• <tr id="yyy80"></tr>
  • <sup id="yyy80"></sup>
  • <tfoot id="yyy80"><noscript id="yyy80"></noscript></tfoot>
  • 99热精品在线国产_美女午夜性视频免费_国产精品国产高清国产av_av欧美777_自拍偷自拍亚洲精品老妇_亚洲熟女精品中文字幕_www日本黄色视频网_国产精品野战在线观看 ?

    主動安全網(wǎng)絡(luò)架構(gòu)的安全策略

    2021-11-16 01:45:02劉建兵馬旭艷王小宏王振欣
    信息安全研究 2021年11期
    關(guān)鍵詞:安全策略訪問控制IP地址

    劉建兵 馬旭艷 王小宏 王振欣

    1(北京北信源軟件股份有限公司 北京 100195)

    2(中國石油東方地球物理勘探有限責(zé)任公司 河北保定 072750)

    3(昆侖數(shù)智科技有限責(zé)任公司 西安 710077)(fqy-vrv@wo.cn)

    主動安全網(wǎng)絡(luò)架構(gòu)以邊界認(rèn)證機(jī)代替接入層交換機(jī),在開放互聯(lián)的傳統(tǒng)網(wǎng)絡(luò)架構(gòu)基礎(chǔ)上,重新建立業(yè)已模糊的內(nèi)網(wǎng)邊界,以此邊界圍合起全網(wǎng)的安全區(qū)域.邊界的內(nèi)嵌認(rèn)證保證了接入網(wǎng)絡(luò)設(shè)備的身份合法性,確保接入設(shè)備執(zhí)行了網(wǎng)絡(luò)管理者認(rèn)可的基本約束,外來設(shè)備或非法設(shè)備隨意接入網(wǎng)絡(luò)的情形被徹底消除[1],甚至可以通過邊界的內(nèi)嵌認(rèn)證發(fā)現(xiàn)非法設(shè)備試圖進(jìn)入網(wǎng)絡(luò)的嘗試行為.但是,建立起清晰的邊界、接入了合法的設(shè)備并不意味著網(wǎng)絡(luò)安全.如何保證接入網(wǎng)絡(luò)的設(shè)備和網(wǎng)內(nèi)資產(chǎn)得到有效的保護(hù),按網(wǎng)絡(luò)管理者的意志實(shí)現(xiàn)網(wǎng)絡(luò)全域精細(xì)化的安全控制,必須依賴安全策略[2]的精細(xì)化、體系化、靈活性、準(zhǔn)確性、時效性來保證.本文所述安全策略是以邊界認(rèn)證機(jī)圍合區(qū)域的安全策略,安全策略包含的安全規(guī)則是以訪問控制規(guī)則為基礎(chǔ)的,在此前提下,重點(diǎn)討論安全策略的相關(guān)問題.

    1 主動安全網(wǎng)絡(luò)架構(gòu)安全理念

    以密碼技術(shù)[3]支撐的身份認(rèn)證為基礎(chǔ),將邊界管控、設(shè)備準(zhǔn)入和安全策略關(guān)聯(lián)起來,建立接入設(shè)備到安全策略的一一對應(yīng)關(guān)系,并將安全策略即時發(fā)布到接入設(shè)備所在的邊界并自動化地執(zhí)行.

    安全策略的精細(xì)化和有效性是決定網(wǎng)絡(luò)整體安全的關(guān)鍵因素,ASN(active security network)安全策略是確定性安全策略,基于既有知識建立,考慮3個方面因素:一是網(wǎng)絡(luò)中業(yè)務(wù)應(yīng)用的保障,安全策略融入業(yè)務(wù)需求,保證應(yīng)用使用的網(wǎng)絡(luò)資源不受限制;二是安全背景知識,包括一切業(yè)界已經(jīng)掌握的網(wǎng)絡(luò)攻擊方法和惡意代碼所涉及漏洞的利用和防護(hù)方法[4];三是未來出現(xiàn)的攻擊利用的漏洞和防護(hù)方法[5]..其中前2項(xiàng)是可以提前制定出確定性的安全防護(hù)策略的,第3項(xiàng)在跟蹤安全威脅變化時及時制定.

    整合分立的安全能力是指各自獨(dú)立的傳統(tǒng)安全服務(wù)的計算結(jié)果,可以統(tǒng)一轉(zhuǎn)化為安全策略或規(guī)則,被ASN接受和執(zhí)行,以應(yīng)對各自發(fā)現(xiàn)的風(fēng)險或威脅.

    2 以安全策略為核心的內(nèi)涵

    毛澤東同志說過:“政策和策略是黨的生命”,這個重要的哲學(xué)思想適用于網(wǎng)絡(luò)安全,安全策略同樣是網(wǎng)絡(luò)安全的生命,可以說,有什么樣的安全策略就有什么樣的安全水平,沒有適當(dāng)?shù)陌踩呗跃蜔o法保證網(wǎng)絡(luò)安全.為實(shí)現(xiàn)以安全策略保護(hù)網(wǎng)絡(luò)成員安全、實(shí)現(xiàn)全網(wǎng)安全目標(biāo)的目的,主動安全網(wǎng)絡(luò)架構(gòu)下的安全策略,必須是全局和集中統(tǒng)一的,必須是精細(xì)化和實(shí)時的,必須是主動的、動態(tài)的、靈活的.

    2.1 安全防護(hù)策略全局性和集中統(tǒng)一

    安全策略的全局性和集中統(tǒng)一是由安全完整性決定的,符合木桶原理,目標(biāo)網(wǎng)絡(luò)的安全水平由短板決定.網(wǎng)絡(luò)環(huán)境是由網(wǎng)絡(luò)和網(wǎng)絡(luò)成員共同組成的,通過網(wǎng)絡(luò)邊界實(shí)施的安全策略,需要為所有成員提供安全的網(wǎng)絡(luò)環(huán)境,因此安全策略必須是全局視角的,必須包容所有網(wǎng)絡(luò)成員的需求,這就要求安全策略的制定者站在全局的角度制定安全策略.

    集中統(tǒng)一包含2個方面的含義:一是集中制定安全策略;二是集中統(tǒng)一部署安全策略.集中統(tǒng)一制定安全策略是全局性的保證,離開集中統(tǒng)一全局性就會被破壞,安全策略也必然是局部的、分散的甚至是矛盾的、碎片化的.僅有好的安全策略還不夠,安全策略的部署是安全策略發(fā)揮的重要條件.集中統(tǒng)一部署才能保證全局安全策略體系化地全面及時到位,才能避免策略執(zhí)行的碎片化和策略部署漏洞,才能充分發(fā)揮安全策略的作用,保證有效性.

    全局安全策略的制定主要從以下5個方面考量:

    1) 清楚了解網(wǎng)絡(luò)資源的詳細(xì)狀況,了解網(wǎng)絡(luò)應(yīng)用所使用資源的風(fēng)險.

