• <tr id="yyy80"></tr>
  • <sup id="yyy80"></sup>
  • <tfoot id="yyy80"><noscript id="yyy80"></noscript></tfoot>
  • 99热精品在线国产_美女午夜性视频免费_国产精品国产高清国产av_av欧美777_自拍偷自拍亚洲精品老妇_亚洲熟女精品中文字幕_www日本黄色视频网_国产精品野战在线观看 ?

    主動安全網(wǎng)絡(luò)架構(gòu)的安全策略

    2021-11-16 01:45:02劉建兵馬旭艷王小宏王振欣
    信息安全研究 2021年11期
    關(guān)鍵詞:安全策略訪問控制IP地址

    劉建兵 馬旭艷 王小宏 王振欣

    1(北京北信源軟件股份有限公司 北京 100195)

    2(中國石油東方地球物理勘探有限責(zé)任公司 河北保定 072750)

    3(昆侖數(shù)智科技有限責(zé)任公司 西安 710077)(fqy-vrv@wo.cn)

    主動安全網(wǎng)絡(luò)架構(gòu)以邊界認(rèn)證機(jī)代替接入層交換機(jī),在開放互聯(lián)的傳統(tǒng)網(wǎng)絡(luò)架構(gòu)基礎(chǔ)上,重新建立業(yè)已模糊的內(nèi)網(wǎng)邊界,以此邊界圍合起全網(wǎng)的安全區(qū)域.邊界的內(nèi)嵌認(rèn)證保證了接入網(wǎng)絡(luò)設(shè)備的身份合法性,確保接入設(shè)備執(zhí)行了網(wǎng)絡(luò)管理者認(rèn)可的基本約束,外來設(shè)備或非法設(shè)備隨意接入網(wǎng)絡(luò)的情形被徹底消除[1],甚至可以通過邊界的內(nèi)嵌認(rèn)證發(fā)現(xiàn)非法設(shè)備試圖進(jìn)入網(wǎng)絡(luò)的嘗試行為.但是,建立起清晰的邊界、接入了合法的設(shè)備并不意味著網(wǎng)絡(luò)安全.如何保證接入網(wǎng)絡(luò)的設(shè)備和網(wǎng)內(nèi)資產(chǎn)得到有效的保護(hù),按網(wǎng)絡(luò)管理者的意志實(shí)現(xiàn)網(wǎng)絡(luò)全域精細(xì)化的安全控制,必須依賴安全策略[2]的精細(xì)化、體系化、靈活性、準(zhǔn)確性、時效性來保證.本文所述安全策略是以邊界認(rèn)證機(jī)圍合區(qū)域的安全策略,安全策略包含的安全規(guī)則是以訪問控制規(guī)則為基礎(chǔ)的,在此前提下,重點(diǎn)討論安全策略的相關(guān)問題.

    1 主動安全網(wǎng)絡(luò)架構(gòu)安全理念

    以密碼技術(shù)[3]支撐的身份認(rèn)證為基礎(chǔ),將邊界管控、設(shè)備準(zhǔn)入和安全策略關(guān)聯(lián)起來,建立接入設(shè)備到安全策略的一一對應(yīng)關(guān)系,并將安全策略即時發(fā)布到接入設(shè)備所在的邊界并自動化地執(zhí)行.

    安全策略的精細(xì)化和有效性是決定網(wǎng)絡(luò)整體安全的關(guān)鍵因素,ASN(active security network)安全策略是確定性安全策略,基于既有知識建立,考慮3個方面因素:一是網(wǎng)絡(luò)中業(yè)務(wù)應(yīng)用的保障,安全策略融入業(yè)務(wù)需求,保證應(yīng)用使用的網(wǎng)絡(luò)資源不受限制;二是安全背景知識,包括一切業(yè)界已經(jīng)掌握的網(wǎng)絡(luò)攻擊方法和惡意代碼所涉及漏洞的利用和防護(hù)方法[4];三是未來出現(xiàn)的攻擊利用的漏洞和防護(hù)方法[5]..其中前2項(xiàng)是可以提前制定出確定性的安全防護(hù)策略的,第3項(xiàng)在跟蹤安全威脅變化時及時制定.

    整合分立的安全能力是指各自獨(dú)立的傳統(tǒng)安全服務(wù)的計算結(jié)果,可以統(tǒng)一轉(zhuǎn)化為安全策略或規(guī)則,被ASN接受和執(zhí)行,以應(yīng)對各自發(fā)現(xiàn)的風(fēng)險或威脅.

    2 以安全策略為核心的內(nèi)涵

    毛澤東同志說過:“政策和策略是黨的生命”,這個重要的哲學(xué)思想適用于網(wǎng)絡(luò)安全,安全策略同樣是網(wǎng)絡(luò)安全的生命,可以說,有什么樣的安全策略就有什么樣的安全水平,沒有適當(dāng)?shù)陌踩呗跃蜔o法保證網(wǎng)絡(luò)安全.為實(shí)現(xiàn)以安全策略保護(hù)網(wǎng)絡(luò)成員安全、實(shí)現(xiàn)全網(wǎng)安全目標(biāo)的目的,主動安全網(wǎng)絡(luò)架構(gòu)下的安全策略,必須是全局和集中統(tǒng)一的,必須是精細(xì)化和實(shí)時的,必須是主動的、動態(tài)的、靈活的.

    2.1 安全防護(hù)策略全局性和集中統(tǒng)一

    安全策略的全局性和集中統(tǒng)一是由安全完整性決定的,符合木桶原理,目標(biāo)網(wǎng)絡(luò)的安全水平由短板決定.網(wǎng)絡(luò)環(huán)境是由網(wǎng)絡(luò)和網(wǎng)絡(luò)成員共同組成的,通過網(wǎng)絡(luò)邊界實(shí)施的安全策略,需要為所有成員提供安全的網(wǎng)絡(luò)環(huán)境,因此安全策略必須是全局視角的,必須包容所有網(wǎng)絡(luò)成員的需求,這就要求安全策略的制定者站在全局的角度制定安全策略.

    集中統(tǒng)一包含2個方面的含義:一是集中制定安全策略;二是集中統(tǒng)一部署安全策略.集中統(tǒng)一制定安全策略是全局性的保證,離開集中統(tǒng)一全局性就會被破壞,安全策略也必然是局部的、分散的甚至是矛盾的、碎片化的.僅有好的安全策略還不夠,安全策略的部署是安全策略發(fā)揮的重要條件.集中統(tǒng)一部署才能保證全局安全策略體系化地全面及時到位,才能避免策略執(zhí)行的碎片化和策略部署漏洞,才能充分發(fā)揮安全策略的作用,保證有效性.

    全局安全策略的制定主要從以下5個方面考量:

    1) 清楚了解網(wǎng)絡(luò)資源的詳細(xì)狀況,了解網(wǎng)絡(luò)應(yīng)用所使用資源的風(fēng)險.

    2) 掌握網(wǎng)絡(luò)安全威脅的背景[6]和當(dāng)前重點(diǎn),好比防疫工作,即需要理解天花麻疹這樣的長久威脅,也需要理解季節(jié)性流感的發(fā)生規(guī)律,還要充分認(rèn)識新冠肺炎這樣的現(xiàn)實(shí)威脅,綜合這些因素才能制定出切實(shí)有效的流行病防疫策略.對于網(wǎng)絡(luò)安全來說也是這樣,綜合安全威脅的過去和當(dāng)前信息制定的安全策略才能是有效適用的.

