务不再是单一的对内,也需要对外提供网络服务。这就产生了WEB服务防护需要,也就需要通过waf解决对外提供服务的问题。
由此逐步展开,我们可以发现,凡是有可能与外界交互的方式,都需要安全设备进行安全管控,防止未经授权的非法访问,即,访问控制。
IDS仅仅是一个监控设备,它的意义到底在哪里?
就目前的经验而言,只要网络或者域与外部有交互,那么就避免不了被攻破,在纵深防御的思路下,我们应该有应对第二波攻击的能力,这时,我们安全域内部的情报就很重要了。IDS不熟在安全域内的核心交换机上,它就是我们的雷达。这个雷达平时可以不报警,但是报警就必然有域内设备被攻陷,这时,我们就可以通过防火墙切断攻击来源,保证攻击损失的最小化。这种能保障攻击损失最小化方法的前提,就是知道有设备被攻陷,也就是得通过IDS侦测到有异常行为。
所以,IDS是在企业安全部门有能力分析处置安全事件时,才有必要使用的安全设备。若企业没有能力处置安全问题,则不需要IDS,买IDS就是浪费。
IDS的思路就是一种安全可视化的思路,就是我们能知道网络中发生了什么安全问题。