    2) 掌握網(wǎng)絡(luò)安全威脅的背景[6]和當(dāng)前重點(diǎn),好比防疫工作,即需要理解天花麻疹這樣的長久威脅,也需要理解季節(jié)性流感的發(fā)生規(guī)律,還要充分認(rèn)識新冠肺炎這樣的現(xiàn)實(shí)威脅,綜合這些因素才能制定出切實(shí)有效的流行病防疫策略.對于網(wǎng)絡(luò)安全來說也是這樣,綜合安全威脅的過去和當(dāng)前信息制定的安全策略才能是有效適用的.

    3) 我們既需要理解傳統(tǒng)的病毒和網(wǎng)絡(luò)攻擊方法對應(yīng)的漏洞和防護(hù)措施,也需要及時掌握當(dāng)前活躍的病毒和攻擊方式所利用的漏洞,基于此制定安全策略.

    4) 既要考慮長期威脅也要包含當(dāng)前攻擊,甚至要針對最新發(fā)現(xiàn)的安全漏洞,作出提前預(yù)防的策略考量.

    5) 安全策略的集中統(tǒng)一貫穿網(wǎng)絡(luò)安全全生命周期,集中統(tǒng)一制定安全策略,集中統(tǒng)一部署安全策略,維護(hù)更新,隨勢而動、隨變而應(yīng),針對風(fēng)險及時調(diào)整.

    2.2 安全策略精細(xì)化和實(shí)時性

    精細(xì)化包含4個方面的含義:

    1) 策略針對單個設(shè)備的身份,不是針對IP地址,IP和設(shè)備沒有嚴(yán)格對應(yīng)關(guān)系[7];策略發(fā)布給單個設(shè)備,與設(shè)備身份綁定,IP地址是策略中介,作用在設(shè)備使用的當(dāng)前IP上,執(zhí)行在當(dāng)期接入邊界機(jī)上,隨設(shè)備位置移動;

    2) 策略針對單個IP地址,以邏輯地址local標(biāo)注在規(guī)則中;

    3) 策略細(xì)化到IP地址和協(xié)議端口;

    4) 策略可針對主體和客體雙向制定.

    實(shí)時性是指安全策略的執(zhí)行與接入設(shè)備的接入時間是自動化同步的,從設(shè)備接入到安全策略執(zhí)行的時間延遲是秒級的.以動態(tài)安全策略保護(hù)接入設(shè)備和網(wǎng)絡(luò)資源安全,對實(shí)時性有很高的要求,從接入設(shè)備接入網(wǎng)絡(luò)到安全策略執(zhí)行生效的時間延遲如果很長,就會出現(xiàn)防護(hù)空窗期,這個時延越短越好.ASN架構(gòu)下,由于邊界機(jī)具備準(zhǔn)入能力,可以保證安全策略和準(zhǔn)入的無縫銜接,在安全策略生效前不轉(zhuǎn)發(fā)接入設(shè)備的數(shù)據(jù)報文,設(shè)備一入網(wǎng)安全策略生效是同時的;從設(shè)備接入網(wǎng)絡(luò)通過認(rèn)證、策略下發(fā)、執(zhí)行生效的一系列過程是在秒級完成的.

    2.3 安全策略的主動性、動態(tài)化和靈活性

    主動性是指所有的安全策略集中管理,在安全事件尚未發(fā)生前預(yù)先制定,策略制定針對安全問題、威脅和漏洞,不針對具體目標(biāo)設(shè)備,以策略庫的形式保存?zhèn)溆?動態(tài)化是指精細(xì)化安全策略根據(jù)接入位置(邊界機(jī)及端口)移動而跟隨接入設(shè)備部署到位,并在接入設(shè)備離線后自動清除相應(yīng)安全策略.靈活性是指策略庫中的策略可以根據(jù)不同的安全場景選擇特定目標(biāo)發(fā)布,隨時發(fā)布即刻生效,選擇的發(fā)布目標(biāo)基于CID(combination ID)標(biāo)識,無需目標(biāo)在線,無需目標(biāo)地址,同時,集成系統(tǒng)提供的安全規(guī)則可以融入執(zhí)行.在精細(xì)化安全策略準(zhǔn)確執(zhí)行到位的情況下,理論上可以控制網(wǎng)絡(luò)中所有資源的訪問,可以控制全網(wǎng)IP地址之間的訪問,達(dá)到保護(hù)信息系統(tǒng)安全和接入設(shè)備自身安全的雙重作用.

    2.4 安全策略技術(shù)支撐

    集中管控全網(wǎng)的訪問控制是ASN的核心能力,支撐ASN架構(gòu)的技術(shù)基礎(chǔ)是網(wǎng)絡(luò)接入層設(shè)備的訪問控制能力,即接入交換機(jī)的ACL,集中管控關(guān)聯(lián)身份的網(wǎng)絡(luò)接入層ACL,以此形成內(nèi)網(wǎng)邊界的安全防護(hù)能力.

    依傳統(tǒng)網(wǎng)絡(luò)模型的觀點(diǎn),ACL是建立在內(nèi)網(wǎng)的匯聚層和核心層的,接入層的訪問控制一直被棄之不用,偶有使用也是簡單化的、靜態(tài)的、分散的、手工的.站在內(nèi)網(wǎng)安全全域邊界的視角重新審視,我們發(fā)現(xiàn)接入層是網(wǎng)絡(luò)安全的重要關(guān)口,是重新建立內(nèi)網(wǎng)邊界的最佳位置,放棄在邊界上建立安全控制能力不得不說是網(wǎng)絡(luò)安全界一直以來的失誤和損失.ASN重拾接入層安全能力,并對其進(jìn)行系統(tǒng)化、體系化、集中化、自動化的組織利用,成為解決內(nèi)網(wǎng)安全問題的全新安全方法,也是ASN技術(shù)的基礎(chǔ),依托這個技術(shù)基礎(chǔ),ASN得以建立起內(nèi)網(wǎng)精細(xì)化、體系化的主動動態(tài)安全策略和自動執(zhí)行機(jī)制.

    傳統(tǒng)網(wǎng)絡(luò)模型的接入層并不天然具備ASN要求的安全能力,ASN通過創(chuàng)新改進(jìn)使接入層設(shè)備具備認(rèn)證、準(zhǔn)入和訪問控制集中管控執(zhí)行能力,由網(wǎng)絡(luò)交換機(jī)轉(zhuǎn)變?yōu)檫吔缯J(rèn)證機(jī),以此形成ASN架構(gòu)下新的內(nèi)網(wǎng)接入層.