    3) 我們既需要理解傳統(tǒng)的病毒和網(wǎng)絡(luò)攻擊方法對應(yīng)的漏洞和防護(hù)措施,也需要及時掌握當(dāng)前活躍的病毒和攻擊方式所利用的漏洞,基于此制定安全策略.

    4) 既要考慮長期威脅也要包含當(dāng)前攻擊,甚至要針對最新發(fā)現(xiàn)的安全漏洞,作出提前預(yù)防的策略考量.

    5) 安全策略的集中統(tǒng)一貫穿網(wǎng)絡(luò)安全全生命周期,集中統(tǒng)一制定安全策略,集中統(tǒng)一部署安全策略,維護(hù)更新,隨勢而動、隨變而應(yīng),針對風(fēng)險及時調(diào)整.

    2.2 安全策略精細(xì)化和實(shí)時性

    精細(xì)化包含4個方面的含義:

    1) 策略針對單個設(shè)備的身份,不是針對IP地址,IP和設(shè)備沒有嚴(yán)格對應(yīng)關(guān)系[7];策略發(fā)布給單個設(shè)備,與設(shè)備身份綁定,IP地址是策略中介,作用在設(shè)備使用的當(dāng)前IP上,執(zhí)行在當(dāng)期接入邊界機(jī)上,隨設(shè)備位置移動;

    2) 策略針對單個IP地址,以邏輯地址local標(biāo)注在規(guī)則中;

    3) 策略細(xì)化到IP地址和協(xié)議端口;

    4) 策略可針對主體和客體雙向制定.

    實(shí)時性是指安全策略的執(zhí)行與接入設(shè)備的接入時間是自動化同步的,從設(shè)備接入到安全策略執(zhí)行的時間延遲是秒級的.以動態(tài)安全策略保護(hù)接入設(shè)備和網(wǎng)絡(luò)資源安全,對實(shí)時性有很高的要求,從接入設(shè)備接入網(wǎng)絡(luò)到安全策略執(zhí)行生效的時間延遲如果很長,就會出現(xiàn)防護(hù)空窗期,這個時延越短越好.ASN架構(gòu)下,由于邊界機(jī)具備準(zhǔn)入能力,可以保證安全策略和準(zhǔn)入的無縫銜接,在安全策略生效前不轉(zhuǎn)發(fā)接入設(shè)備的數(shù)據(jù)報文,設(shè)備一入網(wǎng)安全策略生效是同時的;從設(shè)備接入網(wǎng)絡(luò)通過認(rèn)證、策略下發(fā)、執(zhí)行生效的一系列過程是在秒級完成的.

    2.3 安全策略的主動性、動態(tài)化和靈活性

    主動性是指所有的安全策略集中管理,在安全事件尚未發(fā)生前預(yù)先制定,策略制定針對安全問題、威脅和漏洞,不針對具體目標(biāo)設(shè)備,以策略庫的形式保存?zhèn)溆?動態(tài)化是指精細(xì)化安全策略根據(jù)接入位置(邊界機(jī)及端口)移動而跟隨接入設(shè)備部署到位,并在接入設(shè)備離線后自動清除相應(yīng)安全策略.靈活性是指策略庫中的策略可以根據(jù)不同的安全場景選擇特定目標(biāo)發(fā)布,隨時發(fā)布即刻生效,選擇的發(fā)布目標(biāo)基于CID(combination ID)標(biāo)識,無需目標(biāo)在線,無需目標(biāo)地址,同時,集成系統(tǒng)提供的安全規(guī)則可以融入執(zhí)行.在精細(xì)化安全策略準(zhǔn)確執(zhí)行到位的情況下,理論上可以控制網(wǎng)絡(luò)中所有資源的訪問,可以控制全網(wǎng)IP地址之間的訪問,達(dá)到保護(hù)信息系統(tǒng)安全和接入設(shè)備自身安全的雙重作用.

    2.4 安全策略技術(shù)支撐

    集中管控全網(wǎng)的訪問控制是ASN的核心能力,支撐ASN架構(gòu)的技術(shù)基礎(chǔ)是網(wǎng)絡(luò)接入層設(shè)備的訪問控制能力,即接入交換機(jī)的ACL,集中管控關(guān)聯(lián)身份的網(wǎng)絡(luò)接入層ACL,以此形成內(nèi)網(wǎng)邊界的安全防護(hù)能力.

    依傳統(tǒng)網(wǎng)絡(luò)模型的觀點(diǎn),ACL是建立在內(nèi)網(wǎng)的匯聚層和核心層的,接入層的訪問控制一直被棄之不用,偶有使用也是簡單化的、靜態(tài)的、分散的、手工的.站在內(nèi)網(wǎng)安全全域邊界的視角重新審視,我們發(fā)現(xiàn)接入層是網(wǎng)絡(luò)安全的重要關(guān)口,是重新建立內(nèi)網(wǎng)邊界的最佳位置,放棄在邊界上建立安全控制能力不得不說是網(wǎng)絡(luò)安全界一直以來的失誤和損失.ASN重拾接入層安全能力,并對其進(jìn)行系統(tǒng)化、體系化、集中化、自動化的組織利用,成為解決內(nèi)網(wǎng)安全問題的全新安全方法,也是ASN技術(shù)的基礎(chǔ),依托這個技術(shù)基礎(chǔ),ASN得以建立起內(nèi)網(wǎng)精細(xì)化、體系化的主動動態(tài)安全策略和自動執(zhí)行機(jī)制.

    傳統(tǒng)網(wǎng)絡(luò)模型的接入層并不天然具備ASN要求的安全能力,ASN通過創(chuàng)新改進(jìn)使接入層設(shè)備具備認(rèn)證、準(zhǔn)入和訪問控制集中管控執(zhí)行能力,由網(wǎng)絡(luò)交換機(jī)轉(zhuǎn)變?yōu)檫吔缯J(rèn)證機(jī),以此形成ASN架構(gòu)下新的內(nèi)網(wǎng)接入層.

    3 主動安全策略的實(shí)現(xiàn)

    建立與接入設(shè)備身份相聯(lián)系的訪問控制策略,需要解決3個問題:其一,建立接入設(shè)備的唯一身份標(biāo)識;其二,依據(jù)安全和業(yè)務(wù)要求制定和發(fā)布與唯一標(biāo)識關(guān)聯(lián)的訪問控制策略;其三,在訪問網(wǎng)絡(luò)前獲得接入設(shè)備使用的IP地址.第1個問題我們在前文中已經(jīng)解決,內(nèi)嵌認(rèn)證技術(shù)建立了與設(shè)備物理地址關(guān)聯(lián)的唯一標(biāo)識CID,可以實(shí)現(xiàn)接入設(shè)備的身份認(rèn)證,這個唯一標(biāo)識可以作為管理安全策略的設(shè)備身份;第2個問題將在策略制定部分解決;第3個問題,邊界認(rèn)證機(jī)在完成接入設(shè)備身份認(rèn)證的過程中,可以從接入設(shè)備的數(shù)據(jù)包中獲取其IP地址,并實(shí)時上報給策略平臺.

    在具備以上條件的前提下,主動安全網(wǎng)絡(luò)架構(gòu)的安全策略制定、發(fā)布和執(zhí)行即可以實(shí)現(xiàn)主動和動態(tài)能力.

    3.1 安全策略制定

    管理要求和安全目標(biāo)是安全策略的出發(fā)點(diǎn),主動動態(tài)的精細(xì)化安全策略應(yīng)根據(jù)應(yīng)用需求、安全背景和安全威脅制定,以此落實(shí)安全目標(biāo).

