网络

网络攻击最好的防御方法之一是网络的安全拓扑设计

现代安全网络设计最关键的思想之一是用区去隔离开网络上的不同区域

创建区域的基本策略：

1.具有最大安全需求（私有设备）的设备在网络的最安全的区域；只允许很少或者不允许公共网络和其他网络访问；访问通常使用防火墙或者其他安全部件控制，如安全远程访问SRA，经常需要严格的授权和认证；

2.仅需要在内部访问的服务器要置于一个单独的专用安全区，防火墙控制对这些设备的访问，这些服务器的访问要经常收到严密的监控和记录；

3.需要从公共网络上访问的服务器，置于一个不允许访问网络中更安全的区的隔离区之中；即DMZ非军事区；用防火墙控制对他们的进出访问

4.用这种方法分区，分层的防火墙可以置于通向网络中最敏感或者最易受攻击部分的路径中；许多有安全需求的大型网络在网络层中使用不同类型的防火墙，以阻止因防火墙软件的漏洞而使网络受损；一前一后使用一个PIX防火墙和一个代理服务器就是一个例子，这也叫做深层防御原则；

创建DMZ：

1.使用一个三脚防火墙创建DMZ

2.将DMZ置于防火墙之外，公共网络和防火墙之间

3.将DMZ置于防火墙之外，但是不在公共网络和防火墙之间的通道上（也叫做“脏DMZ”）

4.在层叠的防火墙直接创建DMZ

一，使用三脚防火墙创建DMZ：

（较常用）使用有三个接口的防火墙去创建隔离区，每个隔离区成为这个防火墙接口的一员；防火墙提供区之间的隔离；若防火墙多于三个接口，允许创建多的DMZ；

二&