    3 主動安全策略的實(shí)現(xiàn)

    建立與接入設(shè)備身份相聯(lián)系的訪問控制策略,需要解決3個問題:其一,建立接入設(shè)備的唯一身份標(biāo)識;其二,依據(jù)安全和業(yè)務(wù)要求制定和發(fā)布與唯一標(biāo)識關(guān)聯(lián)的訪問控制策略;其三,在訪問網(wǎng)絡(luò)前獲得接入設(shè)備使用的IP地址.第1個問題我們在前文中已經(jīng)解決,內(nèi)嵌認(rèn)證技術(shù)建立了與設(shè)備物理地址關(guān)聯(lián)的唯一標(biāo)識CID,可以實(shí)現(xiàn)接入設(shè)備的身份認(rèn)證,這個唯一標(biāo)識可以作為管理安全策略的設(shè)備身份;第2個問題將在策略制定部分解決;第3個問題,邊界認(rèn)證機(jī)在完成接入設(shè)備身份認(rèn)證的過程中,可以從接入設(shè)備的數(shù)據(jù)包中獲取其IP地址,并實(shí)時上報給策略平臺.

    在具備以上條件的前提下,主動安全網(wǎng)絡(luò)架構(gòu)的安全策略制定、發(fā)布和執(zhí)行即可以實(shí)現(xiàn)主動和動態(tài)能力.

    3.1 安全策略制定

    管理要求和安全目標(biāo)是安全策略的出發(fā)點(diǎn),主動動態(tài)的精細(xì)化安全策略應(yīng)根據(jù)應(yīng)用需求、安全背景和安全威脅制定,以此落實(shí)安全目標(biāo).

    1) 業(yè)務(wù)應(yīng)用的需求是需要考慮的首要因素,安全策略必須保證業(yè)務(wù)應(yīng)用的資源得到合理的保障.在安全策略實(shí)現(xiàn)上,應(yīng)根據(jù)應(yīng)用的具體要求精細(xì)化到IP和端口.如某個網(wǎng)絡(luò)中部署的多種應(yīng)用,對于不同的業(yè)務(wù)部門需要分配不同的訪問權(quán)限.電子郵件系統(tǒng)(192.168.10.10)是全部用戶都可以訪問的,而財務(wù)系統(tǒng)(192.168.10.20)僅僅允許財務(wù)部門的用戶訪問,采購系統(tǒng)(192.168.10.30)僅允許特定的崗位人員訪問.把這個應(yīng)用需求翻譯為安全策略的語言就是:拒絕財務(wù)以外用戶訪問財務(wù)系統(tǒng)(192.168.10.20),拒絕特定以外用戶訪問采購系統(tǒng)(192.168.10.30),電子郵件系統(tǒng)允許所有用戶訪問,則可以制定如下安全策略規(guī)則,留待應(yīng)用到相應(yīng)的用戶對象.

    ACL1:access-list frame-type ipv4-tcp sip local dip 192.168.10.20/32 action permit;

    ACL2:access-list frame-type ipv4-tcp sip local dip 192.168.10.20/32 action deny;

    ACL3:access-list frame-type ipv4-tcp sip local dip 192.168.10.30/32 action permit;

    ACL4:access-list frame-type ipv4-tcp sip local dip 192.168.10.30/32 action deny.

    2) 安全背景是考量安全策略的重要因素,對于已經(jīng)發(fā)現(xiàn)的安全漏洞及其威脅,既有知識已經(jīng)給出應(yīng)對的方法,將其轉(zhuǎn)化為安全策略即可應(yīng)對.來自于多個方面如病毒、木馬、網(wǎng)絡(luò)攻擊、系統(tǒng)漏洞、應(yīng)用漏洞都是需要考慮的因素,這些因素歸結(jié)起來都是對漏洞的利用,如445,139端口被多個病毒和網(wǎng)絡(luò)攻擊利用[8],存在嚴(yán)重的安全威脅,需要禁止對445端口的訪問,我們就應(yīng)該制定如下的安全策略.

    ACL1:access-list frame-type ipv4-tcp sip local dip any sport any dport 445 action deny;

    ACL2:access-list frame-type ipv4-tcp sip local dip any sport any dport 139 action deny.

    其中以local作為虛擬地址邏輯上表示接入設(shè)備的實(shí)際地址.

    對于既有的安全威脅,安全策略管理者在制定安全策略時還需要綜合考慮當(dāng)前主要活躍的威脅和本網(wǎng)設(shè)備漏洞修補(bǔ)情況,結(jié)合其他獨(dú)立安全系統(tǒng)的情況,決定采用哪些策略規(guī)則,可以更好地精簡和優(yōu)化安全策略.

    3) 制定并部署安全策略后,新的安全威脅仍然會不斷出現(xiàn),安全策略需要隨著安全威脅的變化而變化.

    4) 全局策略和局部的個性化策略應(yīng)統(tǒng)一考慮,以提高策略的執(zhí)行效率和簡化策略邏輯.如445端口是高危端口,經(jīng)常被多種網(wǎng)絡(luò)攻擊和病毒利用,為了保護(hù)全網(wǎng)接入設(shè)備安全應(yīng)將對其訪問控制作為全局策略,而不必在每個安全策略里重復(fù)出現(xiàn).全局策略不使用local邏輯地址,可以被邊界機(jī)直接執(zhí)行.全局策略示例如下.

    ACL1:access-list frame-type ipv4-tcp sip any dip any sport any dport 445 action deny.

    類似以上安全規(guī)則可以作為策略存入策略庫備用,諸如此類的安全規(guī)則可以有很多,根據(jù)安全狀況和業(yè)務(wù)場景可以組合出多種安全策略.

    ASN安全策略可以阻斷危險網(wǎng)絡(luò)地址和端口,保護(hù)網(wǎng)絡(luò)接入成員的安全,但是實(shí)際的業(yè)務(wù)應(yīng)用由于特定原因可能使用部分漏洞端口,或者由于其他原因無法修補(bǔ)某些端口的漏洞,限制漏洞端口的可訪問或被訪問范圍,雖然不能絕對消除漏洞風(fēng)險,但在安全上仍然具有很大的意義.作為應(yīng)用服務(wù)端,將訪問者限制在業(yè)務(wù)設(shè)定的范圍,拒絕設(shè)定范圍以外的非業(yè)務(wù)訪問,可以有效阻止來自內(nèi)網(wǎng)和外網(wǎng)的探測、漏洞利用和網(wǎng)絡(luò)攻擊.此場景下的訪問策略規(guī)則如下例.

    1) 服務(wù)端

    ACL1:access-list frame-type ipv4-tcp sip 192.168.1.0/24 dip local sport any dport 445 action permit;

    ACL 2:access-list frame-type ipv4-tcp sip any dip local sport any dport 445 action deny.

    以上規(guī)則組合成的安全策略在服務(wù)端以local虛擬地址作為被訪問目的地址的訪問控制,在服務(wù)端連接的邊界機(jī)上落地執(zhí)行,服務(wù)端一般是固定IP地址,此時local確定為固定IP:192.168.2.1,僅僅允許192.168.1.0/24網(wǎng)段的設(shè)備訪問445端口.