    1) 業(yè)務(wù)應(yīng)用的需求是需要考慮的首要因素,安全策略必須保證業(yè)務(wù)應(yīng)用的資源得到合理的保障.在安全策略實(shí)現(xiàn)上,應(yīng)根據(jù)應(yīng)用的具體要求精細(xì)化到IP和端口.如某個網(wǎng)絡(luò)中部署的多種應(yīng)用,對于不同的業(yè)務(wù)部門需要分配不同的訪問權(quán)限.電子郵件系統(tǒng)(192.168.10.10)是全部用戶都可以訪問的,而財務(wù)系統(tǒng)(192.168.10.20)僅僅允許財務(wù)部門的用戶訪問,采購系統(tǒng)(192.168.10.30)僅允許特定的崗位人員訪問.把這個應(yīng)用需求翻譯為安全策略的語言就是:拒絕財務(wù)以外用戶訪問財務(wù)系統(tǒng)(192.168.10.20),拒絕特定以外用戶訪問采購系統(tǒng)(192.168.10.30),電子郵件系統(tǒng)允許所有用戶訪問,則可以制定如下安全策略規(guī)則,留待應(yīng)用到相應(yīng)的用戶對象.

    ACL1:access-list frame-type ipv4-tcp sip local dip 192.168.10.20/32 action permit;

    ACL2:access-list frame-type ipv4-tcp sip local dip 192.168.10.20/32 action deny;

    ACL3:access-list frame-type ipv4-tcp sip local dip 192.168.10.30/32 action permit;

    ACL4:access-list frame-type ipv4-tcp sip local dip 192.168.10.30/32 action deny.

    2) 安全背景是考量安全策略的重要因素,對于已經(jīng)發(fā)現(xiàn)的安全漏洞及其威脅,既有知識已經(jīng)給出應(yīng)對的方法,將其轉(zhuǎn)化為安全策略即可應(yīng)對.來自于多個方面如病毒、木馬、網(wǎng)絡(luò)攻擊、系統(tǒng)漏洞、應(yīng)用漏洞都是需要考慮的因素,這些因素歸結(jié)起來都是對漏洞的利用,如445,139端口被多個病毒和網(wǎng)絡(luò)攻擊利用[8],存在嚴(yán)重的安全威脅,需要禁止對445端口的訪問,我們就應(yīng)該制定如下的安全策略.

    ACL1:access-list frame-type ipv4-tcp sip local dip any sport any dport 445 action deny;

    ACL2:access-list frame-type ipv4-tcp sip local dip any sport any dport 139 action deny.

    其中以local作為虛擬地址邏輯上表示接入設(shè)備的實(shí)際地址.

    對于既有的安全威脅,安全策略管理者在制定安全策略時還需要綜合考慮當(dāng)前主要活躍的威脅和本網(wǎng)設(shè)備漏洞修補(bǔ)情況,結(jié)合其他獨(dú)立安全系統(tǒng)的情況,決定采用哪些策略規(guī)則,可以更好地精簡和優(yōu)化安全策略.

    3) 制定并部署安全策略后,新的安全威脅仍然會不斷出現(xiàn),安全策略需要隨著安全威脅的變化而變化.

    4) 全局策略和局部的個性化策略應(yīng)統(tǒng)一考慮,以提高策略的執(zhí)行效率和簡化策略邏輯.如445端口是高危端口,經(jīng)常被多種網(wǎng)絡(luò)攻擊和病毒利用,為了保護(hù)全網(wǎng)接入設(shè)備安全應(yīng)將對其訪問控制作為全局策略,而不必在每個安全策略里重復(fù)出現(xiàn).全局策略不使用local邏輯地址,可以被邊界機(jī)直接執(zhí)行.全局策略示例如下.

    ACL1:access-list frame-type ipv4-tcp sip any dip any sport any dport 445 action deny.

    類似以上安全規(guī)則可以作為策略存入策略庫備用,諸如此類的安全規(guī)則可以有很多,根據(jù)安全狀況和業(yè)務(wù)場景可以組合出多種安全策略.

    ASN安全策略可以阻斷危險網(wǎng)絡(luò)地址和端口,保護(hù)網(wǎng)絡(luò)接入成員的安全,但是實(shí)際的業(yè)務(wù)應(yīng)用由于特定原因可能使用部分漏洞端口,或者由于其他原因無法修補(bǔ)某些端口的漏洞,限制漏洞端口的可訪問或被訪問范圍,雖然不能絕對消除漏洞風(fēng)險,但在安全上仍然具有很大的意義.作為應(yīng)用服務(wù)端,將訪問者限制在業(yè)務(wù)設(shè)定的范圍,拒絕設(shè)定范圍以外的非業(yè)務(wù)訪問,可以有效阻止來自內(nèi)網(wǎng)和外網(wǎng)的探測、漏洞利用和網(wǎng)絡(luò)攻擊.此場景下的訪問策略規(guī)則如下例.

    1) 服務(wù)端

    ACL1:access-list frame-type ipv4-tcp sip 192.168.1.0/24 dip local sport any dport 445 action permit;

    ACL 2:access-list frame-type ipv4-tcp sip any dip local sport any dport 445 action deny.

    以上規(guī)則組合成的安全策略在服務(wù)端以local虛擬地址作為被訪問目的地址的訪問控制,在服務(wù)端連接的邊界機(jī)上落地執(zhí)行,服務(wù)端一般是固定IP地址,此時local確定為固定IP:192.168.2.1,僅僅允許192.168.1.0/24網(wǎng)段的設(shè)備訪問445端口.

    2) 訪問端

    ACL 1:access-list frame-type ipv4-tcp sip local dip 192.168.2.1/32 sport any dport 445 action permit;

    ACL 2:access-list frame-type ipv4-tcp sip local dip any sport any dport 445 action deny.

    以上規(guī)則以local虛擬地址代表訪問端的源IP地址,發(fā)布給該應(yīng)用成員的PEG,在對應(yīng)CID訪問者接入認(rèn)證成功后,該策略即在對應(yīng)的邊界機(jī)上執(zhí)行,僅有訪問192.168.2.1:445的數(shù)據(jù)包得以轉(zhuǎn)發(fā)到達(dá)目的地址.

    管理控制服務(wù)器平臺提供了主動安全網(wǎng)絡(luò)架構(gòu)安全策略的制定功能.這里所稱的安全策略,是1個或1組安全威脅或管理要求的訪問控制規(guī)則.在安全策略制定階段,安全策略僅僅針對具體的安全威脅或管理要求,不指定具體的作用對象,策略文本中以local邏輯上代表接入設(shè)備的實(shí)際IP地址,編輯好的安全策略以不同的命名保存在安全策略庫中.每個安全策略針對不同的安全場景和管理要求,隨時可以被調(diào)出使用,安全策略制定如圖1所示:

    圖1 安全策略制定

    安全策略是通過交換機(jī)上的1組訪問控制規(guī)則,即通常所稱訪問控制列表(ACL)實(shí)現(xiàn)的[9].訪問控制列表的一般使用方式是:由網(wǎng)絡(luò)工程師通過命令行或交換機(jī)Web界面進(jìn)行配置,其結(jié)果格式形如下.

    ACL3:access-list frame-type ipv4-tcp sip 192.168.82.46/32 dip 192.168.82.48/32 sport 300 dport 500 action deny.

