14、网络安全综合指南：区域、协议与认证详解

网络安全综合指南：区域、协议与认证详解

1. 安全区域

网络可想象为由离散的网络段组成，这些网络段被称为安全区域，每个区域内的系统具有共同的需求。安全区域具有以下特点：
- 区域内的系统可能运行不同的协议和操作系统，如Windows和NetWare。
- 计算机类型和操作系统并不决定特定的安全区域。
- 机器所处的环境有助于确定其所在的安全区域。
- 安全区域的常见需求可能包括：
- 区域处理的信息类型。
- 使用该区域的人员。
- 保护数据所需的安全级别。

安全区域的定义是具有特定安全问题或需求的网络部分，例如企业内部网、外联网、非军事区（DMZ）和虚拟局域网（VLAN）都是安全区域。以下是一些可能定义的安全区域示例：

1.1 DMZ（非军事区）

DMZ是位于不可信的互联网和可信的内部网络之间的网络段。通常，需要向公众互联网开放的系统会放置在DMZ中，它提供了一些基本的攻击防护，但不如可信的内部网络安全。DMZ段可以通过以下两种方式存在：
-分层DMZ实现：需要保护的系统放置在两个具有不同规则集的防火墙设备之间，允许互联网上的系统连接到DMZ系统上提供的服务，但防止它们连接到组织内部网络段的计算机。
-多接口防火墙实现：在防火墙上添加第三个接口，将需要保护的系统放置在该网络段上。使用同一个防火墙来管理互联网、DMZ和受保护网络之间的流量。

DMZ中的系统可以托管以下服务：
-HTTP服务器：Internet In