    2) 訪問端

    ACL 1:access-list frame-type ipv4-tcp sip local dip 192.168.2.1/32 sport any dport 445 action permit;

    ACL 2:access-list frame-type ipv4-tcp sip local dip any sport any dport 445 action deny.

    以上規(guī)則以local虛擬地址代表訪問端的源IP地址,發(fā)布給該應(yīng)用成員的PEG,在對應(yīng)CID訪問者接入認(rèn)證成功后,該策略即在對應(yīng)的邊界機(jī)上執(zhí)行,僅有訪問192.168.2.1:445的數(shù)據(jù)包得以轉(zhuǎn)發(fā)到達(dá)目的地址.

    管理控制服務(wù)器平臺提供了主動安全網(wǎng)絡(luò)架構(gòu)安全策略的制定功能.這里所稱的安全策略,是1個或1組安全威脅或管理要求的訪問控制規(guī)則.在安全策略制定階段,安全策略僅僅針對具體的安全威脅或管理要求,不指定具體的作用對象,策略文本中以local邏輯上代表接入設(shè)備的實(shí)際IP地址,編輯好的安全策略以不同的命名保存在安全策略庫中.每個安全策略針對不同的安全場景和管理要求,隨時可以被調(diào)出使用,安全策略制定如圖1所示:

    圖1 安全策略制定

    安全策略是通過交換機(jī)上的1組訪問控制規(guī)則,即通常所稱訪問控制列表(ACL)實(shí)現(xiàn)的[9].訪問控制列表的一般使用方式是:由網(wǎng)絡(luò)工程師通過命令行或交換機(jī)Web界面進(jìn)行配置,其結(jié)果格式形如下.

    ACL3:access-list frame-type ipv4-tcp sip 192.168.82.46/32 dip 192.168.82.48/32 sport 300 dport 500 action deny.

    其中的源和目的IP地址都固定了,每條ACL作用于所設(shè)定IP地址或地址范圍,其有效性要求訪問的雙方必須使用確定范圍的IP地址,而一旦使用指定范圍外的IP地址,該訪問控制規(guī)則就不起作用了,這是靜態(tài)ACL的主要缺陷.利用邊界機(jī)ACL功能實(shí)現(xiàn)動態(tài)有效的訪問控制,就需要在ACL中使用接入設(shè)備的當(dāng)前IP地址,因此如何獲取設(shè)備當(dāng)前的IP地址是問題的關(guān)鍵.

    利用接入層ACL實(shí)現(xiàn)動態(tài)的訪問控制就需要用接入設(shè)備的IP,邊界機(jī)提供了實(shí)時獲取接入設(shè)備IP地址的能力,并即時上報策略集中管控平臺,安全策略的local得以及時轉(zhuǎn)換為實(shí)際IP地址.

    3.2 安全策略的發(fā)布

    ASN針對邊界接入設(shè)備的安全策略是邏輯的,安全策略本身并未包含策略的執(zhí)行對象,以此保證策略的靈活性.但策略的執(zhí)行必須使具體的策略與對象相對應(yīng),這個過程是在ASN的策略發(fā)布過程完成的.

    ASN以唯一標(biāo)識CID保證接入設(shè)備唯一性,據(jù)此保證接入設(shè)備身份的唯一性,而不管接入設(shè)備使用什么IP地址,這是策略和接入設(shè)備關(guān)聯(lián)對應(yīng)的基礎(chǔ).

    安全策略發(fā)布功能如圖2所示,安全管理者根據(jù)安全和管理需要選定策略庫中某個安全策略作為即將發(fā)布的安全策略,從對象庫中選取合適的1組CID并向其發(fā)布選定的安全策略.發(fā)布的結(jié)果是安全策略被分發(fā)給每個CID對應(yīng)接入設(shè)備的PEG(policy enabling group)中,將即將執(zhí)行的策略賦值在接入設(shè)備上,被賦予安全策略的設(shè)備一旦接入網(wǎng)絡(luò),其對應(yīng)PEG中的安全策略將被執(zhí)行.

    圖2 安全策略發(fā)布執(zhí)行

    管理控制服務(wù)器與第三方平臺進(jìn)行安全策略的交互,實(shí)現(xiàn)安全策略發(fā)布、接收、優(yōu)化、執(zhí)行、撤銷的全生命周期管理.管理控制服務(wù)器收到第三方平臺發(fā)布的安全策略后,與本地制定的安全策略進(jìn)行優(yōu)化精簡后發(fā)布,并將策略的接收、優(yōu)化、發(fā)布、執(zhí)行等信息發(fā)送給第三方平臺;收到第三方平臺的策略撤銷信息時,進(jìn)行策略撤銷.

    管理控制服務(wù)器將企業(yè)的靜態(tài)安全策略、動態(tài)安全策略統(tǒng)一管理,集成企業(yè)所有安全防護(hù)能力智慧,實(shí)現(xiàn)企業(yè)安全策略的落地生效、終端網(wǎng)絡(luò)訪問行為的全面精細(xì)控制.

    3.3 安全策略的執(zhí)行

    ASN安全策略的執(zhí)行是和接入認(rèn)證和準(zhǔn)入連貫完成的,如圖2所示,當(dāng)設(shè)備通過邊界機(jī)完成身份認(rèn)證后,系統(tǒng)即獲得了接入設(shè)備對應(yīng)的CID,同時邊界機(jī)從認(rèn)證過程中解析出接入設(shè)備當(dāng)前IP地址,并即時上報給策略服務(wù)器,策略執(zhí)行模塊根據(jù)CID找到對應(yīng)的PEG,從中取出安全策略,并用獲得的IP地址替換安全策略中的邏輯地址符號“l(fā)ocal”,形成可以在邊界機(jī)上執(zhí)行的真實(shí)訪問控制列表ACL,之后安全策略執(zhí)行模塊通過BIP(business interaction protocal)協(xié)議將ACL發(fā)送給接入設(shè)備所在的邊界機(jī),邊界機(jī)將收到的ACL文本追加進(jìn)自己的訪問控制列表中,并立即執(zhí)行.

    策略服務(wù)器上保留有全部邊界機(jī)上正在執(zhí)行策略的副本緩存.邊界機(jī)上接入設(shè)備的在線狀態(tài)由AAP(access authentication protocal)協(xié)議實(shí)時偵測,一旦發(fā)現(xiàn)并確認(rèn)某個接入設(shè)備離線,即將該離線設(shè)備對應(yīng)離線信息和對應(yīng)的IP地址信息報告策略服務(wù)器,安全策略發(fā)布模塊即通過BIP協(xié)議給邊界機(jī)下發(fā)指令,從其訪問控制列表中刪除對應(yīng)的安全規(guī)則內(nèi)容.