    其中的源和目的IP地址都固定了,每條ACL作用于所設(shè)定IP地址或地址范圍,其有效性要求訪問的雙方必須使用確定范圍的IP地址,而一旦使用指定范圍外的IP地址,該訪問控制規(guī)則就不起作用了,這是靜態(tài)ACL的主要缺陷.利用邊界機(jī)ACL功能實(shí)現(xiàn)動態(tài)有效的訪問控制,就需要在ACL中使用接入設(shè)備的當(dāng)前IP地址,因此如何獲取設(shè)備當(dāng)前的IP地址是問題的關(guān)鍵.

    利用接入層ACL實(shí)現(xiàn)動態(tài)的訪問控制就需要用接入設(shè)備的IP,邊界機(jī)提供了實(shí)時獲取接入設(shè)備IP地址的能力,并即時上報策略集中管控平臺,安全策略的local得以及時轉(zhuǎn)換為實(shí)際IP地址.

    3.2 安全策略的發(fā)布

    ASN針對邊界接入設(shè)備的安全策略是邏輯的,安全策略本身并未包含策略的執(zhí)行對象,以此保證策略的靈活性.但策略的執(zhí)行必須使具體的策略與對象相對應(yīng),這個過程是在ASN的策略發(fā)布過程完成的.

    ASN以唯一標(biāo)識CID保證接入設(shè)備唯一性,據(jù)此保證接入設(shè)備身份的唯一性,而不管接入設(shè)備使用什么IP地址,這是策略和接入設(shè)備關(guān)聯(lián)對應(yīng)的基礎(chǔ).

    安全策略發(fā)布功能如圖2所示,安全管理者根據(jù)安全和管理需要選定策略庫中某個安全策略作為即將發(fā)布的安全策略,從對象庫中選取合適的1組CID并向其發(fā)布選定的安全策略.發(fā)布的結(jié)果是安全策略被分發(fā)給每個CID對應(yīng)接入設(shè)備的PEG(policy enabling group)中,將即將執(zhí)行的策略賦值在接入設(shè)備上,被賦予安全策略的設(shè)備一旦接入網(wǎng)絡(luò),其對應(yīng)PEG中的安全策略將被執(zhí)行.

    圖2 安全策略發(fā)布執(zhí)行

    管理控制服務(wù)器與第三方平臺進(jìn)行安全策略的交互,實(shí)現(xiàn)安全策略發(fā)布、接收、優(yōu)化、執(zhí)行、撤銷的全生命周期管理.管理控制服務(wù)器收到第三方平臺發(fā)布的安全策略后,與本地制定的安全策略進(jìn)行優(yōu)化精簡后發(fā)布,并將策略的接收、優(yōu)化、發(fā)布、執(zhí)行等信息發(fā)送給第三方平臺;收到第三方平臺的策略撤銷信息時,進(jìn)行策略撤銷.

    管理控制服務(wù)器將企業(yè)的靜態(tài)安全策略、動態(tài)安全策略統(tǒng)一管理,集成企業(yè)所有安全防護(hù)能力智慧,實(shí)現(xiàn)企業(yè)安全策略的落地生效、終端網(wǎng)絡(luò)訪問行為的全面精細(xì)控制.

    3.3 安全策略的執(zhí)行

    ASN安全策略的執(zhí)行是和接入認(rèn)證和準(zhǔn)入連貫完成的,如圖2所示,當(dāng)設(shè)備通過邊界機(jī)完成身份認(rèn)證后,系統(tǒng)即獲得了接入設(shè)備對應(yīng)的CID,同時邊界機(jī)從認(rèn)證過程中解析出接入設(shè)備當(dāng)前IP地址,并即時上報給策略服務(wù)器,策略執(zhí)行模塊根據(jù)CID找到對應(yīng)的PEG,從中取出安全策略,并用獲得的IP地址替換安全策略中的邏輯地址符號“l(fā)ocal”,形成可以在邊界機(jī)上執(zhí)行的真實(shí)訪問控制列表ACL,之后安全策略執(zhí)行模塊通過BIP(business interaction protocal)協(xié)議將ACL發(fā)送給接入設(shè)備所在的邊界機(jī),邊界機(jī)將收到的ACL文本追加進(jìn)自己的訪問控制列表中,并立即執(zhí)行.

    策略服務(wù)器上保留有全部邊界機(jī)上正在執(zhí)行策略的副本緩存.邊界機(jī)上接入設(shè)備的在線狀態(tài)由AAP(access authentication protocal)協(xié)議實(shí)時偵測,一旦發(fā)現(xiàn)并確認(rèn)某個接入設(shè)備離線,即將該離線設(shè)備對應(yīng)離線信息和對應(yīng)的IP地址信息報告策略服務(wù)器,安全策略發(fā)布模塊即通過BIP協(xié)議給邊界機(jī)下發(fā)指令,從其訪問控制列表中刪除對應(yīng)的安全規(guī)則內(nèi)容.

    3.4 集成系統(tǒng)的策略協(xié)同

    以ASN為平臺可以集成眾多獨(dú)立的信息安全應(yīng)用,包括防病毒、補(bǔ)丁分發(fā)、漏洞掃描、流量分析等,我們統(tǒng)一將其稱為集成應(yīng)用,ASN與集成應(yīng)用協(xié)同聯(lián)動,可以倍增集成應(yīng)用的價值,成為集成應(yīng)用的執(zhí)行機(jī)構(gòu),共同發(fā)揮出綜合效應(yīng).

    如與ASN集成的漏洞掃描系統(tǒng),通過掃描發(fā)現(xiàn)網(wǎng)中某個IP下的設(shè)備存在某個高風(fēng)險漏洞,漏洞對應(yīng)端口號:4488,即可生成禁用該IP:PORT的安全策略,并通過OIP(open integration protocol )協(xié)議發(fā)送給ASN,ASN通過自身定位機(jī)制可以快速定位該IP所在邊界機(jī),并通過安全策略執(zhí)行模塊向?qū)?yīng)邊界機(jī)追加該條安全策略,并在邊界機(jī)上立即生效.如此網(wǎng)上任何利用該漏洞的數(shù)據(jù)包都會被邊界機(jī)丟棄,這個安全漏洞就在數(shù)秒時間內(nèi)被ASN保護(hù)起來.在此網(wǎng)絡(luò)中一切試圖訪問和利用該漏洞危害此設(shè)備的可能性都不存在了,此設(shè)備如同穿上了失傳已久的金鐘罩.

    ASN的安全策略是網(wǎng)絡(luò)安全的根本,有什么樣的安全策略就有什么樣的安全水平.安全策略可以是多種多樣的,通過ACL的靈活配置,既可實(shí)現(xiàn)源目地址、源目端口等的限制特定對象的訪問或被訪問,也可實(shí)現(xiàn)全局的拒絕訪問.策略中ACL的靈活配置可實(shí)現(xiàn)各種安全訪問需求.

    安全策略和實(shí)際應(yīng)用場景的結(jié)合是需要特別注意的問題,在安全和業(yè)務(wù)之間求得平衡的安全策略才是容易實(shí)施的.如445端口是在很多業(yè)務(wù)系統(tǒng)中使用的,也是很多網(wǎng)絡(luò)攻擊和病毒木馬利用的端口,從安全的角度來看,全部禁用即可保證不受此類攻擊,但會影響相關(guān)業(yè)務(wù),因此不能簡單全面停用該端口,這種情況下應(yīng)該考慮該端口的使用范圍,將其限制在業(yè)務(wù)應(yīng)用的最小范圍,即可防范來自業(yè)務(wù)系統(tǒng)之外的遠(yuǎn)程攻擊,此時的安全策略可以把業(yè)務(wù)系統(tǒng)的設(shè)備范圍寫進(jìn)安全策略中,形成限制范圍的適度策略,并賦予業(yè)務(wù)相關(guān)的設(shè)備對象.

