De acuerdo

División de una red en zonas de seguridad

54 0 2 0 0

Una zona de seguridad es una subred que tiene requisitos y niveles de seguridad similares. Aunque la zona de seguridad es un concepto único de firewall, se origina en la segmentación de la red y tiene un significado universal en la red de comunicación de datos. La segmentación de red se refiere a dividir una red Ethernet en varias subredes que están aisladas entre sí según ciertas reglas. Los paquetes de datos se transmiten solo en subredes específicas, no a todos los dispositivos de la red. La segmentación de la red mejora el rendimiento de la red y garantiza la seguridad de la red. Los firewalls se implementan en redes segmentadas y utilizan zonas de seguridad para mejorar la seguridad.

 

De forma predeterminada, un firewall proporciona las zonas Untrust, Trust y DMZ, que se utilizan para conectarse a la red externa, la red interna y la DMZ, respectivamente. De forma predeterminada, los dispositivos de la misma zona de seguridad pueden comunicarse entre sí. Para permitir que los dispositivos en diferentes zonas de seguridad se comuniquen entre sí, debe configurar políticas de seguridad. Este diseño logra un buen equilibrio entre rendimiento y seguridad. Para ser específico, si una subred es vulnerada, los atacantes solo pueden acceder a los recursos en la zona de seguridad correspondiente a la subred. Para acceder a recursos en otras subredes, los atacantes deben romper el control de la zona de seguridad y las políticas de seguridad. El uso de zonas de seguridad y políticas de seguridad minimiza la pérdida.

 

La planificación adecuada de las zonas de seguridad y la implementación de recursos ayudan a mejorar la seguridad y la resistencia de la red. A continuación, se enumeran algunas reglas para planificar zonas de seguridad e implementar recursos:

 

l  Muchas zonas de seguridad pueden lograr un control de red y una seguridad de red precisos, lo que, sin embargo, complicará la gestión.

l  No coloque sistemas que no interactúen entre sí en la misma subred. De lo contrario, los atacantes pueden acceder fácilmente a todos estos sistemas siempre que rompan la defensa.

l  Implemente los dispositivos y los recursos del servicio con el mismo nivel de seguridad en la misma zona de seguridad. Luego, asigne direcciones IP a los dispositivos según las zonas de seguridad. Las direcciones IP de los dispositivos con los mismos atributos de servicio y nivel de seguridad pueden formar un conjunto de direcciones. El uso de conjuntos de direcciones en las políticas de seguridad hace que las políticas de seguridad sean fáciles de comprender y administrar.

l  Implemente sistemas de diferentes niveles de seguridad que necesiten interactuar entre sí en diferentes zonas de seguridad y configure estrictas políticas de seguridad para ellos. Por ejemplo, todos los servidores (como servidores web y servidores de correo electrónico) que brindan servicios para sistemas externos deben implementarse en una zona dedicada (generalmente DMZ), y los servidores (como servidores de bases de datos) a los que no se puede acceder directamente por redes externas deben ser desplegado en la zona del servidor interno.

 

A continuación, se utiliza un ejemplo para describir las mejores prácticas de la división de zonas de seguridad y la implementación de recursos.

 

Figura 1 División de la zona de seguridad e implementación de recursos

 

a1


En este ejemplo, la red se divide en cuatro zonas de seguridad. Además de las zonas Trust, DMZ y Untrust predeterminadas, se agrega una zona aislada. Las flechas indican las direcciones del tráfico permitido.

 

l  El servidor proxy, el servidor de correo electrónico y el front-end del servidor web se implementan en la DMZ. Estos servidores deben proporcionar servicios para Internet. Las políticas de seguridad correspondientes deben configurarse en el firewall. Los servidores orientados a Internet son los más vulnerables a los ataques y deben aislarse de otros servidores.

l  El back-end del servidor web, incluido el servidor de aplicaciones y el servidor de base de datos, almacena datos importantes y debe implementarse en el área aislada. Los servidores de la DMZ pueden acceder a servicios específicos en la zona aislada.

l  El servidor DHCP, el servidor DNS y el servidor AD no necesitan estar conectados a la infraestructura de Internet. Necesitan recibir solicitudes de acceso de clientes en la red interna y se implementan en la zona Trust. De forma predeterminada, se permite la comunicación entre estos servidores y los clientes de la red interna. Los clientes de la red interna necesitan acceder a Internet a través de un servidor proxy.

 

De esta manera, incluso si los servidores conectados a Internet son atacados, las amenazas se pueden controlar en la DMZ y se pueden minimizar los daños.

 

Saludos.

 

FIN.


También te puede interesar:

Guía de dimensionamiento firewall USG6000 Series NGFW

Descripción general de la función DNS utilizado en firewalls de Huawei.

Escenarios de aplicación borde de red y detección fuera de ruta para NIP6000

 

Conoce más de esta línea de productos en:

Controlador de red eSight

Foro de switches de Huawei

Foro de seguridad de Huawei

                                                                    

O pregúntale al robot inteligente de Huawei, conócelo aquí: 

Infografía: Conoce a iKnow, el robot inteligente

 


  • x
  • convención:

Comentar

Debe iniciar sesión para responder la publicación Inicio de sesión | Registrarse
Responder

Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte la “ Política de privacidad.”

My Followers

¡Ingresa y disfruta de todos los beneficios para los miembros!

Inicia sesión

Bloquear
¿Estás seguro de bloquear a este usuario?
Los usuarios en lista negra no pueden comentar tus publicaciones,no pueden mencionarte,no pueden enviarte mensajes privados.
Recordatorio
Agrega tu número de teléfono para obtener un bono de invitación.