    3.4 集成系統(tǒng)的策略協(xié)同

    以ASN為平臺可以集成眾多獨(dú)立的信息安全應(yīng)用,包括防病毒、補(bǔ)丁分發(fā)、漏洞掃描、流量分析等,我們統(tǒng)一將其稱為集成應(yīng)用,ASN與集成應(yīng)用協(xié)同聯(lián)動,可以倍增集成應(yīng)用的價值,成為集成應(yīng)用的執(zhí)行機(jī)構(gòu),共同發(fā)揮出綜合效應(yīng).

    如與ASN集成的漏洞掃描系統(tǒng),通過掃描發(fā)現(xiàn)網(wǎng)中某個IP下的設(shè)備存在某個高風(fēng)險漏洞,漏洞對應(yīng)端口號:4488,即可生成禁用該IP:PORT的安全策略,并通過OIP(open integration protocol )協(xié)議發(fā)送給ASN,ASN通過自身定位機(jī)制可以快速定位該IP所在邊界機(jī),并通過安全策略執(zhí)行模塊向?qū)?yīng)邊界機(jī)追加該條安全策略,并在邊界機(jī)上立即生效.如此網(wǎng)上任何利用該漏洞的數(shù)據(jù)包都會被邊界機(jī)丟棄,這個安全漏洞就在數(shù)秒時間內(nèi)被ASN保護(hù)起來.在此網(wǎng)絡(luò)中一切試圖訪問和利用該漏洞危害此設(shè)備的可能性都不存在了,此設(shè)備如同穿上了失傳已久的金鐘罩.

    ASN的安全策略是網(wǎng)絡(luò)安全的根本,有什么樣的安全策略就有什么樣的安全水平.安全策略可以是多種多樣的,通過ACL的靈活配置,既可實(shí)現(xiàn)源目地址、源目端口等的限制特定對象的訪問或被訪問,也可實(shí)現(xiàn)全局的拒絕訪問.策略中ACL的靈活配置可實(shí)現(xiàn)各種安全訪問需求.

    安全策略和實(shí)際應(yīng)用場景的結(jié)合是需要特別注意的問題,在安全和業(yè)務(wù)之間求得平衡的安全策略才是容易實(shí)施的.如445端口是在很多業(yè)務(wù)系統(tǒng)中使用的,也是很多網(wǎng)絡(luò)攻擊和病毒木馬利用的端口,從安全的角度來看,全部禁用即可保證不受此類攻擊,但會影響相關(guān)業(yè)務(wù),因此不能簡單全面停用該端口,這種情況下應(yīng)該考慮該端口的使用范圍,將其限制在業(yè)務(wù)應(yīng)用的最小范圍,即可防范來自業(yè)務(wù)系統(tǒng)之外的遠(yuǎn)程攻擊,此時的安全策略可以把業(yè)務(wù)系統(tǒng)的設(shè)備范圍寫進(jìn)安全策略中,形成限制范圍的適度策略,并賦予業(yè)務(wù)相關(guān)的設(shè)備對象.

    ACL1:access-list frame-type ipv4-tcp sip any dip local sport any dport 445 action permit;

    ACL2:access-list frame-type ipv4-tcp sip any dip local sport any dport 445 action deny.

    主動網(wǎng)絡(luò)安全架構(gòu)通過策略管理控制平臺和邊界機(jī)協(xié)調(diào)工作實(shí)現(xiàn)內(nèi)網(wǎng)邊界安全防護(hù)的目標(biāo),完成安全策略的制定、發(fā)布和執(zhí)行.企業(yè)根據(jù)網(wǎng)絡(luò)安全防護(hù)的整體戰(zhàn)略戰(zhàn)術(shù)需要,制定體系化的安全策略,通過管理控制服務(wù)器的策略模塊創(chuàng)建和發(fā)布安全策略.

    安全策略的目的是控制終端的網(wǎng)絡(luò)訪問行為.策略的發(fā)布根據(jù)邊界認(rèn)證機(jī)上終端的上線和移動情況實(shí)時下發(fā)執(zhí)行.邊界認(rèn)證機(jī)上的終端上線后,管理控制服務(wù)器將該邊界認(rèn)證機(jī)上所有終端的安全策略優(yōu)化精簡后下發(fā)至邊界認(rèn)證機(jī)執(zhí)行控制,也可以通過邊界認(rèn)證機(jī)下發(fā)至某一個終端的認(rèn)證客戶端執(zhí)行控制;終端移動到其他邊界認(rèn)證機(jī)接入后,安全策略也會將該終端安全策略下發(fā)至終端移動接入的邊界認(rèn)證機(jī)執(zhí)行控制,實(shí)現(xiàn)終端走到哪里其策略就部署到哪里的移動管控.

    邊界認(rèn)證機(jī)和認(rèn)證客戶端執(zhí)行安全策略管控,實(shí)現(xiàn)了在最貼近終端的部位進(jìn)行終端訪問行為精準(zhǔn)管控,減少終端惡意訪問、違規(guī)訪問、異常行為、攻擊行為的擴(kuò)散和影響范圍,將危害控制至最小范圍.

    4 主動安全策略獲得的安全價值

    4.1 安全防護(hù)統(tǒng)一指揮

    企業(yè)網(wǎng)絡(luò)安全策略(包括全局、局部、靜態(tài)、動態(tài)等)在主動安全網(wǎng)絡(luò)架構(gòu)的管理控制服務(wù)器上統(tǒng)一制定發(fā)布,可實(shí)現(xiàn)企業(yè)網(wǎng)絡(luò)安全防護(hù)的統(tǒng)一指揮,改變以往網(wǎng)絡(luò)安全四處救火而火情不減的不良防護(hù)模式,讓網(wǎng)絡(luò)安全運(yùn)營人員將精力集中到網(wǎng)絡(luò)安全防護(hù)最核心、最緊要、最關(guān)鍵、最有效的安全策略研究、制定和發(fā)布執(zhí)行中來.

    體系化安全策略從戰(zhàn)略、戰(zhàn)術(shù)、整體、局部、靜態(tài)、動態(tài)等各方面進(jìn)行周密考量,并與企業(yè)的網(wǎng)絡(luò)安全防護(hù)實(shí)際需求相符合,通過統(tǒng)一管理中心——管理控制服務(wù)器——集中制定、發(fā)布和執(zhí)行,并隨著實(shí)際執(zhí)行情況進(jìn)行靈活的調(diào)整和動態(tài)適應(yīng),保證了企業(yè)網(wǎng)絡(luò)安全運(yùn)營人員安全防護(hù)工作的主導(dǎo)性、組織性、主動性和高效性.

    企業(yè)網(wǎng)絡(luò)安全防護(hù)以主動安全網(wǎng)絡(luò)架構(gòu)的中央管控核心——管理控制服務(wù)器——為作戰(zhàn)室,直接操縱精細(xì)化安全策略,可達(dá)到運(yùn)籌帷幄,決勝全局的效果.