    ACL1:access-list frame-type ipv4-tcp sip any dip local sport any dport 445 action permit;

    ACL2:access-list frame-type ipv4-tcp sip any dip local sport any dport 445 action deny.

    主動網(wǎng)絡(luò)安全架構(gòu)通過策略管理控制平臺和邊界機(jī)協(xié)調(diào)工作實(shí)現(xiàn)內(nèi)網(wǎng)邊界安全防護(hù)的目標(biāo),完成安全策略的制定、發(fā)布和執(zhí)行.企業(yè)根據(jù)網(wǎng)絡(luò)安全防護(hù)的整體戰(zhàn)略戰(zhàn)術(shù)需要,制定體系化的安全策略,通過管理控制服務(wù)器的策略模塊創(chuàng)建和發(fā)布安全策略.

    安全策略的目的是控制終端的網(wǎng)絡(luò)訪問行為.策略的發(fā)布根據(jù)邊界認(rèn)證機(jī)上終端的上線和移動情況實(shí)時下發(fā)執(zhí)行.邊界認(rèn)證機(jī)上的終端上線后,管理控制服務(wù)器將該邊界認(rèn)證機(jī)上所有終端的安全策略優(yōu)化精簡后下發(fā)至邊界認(rèn)證機(jī)執(zhí)行控制,也可以通過邊界認(rèn)證機(jī)下發(fā)至某一個終端的認(rèn)證客戶端執(zhí)行控制;終端移動到其他邊界認(rèn)證機(jī)接入后,安全策略也會將該終端安全策略下發(fā)至終端移動接入的邊界認(rèn)證機(jī)執(zhí)行控制,實(shí)現(xiàn)終端走到哪里其策略就部署到哪里的移動管控.

    邊界認(rèn)證機(jī)和認(rèn)證客戶端執(zhí)行安全策略管控,實(shí)現(xiàn)了在最貼近終端的部位進(jìn)行終端訪問行為精準(zhǔn)管控,減少終端惡意訪問、違規(guī)訪問、異常行為、攻擊行為的擴(kuò)散和影響范圍,將危害控制至最小范圍.

    4 主動安全策略獲得的安全價值

    4.1 安全防護(hù)統(tǒng)一指揮

    企業(yè)網(wǎng)絡(luò)安全策略(包括全局、局部、靜態(tài)、動態(tài)等)在主動安全網(wǎng)絡(luò)架構(gòu)的管理控制服務(wù)器上統(tǒng)一制定發(fā)布,可實(shí)現(xiàn)企業(yè)網(wǎng)絡(luò)安全防護(hù)的統(tǒng)一指揮,改變以往網(wǎng)絡(luò)安全四處救火而火情不減的不良防護(hù)模式,讓網(wǎng)絡(luò)安全運(yùn)營人員將精力集中到網(wǎng)絡(luò)安全防護(hù)最核心、最緊要、最關(guān)鍵、最有效的安全策略研究、制定和發(fā)布執(zhí)行中來.

    體系化安全策略從戰(zhàn)略、戰(zhàn)術(shù)、整體、局部、靜態(tài)、動態(tài)等各方面進(jìn)行周密考量,并與企業(yè)的網(wǎng)絡(luò)安全防護(hù)實(shí)際需求相符合,通過統(tǒng)一管理中心——管理控制服務(wù)器——集中制定、發(fā)布和執(zhí)行,并隨著實(shí)際執(zhí)行情況進(jìn)行靈活的調(diào)整和動態(tài)適應(yīng),保證了企業(yè)網(wǎng)絡(luò)安全運(yùn)營人員安全防護(hù)工作的主導(dǎo)性、組織性、主動性和高效性.

    企業(yè)網(wǎng)絡(luò)安全防護(hù)以主動安全網(wǎng)絡(luò)架構(gòu)的中央管控核心——管理控制服務(wù)器——為作戰(zhàn)室,直接操縱精細(xì)化安全策略,可達(dá)到運(yùn)籌帷幄,決勝全局的效果.

    4.2 安全能力協(xié)同釋放

    企業(yè)已有的安全應(yīng)用/系統(tǒng)/設(shè)備,作為多個煙囪式的防護(hù)措施對企業(yè)安全的多個方面獨(dú)立、離散防護(hù),整體安全防護(hù)達(dá)不到1+1>2的效果.企業(yè)安全防護(hù)沒有統(tǒng)一策略指揮指導(dǎo),堆砌N個煙囪式防護(hù)能力的整體效果實(shí)際折扣會更大,不菲的安全投入換來了實(shí)際折扣較大的、不理想的安全防護(hù)效果,與企業(yè)網(wǎng)絡(luò)安全管理和運(yùn)營人員的期望相去甚遠(yuǎn).

    主動網(wǎng)絡(luò)安全架構(gòu)通過管理控制服務(wù)器的安全策略功能,給網(wǎng)絡(luò)安全防護(hù)帶來新的思路,注入新活力.管理控制服務(wù)器通過安全策略集成融合了企業(yè)所有安全應(yīng)用的安全防護(hù)能力和智慧,盤活所有的安全應(yīng)用,激發(fā)所有安全應(yīng)用價值的體現(xiàn)與釋放,使得企業(yè)以往的安全投入再次綻放能量、釋放價值、拓展回報.

    4.3 安全防護(hù)成效提升

    以往網(wǎng)絡(luò)安全策略的部署,需要網(wǎng)絡(luò)安全運(yùn)營人員分別登錄各種安全設(shè)備,進(jìn)行策略的配置和執(zhí)行.例如勒索病毒的應(yīng)急防護(hù),需要網(wǎng)絡(luò)安全人員分別登錄網(wǎng)絡(luò)接入交換機(jī),進(jìn)行安全策略配置(利用ACL封鎖445端口通信),對于網(wǎng)絡(luò)規(guī)模相當(dāng)大的企業(yè),安全策略人工逐臺配置工作量大、耗時長、出錯率高,人工配置的速度遠(yuǎn)慢于病毒快速蔓延的速度,導(dǎo)致應(yīng)急響應(yīng)工作的效率效果欠佳.

    主動網(wǎng)絡(luò)安全架構(gòu)將網(wǎng)絡(luò)終端和終端接入的邊界認(rèn)證機(jī)集中管理,安全策略也統(tǒng)一管理,通過管理控制服務(wù)器集成所有安全應(yīng)用、安全專家的智慧,統(tǒng)一制定防御策略,一鍵式快速自動化下達(dá)至所有邊界認(rèn)證機(jī)執(zhí)行安全策略,從全網(wǎng)最貼近中毒終端的所有部位進(jìn)行病毒蔓延的全面快速封堵,在極短的時間內(nèi)將病毒的威脅整體控制住,安全防護(hù)工作敏捷高效,直指要害,精準(zhǔn)防御,事半功倍.

    主動網(wǎng)絡(luò)安全架構(gòu)保障了安全防護(hù)工作有統(tǒng)一抓手,有高能引擎,安全防護(hù)安全策略的制定、下發(fā)、撤銷都可高效完成,極大提高了網(wǎng)絡(luò)安全防護(hù)工作的成效.

