互联网企业网络安全架构(摘录)

阅读来自：http://www.icylife.net/blog/?p=31

在甲方做事情，要习惯能用技术搞定的都不是问题，人才是问题。
解决这种问题，有五大法宝，策略、标准、流程、复核，以及行政处罚，五大法宝是互相协调不可分割的，贯穿其中的是良好的沟通。
策略，就是“法律”，明确的描述出什么事情是不可以做的，做了之后会有什么样的后果，导致什么样的处罚。这是后面的标准、流程、复核以及处罚的基础，立法在先，勿怪言之不预。好的策略，一定要多方面的沟通，IT、SA、NET OPS（Network Operation）、APP OPS（Application Operation）、DEV、QA各个部门都要照顾到沟通到，了解他们日常工作中的做法，在此基础上以提升安全性为目标做一些修订。
相比策略而言，标准就是操作细节。
策略和标准，都是纸面上的东西，而且也非常容易只是存在于纸面，除了让外审看起来很漂亮之外在没有别的用处。解决这个问题，就需要流程出手了，流程的主要作用是用来保证安全部门的各项策略在部门间顺利执行，流程的每一步，都涉及到一个或多个标准。
流程很好，但是并非绝对能保证策略和标准完美精准的执行下去，因为执行者是有感情的人，甚至可能因为前一天晚上没爽到导致第二天执行流程审批的时候一疏忽就放过去一个不应该批准的申请。因此，我们需要最后一步，复核。复核的内容需要和策略以及标准是对应的，否则最终会形成无法可依的局面。
安全部门的责任是明确的告诉大家如何不犯法，并且提供各种手段保证大家尽可能不犯法。最后对于出现的不好行为，做到有法可依，有法必依，执法必严，违法必究。
802.1x是一个基于端口的认证和访问控制协议，通过EAP（Extensible Authentication Protocol）进行认证，控制一个端口是否可以接入网络。
基于业务的不同，我们可以将办公网络分为两大块，服务器区和办公区。一般情况下，服务器区域又大致可以分为四个部分，内部业务区、公共资源区、开发测试区以及DMZ区，根据业务情况，这些大的区之间可以再进行细分。
静态VLAN——》基于MAC地址的划分方式，即VMPS——》802.1X方案需要有radius服务器，常用的有思科的ACS，微软的IAS，以及开源的Free Radius。
我们设置VLAN是为了控制员工之间的相互访问，以及部门与服务器区域指定服务器群的访问关系，比如只有财务VLAN可以访问财务的管理服务器。在这里，策略其实是基于VLAN或者IP段实施的，也就意味着我们是在用IP代替人来进行控制。那么，我们是否可以把眼光从IP段、VLAN ID上移开，不再关心它们，直接把策略落到人的身上，至少从二层三层往上移？
网络接入控制本质上非常的简单，客户端收集安全信息，发送到策略服务器，策略服务器将检查结果通知控制设备，控制设备根据结果做出具体的措施，准许或者拦截。各大厂家的不同之处在于如何拒绝安全检查没有通过的设备。
EAPOL（EAP Over Lan）——》EAPOU（EAP Over UDP）——》NAP（Network Access Protection）
办公网其他安全：

DHCP***防御：

DHCP Snooping技术，是办公网很多防御策略的根基。接入层交换机开启 DHCP Snooping后，会对DHCP报文进行解析，从Request和Response中提取并记录客户端的MAC地址和DHCP Server分配给它的IP地址，形成一个动态的绑定。
ARP欺骗防御：
接入层交换机部署思科DAI（Dynamic ARP Inspection）技术，防御ARP欺骗***。DAI以上文描述DHCP Snooping为基础。
IP伪装防御：
接入层交换机部署IP Source Guard技术防御IP伪装***，常见的为SYN Flood。此方案和DAI类似，同样基于DHCP Snooping表对报文进行过滤。
CAM表***防御：
在接入层交换机启用Port Security，设置一个交换机端口可通过的最大MAC数量以及可通过的MAC地址列表。
PPS限制：

对接入层交换机的每个端口做PPS（packets per second）限制，防止DDoS***。