    4.2 安全能力協(xié)同釋放

    企業(yè)已有的安全應(yīng)用/系統(tǒng)/設(shè)備,作為多個煙囪式的防護(hù)措施對企業(yè)安全的多個方面獨(dú)立、離散防護(hù),整體安全防護(hù)達(dá)不到1+1>2的效果.企業(yè)安全防護(hù)沒有統(tǒng)一策略指揮指導(dǎo),堆砌N個煙囪式防護(hù)能力的整體效果實(shí)際折扣會更大,不菲的安全投入換來了實(shí)際折扣較大的、不理想的安全防護(hù)效果,與企業(yè)網(wǎng)絡(luò)安全管理和運(yùn)營人員的期望相去甚遠(yuǎn).

    主動網(wǎng)絡(luò)安全架構(gòu)通過管理控制服務(wù)器的安全策略功能,給網(wǎng)絡(luò)安全防護(hù)帶來新的思路,注入新活力.管理控制服務(wù)器通過安全策略集成融合了企業(yè)所有安全應(yīng)用的安全防護(hù)能力和智慧,盤活所有的安全應(yīng)用,激發(fā)所有安全應(yīng)用價值的體現(xiàn)與釋放,使得企業(yè)以往的安全投入再次綻放能量、釋放價值、拓展回報.

    4.3 安全防護(hù)成效提升

    以往網(wǎng)絡(luò)安全策略的部署,需要網(wǎng)絡(luò)安全運(yùn)營人員分別登錄各種安全設(shè)備,進(jìn)行策略的配置和執(zhí)行.例如勒索病毒的應(yīng)急防護(hù),需要網(wǎng)絡(luò)安全人員分別登錄網(wǎng)絡(luò)接入交換機(jī),進(jìn)行安全策略配置(利用ACL封鎖445端口通信),對于網(wǎng)絡(luò)規(guī)模相當(dāng)大的企業(yè),安全策略人工逐臺配置工作量大、耗時長、出錯率高,人工配置的速度遠(yuǎn)慢于病毒快速蔓延的速度,導(dǎo)致應(yīng)急響應(yīng)工作的效率效果欠佳.

    主動網(wǎng)絡(luò)安全架構(gòu)將網(wǎng)絡(luò)終端和終端接入的邊界認(rèn)證機(jī)集中管理,安全策略也統(tǒng)一管理,通過管理控制服務(wù)器集成所有安全應(yīng)用、安全專家的智慧,統(tǒng)一制定防御策略,一鍵式快速自動化下達(dá)至所有邊界認(rèn)證機(jī)執(zhí)行安全策略,從全網(wǎng)最貼近中毒終端的所有部位進(jìn)行病毒蔓延的全面快速封堵,在極短的時間內(nèi)將病毒的威脅整體控制住,安全防護(hù)工作敏捷高效,直指要害,精準(zhǔn)防御,事半功倍.

    主動網(wǎng)絡(luò)安全架構(gòu)保障了安全防護(hù)工作有統(tǒng)一抓手,有高能引擎,安全防護(hù)安全策略的制定、下發(fā)、撤銷都可高效完成,極大提高了網(wǎng)絡(luò)安全防護(hù)工作的成效.

    5 總 結(jié)

    主動安全網(wǎng)絡(luò)架構(gòu)安全策略的統(tǒng)一管理、智能集成、快速發(fā)布、高效執(zhí)行,打造了企業(yè)的安全管控核心和安全防護(hù)統(tǒng)一指揮中心,集成了企業(yè)多維安全防護(hù)能力,形成了綜合的企業(yè)網(wǎng)絡(luò)安全協(xié)同防御體系,保證了網(wǎng)絡(luò)安全運(yùn)營人員的防護(hù)工作的主導(dǎo)性、統(tǒng)一性和高效性,最大程度釋放企業(yè)安全投資價值.

