内网学习笔记,安全域的划分,笔记整理1.2
安全域的划分划分安全域的目的是将一组安全等级相同的计算机划入同一个网段,这一网段内的计算机拥 有相同的网络边界,在网络边界上通过部署防火墙来实现对其他安全域的网络访问控制策略(NACL),从而规定允许哪些 IP 地址访问此域和不允许哪些 IP 地址访问此域、允许此域访问哪些 IP 地址/网段和不允此域许访问哪些 IP 地址/网段。这些措施,将使得网络风险最小化,当发生攻击时,可以将威胁尽可能地隔离,从而减少对域内计算机的影响。一个典型的传统中小型内网的安全域划分,如图 1-5 所示。一个虚线框表示一个安全域(也是网络的边界),一般分为 DMZ 区和内网区。然后,通过硬件防火墙的不同端口来实现隔离。
DMZ 称为隔离区(也称“非军事化区”),是为了解决安装防火墙后外部网络不能访问内部网络服务器的问题而设立的一个非安全系统与安全系统之间的缓冲区。这个缓冲区位于企业内部网络和外部网络之间的小网络区域内。在这个小网络区域内,可以放置一些必须公开的服务器设施,如企业 Web 服务器、FTP 服务器和论坛等。因为 DMZ 区是对外提供服务的区域,所以可以从外部访问。
域中计算机的分类
1,域控制器
2,成员服务器
3,客户机
4,独立服务器
域内权限解读组
1,本地组
2,全局组
3,通用组
4,A-G-DL-P策略
页:
[1]