    5 總 結(jié)

    主動安全網(wǎng)絡(luò)架構(gòu)安全策略的統(tǒng)一管理、智能集成、快速發(fā)布、高效執(zhí)行,打造了企業(yè)的安全管控核心和安全防護(hù)統(tǒng)一指揮中心,集成了企業(yè)多維安全防護(hù)能力,形成了綜合的企業(yè)網(wǎng)絡(luò)安全協(xié)同防御體系,保證了網(wǎng)絡(luò)安全運(yùn)營人員的防護(hù)工作的主導(dǎo)性、統(tǒng)一性和高效性,最大程度釋放企業(yè)安全投資價值.

    猜你喜歡
    安全策略訪問控制IP地址
    基于認(rèn)知負(fù)荷理論的叉車安全策略分析
    基于飛行疲勞角度探究民航飛行員飛行安全策略
    鐵路遠(yuǎn)動系統(tǒng)幾種組網(wǎng)方式IP地址的申請和設(shè)置
    淺析涉密信息系統(tǒng)安全策略
    基于SNMP的IP地址管理系統(tǒng)開發(fā)與應(yīng)用
    黑龍江電力(2017年1期)2017-05-17 04:25:16
    ONVIF的全新主張:一致性及最訪問控制的Profile A
    動態(tài)自適應(yīng)訪問控制模型
    淺析云計算環(huán)境下等級保護(hù)訪問控制測評技術(shù)
    大數(shù)據(jù)平臺訪問控制方法的設(shè)計與實(shí)現(xiàn)
    如何加強(qiáng)農(nóng)村食鹽消費(fèi)安全策略
    成人国产av品久久久| 欧美97在线视频| 国产精品麻豆人妻色哟哟久久| 日韩亚洲欧美综合| a级毛片免费高清观看在线播放| 国产国拍精品亚洲av在线观看| 亚洲欧美成人综合另类久久久| 91aial.com中文字幕在线观看| 亚洲精品久久久久久婷婷小说| 日韩人妻高清精品专区| 国内少妇人妻偷人精品xxx网站| 男的添女的下面高潮视频| 国产爱豆传媒在线观看| 日日啪夜夜撸| 成人黄色视频免费在线看| 日本午夜av视频| 日本与韩国留学比较| 日日啪夜夜撸| 欧美日韩视频精品一区| 久久久久精品久久久久真实原创| 蜜臀久久99精品久久宅男| 国产真实伦视频高清在线观看| 久久久久精品久久久久真实原创| av播播在线观看一区| 精品人妻偷拍中文字幕| 国产女主播在线喷水免费视频网站| 在线播放无遮挡| 极品少妇高潮喷水抽搐| 日韩 亚洲 欧美在线| 狂野欧美激情性bbbbbb| 韩国av在线不卡| 欧美3d第一页| 亚洲成人一二三区av| 又爽又黄无遮挡网站| 青春草国产在线视频| 少妇人妻精品综合一区二区| 久久久久性生活片| 国产亚洲一区二区精品| 特大巨黑吊av在线直播| 在线亚洲精品国产二区图片欧美 | 国产亚洲一区二区精品| 免费看av在线观看网站| 蜜桃亚洲精品一区二区三区| 啦啦啦啦在线视频资源| 国产成人精品婷婷| 亚洲av福利一区| 成人特级av手机在线观看| 亚洲精品国产成人久久av| 高清av免费在线| 国产精品三级大全| 2018国产大陆天天弄谢| 久久久久久久午夜电影| 一级二级三级毛片免费看| 亚洲最大成人av| 一级二级三级毛片免费看| 欧美性猛交╳xxx乱大交人| 日本av手机在线免费观看| 久久6这里有精品| 国模一区二区三区四区视频| 能在线免费看毛片的网站| 久久国内精品自在自线图片| 国产美女午夜福利| 欧美丝袜亚洲另类| 色视频www国产| 免费黄网站久久成人精品| 亚洲天堂国产精品一区在线| 在线观看一区二区三区激情| 国产色婷婷99| 日韩一区二区视频免费看| 国产在线男女| 日韩,欧美,国产一区二区三区| 成人免费观看视频高清| 国产熟女欧美一区二区| 日韩欧美 国产精品| 国产精品国产三级专区第一集| 亚洲成人精品中文字幕电影| 视频区图区小说| 一本色道久久久久久精品综合| 久久精品综合一区二区三区| 日韩成人av中文字幕在线观看| 国产精品久久久久久av不卡| 亚洲va在线va天堂va国产| 亚洲国产精品成人久久小说| 三级国产精品片| 蜜桃亚洲精品一区二区三区| 直男gayav资源| 精品久久久噜噜| 中国美白少妇内射xxxbb| 亚洲国产日韩一区二区| 女人久久www免费人成看片| 成人亚洲欧美一区二区av| 寂寞人妻少妇视频99o| 男的添女的下面高潮视频| 日日啪夜夜撸| 少妇被粗大猛烈的视频| 丰满人妻一区二区三区视频av| 亚洲内射少妇av| 久久久久久伊人网av| 草草在线视频免费看| 99热网站在线观看| 成人黄色视频免费在线看| 美女主播在线视频| 亚洲一级一片aⅴ在线观看| 2018国产大陆天天弄谢| 欧美一区二区亚洲| 亚洲婷婷狠狠爱综合网| 亚洲欧美一区二区三区国产| 一级av片app| av在线老鸭窝| 人人妻人人看人人澡| 九草在线视频观看| 国产精品久久久久久久电影| 亚洲欧美日韩无卡精品| 国产成人精品婷婷| 视频中文字幕在线观看| 亚洲欧美清纯卡通| 青春草国产在线视频| 大又大粗又爽又黄少妇毛片口| 国产精品一区二区三区四区免费观看| 日韩欧美 国产精品| 亚洲精品成人久久久久久| 国产男人的电影天堂91| 一级毛片久久久久久久久女| 中文乱码字字幕精品一区二区三区| 中文字幕免费在线视频6| 免费看不卡的av| 国产av码专区亚洲av| 国产精品无大码| 777米奇影视久久| 日日摸夜夜添夜夜爱| 亚洲欧美一区二区三区国产| 亚洲久久久久久中文字幕| 成年女人在线观看亚洲视频 | 国国产精品蜜臀av免费| 国产免费一区二区三区四区乱码| 乱系列少妇在线播放| 亚洲av不卡在线观看| 80岁老熟妇乱子伦牲交| 欧美最新免费一区二区三区| 自拍偷自拍亚洲精品老妇| 久久久成人免费电影| 搡老乐熟女国产| 亚洲va在线va天堂va国产| 美女高潮的动态| 亚洲不卡免费看| 亚洲精品一二三| 亚洲电影在线观看av| 一区二区三区精品91| 久久99热这里只有精品18| 久久久精品欧美日韩精品| 婷婷色综合www| 美女高潮的动态| 舔av片在线| 亚洲国产精品成人综合色| 久久久久国产精品人妻一区二区| 亚洲久久久久久中文字幕| 日韩一区二区视频免费看| 白带黄色成豆腐渣| 中文天堂在线官网| 搡女人真爽免费视频火全软件| 国产精品爽爽va在线观看网站| 欧美日韩国产mv在线观看视频 | 色婷婷久久久亚洲欧美| 精品99又大又爽又粗少妇毛片| 久久久欧美国产精品| 精品国产一区二区三区久久久樱花 | 99久久中文字幕三级久久日本| 在线观看国产h片| 最近手机中文字幕大全| 久久精品久久久久久久性| 青春草视频在线免费观看| 久久久久久久久久人人人人人人| 久久久午夜欧美精品| 国产男人的电影天堂91| 亚洲高清免费不卡视频| 欧美3d第一页| 国产欧美日韩精品一区二区| 成人亚洲欧美一区二区av| 精品国产三级普通话版| 天美传媒精品一区二区| 最近的中文字幕免费完整| 亚洲天堂国产精品一区在线| 免费大片黄手机在线观看| 22中文网久久字幕| 久久久久久伊人网av| 久久韩国三级中文字幕| 最近2019中文字幕mv第一页| 免费黄频网站在线观看国产| h日本视频在线播放| 国产精品福利在线免费观看| 色哟哟·www| 美女cb高潮喷水在线观看| 亚洲不卡免费看| 国产一区二区三区综合在线观看 | 精品一区二区三卡| av天堂中文字幕网| 少妇人妻一区二区三区视频| 舔av片在线| 日韩 亚洲 欧美在线| 亚洲人成网站在线播| 免费看光身美女| 日产精品乱码卡一卡2卡三| 爱豆传媒免费全集在线观看| 久久99热这里只频精品6学生| 亚洲精品成人av观看孕妇| 黄色欧美视频在线观看| 日日摸夜夜添夜夜添av毛片| 午夜福利高清视频| 在线观看三级黄色| 大香蕉97超碰在线| 国产亚洲一区二区精品| 丝袜喷水一区| .国产精品久久| 婷婷色综合大香蕉| 搡老乐熟女国产| 亚洲欧美日韩另类电影网站 | 男人爽女人下面视频在线观看| 欧美高清性xxxxhd video| 十八禁网站网址无遮挡 | 九九爱精品视频在线观看| 高清视频免费观看一区二区| 国产黄色免费在线视频| 精品久久国产蜜桃| 国产老妇伦熟女老妇高清| videos熟女内射| 精品酒店卫生间| 少妇被粗大猛烈的视频| 欧美日韩视频高清一区二区三区二| 乱系列少妇在线播放| 亚洲av成人精品一区久久| 在线a可以看的网站| 国产伦精品一区二区三区视频9| 欧美性感艳星| 久久99热6这里只有精品| 国产成人午夜福利电影在线观看| 国产永久视频网站| 国产欧美另类精品又又久久亚洲欧美| 91精品伊人久久大香线蕉| 亚洲精品456在线播放app| 日日摸夜夜添夜夜添av毛片| 日韩人妻高清精品专区| 国产成人免费观看mmmm| 精品久久久久久久末码| 99久久人妻综合| 成人亚洲欧美一区二区av| 啦啦啦在线观看免费高清www| 国产精品嫩草影院av在线观看| 联通29元200g的流量卡| 国产亚洲5aaaaa淫片| 亚洲av一区综合| 18禁动态无遮挡网站| 伦精品一区二区三区| 天天一区二区日本电影三级| 婷婷色综合www| 欧美高清性xxxxhd video| 国产毛片a区久久久久| 亚洲欧美日韩无卡精品| 日韩成人av中文字幕在线观看| 干丝袜人妻中文字幕| av在线亚洲专区| 黄片无遮挡物在线观看| 在线观看美女被高潮喷水网站| 成人鲁丝片一二三区免费| 国产毛片a区久久久久| 日韩中字成人| av在线播放精品| 嘟嘟电影网在线观看| 赤兔流量卡办理| 日日啪夜夜撸| 亚洲精品国产色婷婷电影| 99热网站在线观看| 汤姆久久久久久久影院中文字幕| 国产一区二区三区av在线| 国产精品精品国产色婷婷| 免费在线观看成人毛片| 国产午夜精品一二区理论片| 午夜福利在线在线| 久久影院123| 性色av一级| 不卡视频在线观看欧美| 看非洲黑人一级黄片| 少妇猛男粗大的猛烈进出视频 | 国产探花极品一区二区| 免费高清在线观看视频在线观看| 国产黄a三级三级三级人| 国产美女午夜福利| 免费看不卡的av| 只有这里有精品99| av在线播放精品| 亚洲精品国产av蜜桃| 网址你懂的国产日韩在线| 亚洲综合色惰| 高清欧美精品videossex| 联通29元200g的流量卡| 国产精品国产三级专区第一集| 亚洲最大成人av| 亚洲av不卡在线观看| 插逼视频在线观看| 777米奇影视久久| 建设人人有责人人尽责人人享有的 | 欧美少妇被猛烈插入视频| a级毛色黄片| 久久久久久久久久人人人人人人| 激情五月婷婷亚洲| 中文字幕亚洲精品专区| 国内精品美女久久久久久| 日韩av免费高清视频| 人妻少妇偷人精品九色| 欧美变态另类bdsm刘玥| 蜜臀久久99精品久久宅男| 亚洲色图综合在线观看| 精品亚洲乱码少妇综合久久| 在线a可以看的网站| 欧美精品国产亚洲| 亚洲精品日本国产第一区| 亚洲精品一二三| 中文欧美无线码| 国产精品久久久久久av不卡| 一级爰片在线观看| 永久免费av网站大全| 18禁在线播放成人免费| 欧美日韩亚洲高清精品| 成年女人看的毛片在线观看| 精品久久国产蜜桃| 超碰97精品在线观看| 国产毛片a区久久久久| 日韩大片免费观看网站| 在线 av 中文字幕| 18+在线观看网站| 亚洲欧美日韩无卡精品| 午夜福利视频精品| 国产乱人偷精品视频| 日韩人妻高清精品专区| 久久久久久久午夜电影| 免费看av在线观看网站| 成人亚洲精品一区在线观看 | 91久久精品电影网| 国产综合精华液| 真实男女啪啪啪动态图| 日韩一本色道免费dvd| 久久久久久久精品精品| 国产日韩欧美亚洲二区| 中文天堂在线官网| 中国国产av一级| 国产精品久久久久久久久免| 99精国产麻豆久久婷婷| 亚洲精品国产成人久久av| 久久精品国产亚洲av天美| 1000部很黄的大片| 超碰av人人做人人爽久久| 亚洲精品一区蜜桃| 天天躁夜夜躁狠狠久久av| 女人十人毛片免费观看3o分钟| 一级爰片在线观看| 91aial.com中文字幕在线观看| 一个人观看的视频www高清免费观看| 久久精品国产鲁丝片午夜精品| 男女啪啪激烈高潮av片| 色视频在线一区二区三区| 又爽又黄a免费视频| 在线观看av片永久免费下载| 超碰av人人做人人爽久久| 久久精品国产鲁丝片午夜精品| 91久久精品电影网| 久久99热这里只频精品6学生| 老师上课跳d突然被开到最大视频| a级毛片免费高清观看在线播放| 三级国产精品片| 欧美区成人在线视频| 中国国产av一级| av在线app专区| 国产永久视频网站| 日本爱情动作片www.在线观看| 亚洲精品一区蜜桃| 国产乱人视频| 亚洲国产精品成人综合色| 免费人成在线观看视频色| 国产精品福利在线免费观看| 嫩草影院入口| 看黄色毛片网站| www.