    猜你喜歡
    安全策略訪問控制IP地址
    基于認(rèn)知負(fù)荷理論的叉車安全策略分析
    基于飛行疲勞角度探究民航飛行員飛行安全策略
    鐵路遠(yuǎn)動系統(tǒng)幾種組網(wǎng)方式IP地址的申請和設(shè)置
    淺析涉密信息系統(tǒng)安全策略
    基于SNMP的IP地址管理系統(tǒng)開發(fā)與應(yīng)用
    黑龍江電力(2017年1期)2017-05-17 04:25:16
    ONVIF的全新主張:一致性及最訪問控制的Profile A
    動態(tài)自適應(yīng)訪問控制模型
    淺析云計算環(huán)境下等級保護(hù)訪問控制測評技術(shù)
    大數(shù)據(jù)平臺訪問控制方法的設(shè)計與實(shí)現(xiàn)
    如何加強(qiáng)農(nóng)村食鹽消費(fèi)安全策略
    久久婷婷人人爽人人干人人爱| 99久久无色码亚洲精品果冻| 熟女电影av网| 国语自产精品视频在线第100页| 欧美极品一区二区三区四区| 亚洲久久久久久中文字幕| 中出人妻视频一区二区| 国产精品一区www在线观看| 毛片一级片免费看久久久久| 日韩 亚洲 欧美在线| 国产高清三级在线| 不卡一级毛片| 哪里可以看免费的av片| 乱系列少妇在线播放| 尤物成人国产欧美一区二区三区| 少妇熟女aⅴ在线视频| 自拍偷自拍亚洲精品老妇| 亚洲18禁久久av| 一边摸一边抽搐一进一小说| 亚洲美女搞黄在线观看 | 亚州av有码| 亚洲高清免费不卡视频| 国内久久婷婷六月综合欲色啪| 日韩国内少妇激情av| 国产男靠女视频免费网站| 国产欧美日韩精品亚洲av| 18禁裸乳无遮挡免费网站照片| 欧美另类亚洲清纯唯美| 色5月婷婷丁香| 老熟妇仑乱视频hdxx| 亚洲国产精品sss在线观看| 国产精品爽爽va在线观看网站| 亚洲aⅴ乱码一区二区在线播放| 国产一区二区激情短视频| 欧美成人a在线观看| 男人狂女人下面高潮的视频| 一a级毛片在线观看| 我的女老师完整版在线观看| 久久午夜福利片| 国产美女午夜福利| 亚洲国产精品国产精品| 国产伦在线观看视频一区| 不卡一级毛片| 久久久精品94久久精品| 最近2019中文字幕mv第一页| 真实男女啪啪啪动态图| 免费观看在线日韩| 午夜a级毛片| 两个人视频免费观看高清| 国产亚洲av嫩草精品影院| av在线观看视频网站免费| 日日撸夜夜添| 嫩草影院入口| 国产在视频线在精品| 97超碰精品成人国产| 此物有八面人人有两片| 国产亚洲91精品色在线| 18禁在线无遮挡免费观看视频 | 国产精品三级大全| 欧美成人一区二区免费高清观看| 欧美成人免费av一区二区三区| 伊人久久精品亚洲午夜| 熟女电影av网| 国产成人91sexporn| 精品免费久久久久久久清纯| 美女高潮的动态| 免费观看精品视频网站| 国产极品精品免费视频能看的| 男人舔女人下体高潮全视频| 日本爱情动作片www.在线观看 | 91久久精品电影网| 精品久久国产蜜桃| 免费观看的影片在线观看| 91精品国产九色| 搞女人的毛片| 人人妻人人澡欧美一区二区| 亚洲内射少妇av| av在线播放精品| 晚上一个人看的免费电影| 99精品在免费线老司机午夜| 精品一区二区三区视频在线观看免费| 97在线视频观看| 春色校园在线视频观看| 精品99又大又爽又粗少妇毛片| 精品福利观看| eeuss影院久久| 97在线视频观看| 韩国av在线不卡| 精品久久久久久久久久免费视频| 亚洲av二区三区四区| 久久婷婷人人爽人人干人人爱| 久久综合国产亚洲精品| 久久久国产成人免费| 可以在线观看毛片的网站| 国产亚洲精品久久久久久毛片| 亚洲欧美日韩无卡精品| 亚洲精品国产成人久久av| 国产中年淑女户外野战色| 精品久久久久久久久久免费视频| 国产视频一区二区在线看| 99久久精品热视频| 搡老妇女老女人老熟妇| 啦啦啦啦在线视频资源| 亚洲欧美日韩东京热| 亚洲第一区二区三区不卡| 成人特级黄色片久久久久久久| 国产男靠女视频免费网站| www.色视频.com| 国产精品精品国产色婷婷| 最近在线观看免费完整版| 久久精品国产鲁丝片午夜精品| 精品一区二区三区av网在线观看| 国产午夜福利久久久久久| 九九久久精品国产亚洲av麻豆| 欧美成人一区二区免费高清观看| 亚洲天堂国产精品一区在线| 亚洲国产高清在线一区二区三| 欧美精品国产亚洲| 男人和女人高潮做爰伦理| 亚洲图色成人| 国产乱人视频| 色哟哟·www| 久久久色成人| 日本熟妇午夜| 少妇丰满av| 淫秽高清视频在线观看| 国产v大片淫在线免费观看| 亚洲国产日韩欧美精品在线观看| 日本与韩国留学比较| 免费人成视频x8x8入口观看| 亚洲图色成人| 国产高清不卡午夜福利| 国产精品日韩av在线免费观看| 日韩亚洲欧美综合| 欧美激情国产日韩精品一区| 日韩中字成人| 亚洲高清免费不卡视频| 人妻丰满熟妇av一区二区三区| 一级黄色大片毛片| 黑人高潮一二区| 男人的好看免费观看在线视频| 一区二区三区免费毛片| 啦啦啦观看免费观看视频高清| 国产熟女欧美一区二区| 九九热线精品视视频播放| 国产精品嫩草影院av在线观看| 老女人水多毛片| 午夜福利高清视频| 床上黄色一级片| 给我免费播放毛片高清在线观看| 日日摸夜夜添夜夜添av毛片| 日日啪夜夜撸| 久久综合国产亚洲精品| av在线老鸭窝| 亚洲一区二区三区色噜噜| .国产精品久久| 少妇丰满av| 日日干狠狠操夜夜爽| av黄色大香蕉| 你懂的网址亚洲精品在线观看 | av福利片在线观看| 久久精品国产自在天天线| 免费观看的影片在线观看| 亚洲欧美日韩高清在线视频| 亚洲欧美日韩无卡精品| 成人午夜高清在线视频| 日本三级黄在线观看| 99久久久亚洲精品蜜臀av| 国产一区亚洲一区在线观看| av女优亚洲男人天堂| 日日摸夜夜添夜夜添av毛片| 免费看a级黄色片| 激情 狠狠 欧美| 如何舔出高潮| 国产老妇女一区| 亚洲综合色惰| 在线看三级毛片| 国产乱人偷精品视频| 国产精品国产高清国产av| 国产不卡一卡二| 亚洲av熟女| 国产色爽女视频免费观看| 国产老妇女一区| 免费av毛片视频| 男人和女人高潮做爰伦理| 亚洲欧美日韩高清在线视频| 91午夜精品亚洲一区二区三区| av在线播放精品| 国产91av在线免费观看| 黄色日韩在线| 久久精品影院6| 成人性生交大片免费视频hd| 午夜视频国产福利| 九九久久精品国产亚洲av麻豆| 亚洲五月天丁香| 成人亚洲精品av一区二区| 日本-黄色视频高清免费观看| 精品乱码久久久久久99久播| 日日摸夜夜添夜夜爱| 亚洲国产精品国产精品| 日韩精品青青久久久久久| av卡一久久| 久久精品国产鲁丝片午夜精品| 99视频精品全部免费 在线| 亚洲无线在线观看| 久久草成人影院| 久久久久国产精品人妻aⅴ院| 久久久久久久久久黄片| 熟女人妻精品中文字幕| 欧美人与善性xxx| av免费在线看不卡| 