色视频.com| 亚洲人与动物交配视频| 白带黄色成豆腐渣| 欧美另类一区| 亚洲国产成人一精品久久久| 美女脱内裤让男人舔精品视频| 男女国产视频网站| 午夜精品国产一区二区电影 | 我的女老师完整版在线观看| 狂野欧美白嫩少妇大欣赏| 一个人看的www免费观看视频| 久久精品综合一区二区三区| 国产久久久一区二区三区| 男人舔奶头视频| 精品久久久精品久久久| 久久久欧美国产精品| 久久久久久久久大av| 三级国产精品片| 国产熟女欧美一区二区| 久久影院123| 国产日韩欧美在线精品| 成人黄色视频免费在线看| 性色avwww在线观看| 国产精品不卡视频一区二区| 爱豆传媒免费全集在线观看| 啦啦啦啦在线视频资源| av.在线天堂| 久久综合国产亚洲精品| 涩涩av久久男人的天堂| 久久久午夜欧美精品| 禁无遮挡网站| 一个人看视频在线观看www免费| 一级片'在线观看视频| 嘟嘟电影网在线观看| 中文天堂在线官网| 精品久久久精品久久久| 国产精品99久久久久久久久| xxx大片免费视频| 蜜桃亚洲精品一区二区三区| 久久久亚洲精品成人影院| 最后的刺客免费高清国语| 欧美人与善性xxx| 一级a做视频免费观看| 熟妇人妻不卡中文字幕| 男女啪啪激烈高潮av片| 丰满少妇做爰视频| 国产精品99久久久久久久久| 大片电影免费在线观看免费| 在线亚洲精品国产二区图片欧美 | 亚洲国产精品专区欧美| 99热这里只有是精品在线观看| 精品熟女少妇av免费看| 国产高清有码在线观看视频| 赤兔流量卡办理| 18禁裸乳无遮挡动漫免费视频 | 2022亚洲国产成人精品| 亚洲四区av| 亚洲色图av天堂| 国产男人的电影天堂91| 国产乱人偷精品视频| 亚洲熟女精品中文字幕| 成年人午夜在线观看视频| 青春草视频在线免费观看| 国产高潮美女av| 亚洲真实伦在线观看| 国产综合精华液| 韩国av在线不卡| 亚洲久久久久久中文字幕| 国产欧美日韩精品一区二区| 成年版毛片免费区| 欧美xxⅹ黑人| 久久精品人妻少妇| 日韩欧美精品v在线| 久久久色成人| av在线亚洲专区| 在线观看三级黄色| 国产爽快片一区二区三区| 免费看a级黄色片| 日韩 亚洲 欧美在线| 一级毛片黄色毛片免费观看视频| 女人十人毛片免费观看3o分钟| 欧美日本视频| 麻豆国产97在线/欧美| av在线老鸭窝| 少妇被粗大猛烈的视频| 性色av一级| 久久久亚洲精品成人影院| 毛片女人毛片| 国产av码专区亚洲av| 色播亚洲综合网| 亚洲国产日韩一区二区| 亚洲国产欧美人成| 99热这里只有是精品在线观看| 永久网站在线| 亚洲欧美清纯卡通| 波野结衣二区三区在线| 国产综合精华液| 赤兔流量卡办理| 国产av不卡久久| 男女那种视频在线观看| 在线观看一区二区三区| 国产精品伦人一区二区| 亚洲精品乱码久久久久久按摩| 毛片女人毛片| 国产高清不卡午夜福利| 亚洲精品影视一区二区三区av| 伊人久久精品亚洲午夜| 中国国产av一级| a级一级毛片免费在线观看| 一级毛片 在线播放| 直男gayav资源| 亚洲欧洲国产日韩| 蜜桃亚洲精品一区二区三区| 自拍偷自拍亚洲精品老妇| 乱系列少妇在线播放| 欧美xxⅹ黑人| 日韩欧美精品免费久久| 久久久久久久久久久免费av| 一区二区三区四区激情视频| av在线亚洲专区| 亚洲av电影在线观看一区二区三区 | av在线亚洲专区| 欧美性感艳星| 久久亚洲国产成人精品v| 久久ye,这里只有精品| 赤兔流量卡办理| 精品久久国产蜜桃| 欧美潮喷喷水| av又黄又爽大尺度在线免费看| 久久久a久久爽久久v久久| 最近最新中文字幕免费大全7| 高清在线视频一区二区三区| 国产伦精品一区二区三区视频9| 国产91av在线免费观看| 男人爽女人下面视频在线观看| 日韩在线高清观看一区二区三区| 精品久久国产蜜桃| 中文字幕久久专区| 亚洲av福利一区| 男人添女人高潮全过程视频| 国产成人精品婷婷| 成人美女网站在线观看视频| 日韩大片免费观看网站| 尤物成人国产欧美一区二区三区| 久久99热这里只有精品18| 国产在线一区二区三区精| 少妇人妻 视频| 久久精品国产亚洲av天美| 一区二区av电影网| 亚洲精品一区蜜桃| 精品久久久久久电影网| 99久久人妻综合| 久久久成人免费电影| 免费黄频网站在线观看国产| 成人国产av品久久久| 久久国产乱子免费精品| 青春草国产在线视频| 国产精品福利在线免费观看| 国产69精品久久久久777片| 久久久午夜欧美精品| 人妻系列 视频| 街头女战士在线观看网站| 成年免费大片在线观看| 国产极品天堂在线| 三级国产精品片| 午夜日本视频在线| 亚洲精品成人av观看孕妇| 亚洲精品自拍成人| 久久精品夜色国产| 国产高潮美女av| 欧美xxxx性猛交bbbb| 午夜福利在线在线| 免费看av在线观看网站| 五月伊人婷婷丁香| 国产v大片淫在线免费观看| 看非洲黑人一级黄片| 亚洲美女搞黄在线观看| 亚洲av成人精品一二三区| 亚洲av在线观看美女高潮| 草草在线视频免费看| 亚洲国产精品国产精品| 一本色道久久久久久精品综合| 国产日韩欧美在线精品| 亚洲国产欧美人成| 欧美日本视频| 久久久久久久精品精品| 女人久久www免费人成看片| 六月丁香七月| 国产有黄有色有爽视频| 亚洲最大成人手机在线| 身体一侧抽搐| 狂野欧美激情性bbbbbb| 免费高清在线观看视频在线观看| 性色av一级| 黄片wwwwww| 又爽又黄a免费视频| 18禁裸乳无遮挡动漫免费视频 | 免费av毛片视频| tube8黄色片| 麻豆国产97在线/欧美| 18+在线观看网站| 色视频在线一区二区三区| 网址你懂的国产日韩在线| 一区二区三区乱码不卡18| 成人毛片60女人毛片免费| 欧美xxxx性猛交bbbb| 2021天堂中文幕一二区在线观| 欧美丝袜亚洲另类| 哪个播放器可以免费观看大片| 熟妇人妻不卡中文字幕| 18禁裸乳无遮挡动漫免费视频 | 国产男女内射视频| 日日摸夜夜添夜夜添av毛片| 69av精品久久久久久| 国产高清不卡午夜福利| 久久久色成人| 神马国产精品三级电影在线观看| 婷婷色av中文字幕| 国产伦精品一区二区三区视频9| 免费黄频网站在线观看国产| 又粗又硬又长又爽又黄的视频| 小蜜桃在线观看免费完整版高清| 亚洲av一区综合| h日本视频在线播放| 午夜福利视频1000在线观看| 国产午夜福利久久久久久| 亚洲精品第二区| 97人妻精品一区二区三区麻豆| 精品亚洲乱码少妇综合久久| 在线观看三级黄色| 日日摸夜夜添夜夜添av毛片| 黄色怎么调成土黄色| 亚洲成人av在线免费| 国产人妻一区二区三区在| 亚洲欧美精品专区久久|