欧美色欧美亚洲另类二区| 亚洲人成网站在线观看播放| 日韩欧美一区二区三区在线观看| 给我免费播放毛片高清在线观看| 亚洲最大成人中文| 国产精品免费一区二区三区在线| 亚洲国产精品成人久久小说 | 淫妇啪啪啪对白视频| 亚洲国产高清在线一区二区三| 精品久久久久久久久av| 韩国av在线不卡| 九九在线视频观看精品| 我要看日韩黄色一级片| 青春草视频在线免费观看| 欧美一区二区精品小视频在线| 中文字幕熟女人妻在线| 真实男女啪啪啪动态图| 自拍偷自拍亚洲精品老妇| 偷拍熟女少妇极品色| 淫妇啪啪啪对白视频| 日韩人妻高清精品专区| 天天躁日日操中文字幕| 精品久久久久久久人妻蜜臀av| 国产真实伦视频高清在线观看| 99久国产av精品国产电影| 成人一区二区视频在线观看| 神马国产精品三级电影在线观看| 美女cb高潮喷水在线观看| 国产欧美日韩精品一区二区| 亚洲精品在线观看二区| 国产精品一区www在线观看| 午夜免费男女啪啪视频观看 | 夜夜夜夜夜久久久久| 亚洲丝袜综合中文字幕| 自拍偷自拍亚洲精品老妇| 丝袜美腿在线中文| 国产激情偷乱视频一区二区| 美女大奶头视频| 校园人妻丝袜中文字幕| 国产伦精品一区二区三区四那| 亚洲乱码一区二区免费版| 舔av片在线| 久久精品国产99精品国产亚洲性色| 久久久久国产网址| 精品久久久久久久久av| 国产精品永久免费网站| 日韩精品青青久久久久久| 国产成人影院久久av| 国产探花在线观看一区二区| 日韩制服骚丝袜av| 国产中年淑女户外野战色| 尾随美女入室| 国产国拍精品亚洲av在线观看| 免费在线观看成人毛片| 伦理电影大哥的女人| a级毛片a级免费在线| 亚洲精品456在线播放app| 搡老熟女国产l中国老女人| 男女下面进入的视频免费午夜| 18禁裸乳无遮挡免费网站照片| 伊人久久精品亚洲午夜| АⅤ资源中文在线天堂| 国产成人aa在线观看| 国产精品国产高清国产av| 久久久成人免费电影| 成年免费大片在线观看| 亚洲电影在线观看av| 日韩av在线大香蕉| 99久久精品一区二区三区| 麻豆久久精品国产亚洲av| 美女xxoo啪啪120秒动态图| 别揉我奶头 嗯啊视频| 午夜影院日韩av| 亚洲欧美日韩卡通动漫| 国产大屁股一区二区在线视频| 日韩欧美精品v在线| 一区二区三区免费毛片| 免费av观看视频| 成人三级黄色视频| 给我免费播放毛片高清在线观看| 搡老熟女国产l中国老女人| 日韩制服骚丝袜av| 晚上一个人看的免费电影| 精品一区二区三区视频在线观看免费| 男女边吃奶边做爰视频| 午夜精品一区二区三区免费看| 亚洲精品一区av在线观看| 美女cb高潮喷水在线观看| 日韩成人伦理影院| 国产精品久久久久久精品电影| 老司机午夜福利在线观看视频| 国产精品亚洲一级av第二区| 国产高清有码在线观看视频| 亚洲三级黄色毛片| 日本色播在线视频| 女人被狂操c到高潮| 熟女电影av网| 美女内射精品一级片tv| 久久久久久久久中文| 长腿黑丝高跟| 日本三级黄在线观看| 亚洲欧美日韩无卡精品| 国产麻豆成人av免费视频| 永久网站在线| av视频在线观看入口| 尤物成人国产欧美一区二区三区| 久久精品久久久久久噜噜老黄 | 日韩三级伦理在线观看| 熟女人妻精品中文字幕| 国产乱人视频| 俺也久久电影网| 波野结衣二区三区在线| 亚洲性夜色夜夜综合| 99久久精品一区二区三区| 一区福利在线观看| 免费看a级黄色片| 51国产日韩欧美| 国产在线精品亚洲第一网站| 欧美bdsm另类| aaaaa片日本免费| 中文字幕av成人在线电影| 69av精品久久久久久| 亚洲,欧美,日韩| av免费在线看不卡| 国产乱人偷精品视频| 国产精品福利在线免费观看| 欧美性猛交╳xxx乱大交人| 久久久欧美国产精品| 婷婷六月久久综合丁香| 国产精品永久免费网站| 成人三级黄色视频| 成人鲁丝片一二三区免费| 国产精品久久久久久久电影| 精品久久国产蜜桃| 亚洲av中文字字幕乱码综合| 久久精品国产亚洲av香蕉五月| 精品日产1卡2卡| 日本免费一区二区三区高清不卡| 最近中文字幕高清免费大全6| 精品久久久噜噜| 精华霜和精华液先用哪个| 美女高潮的动态| 亚洲一区二区三区色噜噜| 久久九九热精品免费| 在线播放无遮挡| 99国产极品粉嫩在线观看| 久久人人爽人人片av| av.在线天堂| 亚洲va在线va天堂va国产| 国产精品人妻久久久久久| 久久99热这里只有精品18| 午夜精品国产一区二区电影 | 中文字幕久久专区| 免费不卡的大黄色大毛片视频在线观看 | 国产精华一区二区三区| 一个人看视频在线观看www免费| 少妇裸体淫交视频免费看高清| 淫妇啪啪啪对白视频| 五月玫瑰六月丁香| 亚洲精品乱码久久久v下载方式| 精品久久久久久久久亚洲| 欧美xxxx性猛交bbbb| av天堂中文字幕网| 精品久久久久久久末码| 欧美绝顶高潮抽搐喷水| 91在线精品国自产拍蜜月| 精品久久久久久久人妻蜜臀av| 欧美一区二区国产精品久久精品| 国产在线精品亚洲第一网站| 亚洲成人精品中文字幕电影| 欧美极品一区二区三区四区| 人人妻,人人澡人人爽秒播| 久久精品夜色国产| 永久网站在线| 欧美xxxx性猛交bbbb| 国产视频一区二区在线看| 69人妻影院| 欧美+日韩+精品| 深夜精品福利| 精品国内亚洲2022精品成人| 久久久久久伊人网av| 久久人妻av系列| 少妇人妻一区二区三区视频| 三级毛片av免费| 精品一区二区三区视频在线观看免费| 久久午夜福利片| 国产熟女欧美一区二区| 免费搜索国产男女视频| 国产熟女欧美一区二区| 国产精品久久视频播放| 全区人妻精品视频| 免费人成视频x8x8入口观看| 欧美最新免费一区二区三区| 日本爱情动作片www.在线观看 | 中文字幕熟女人妻在线| 中文在线观看免费www的网站| 亚州av有码| 国产乱人偷精品视频| 亚州av有码| 久久久久久久久久久丰满| 久久精品久久久久久噜噜老黄 | 久久久精品94久久精品| 国产高清三级在线| 成年女人永久免费观看视频| a级毛色黄片| 国产精品久久久久久亚洲av鲁大| 免费观看的影片在线观看| 少妇熟女aⅴ在线视频| 国产精品久久久久久av不卡| 日韩精品中文字幕看吧| 午夜老司机福利剧场| 婷婷亚洲欧美| 97热精品久久久久久| 伊人久久精品亚洲午夜| 毛片一级片免费看久久久久| 天天一区二区日本电影三级| 色播亚洲综合网| 国产伦精品一区二区三区四那| 国产精品一及| 国产激情偷乱视频一区二区| 国产精品久久久久久精品电影| 亚洲人成网站高清观看| 97超视频在线观看视频| av专区在线播放| 一进一出好大好爽视频| 淫妇啪啪啪对白视频| 男女做爰动态图高潮gif福利片| 国产精品嫩草影院av在线观看| 天天躁夜夜躁狠狠久久av| 午夜精品在线福利| 日韩精品青青久久久久久| 男人和女人高潮做爰伦理| 三级国产精品欧美在线观看| 91久久精品国产一区二区成人| 国产午夜精品论理片| 日韩av在线大香蕉| 亚洲精品乱码久久久v下载方式| 在线a可以看的网站| 欧美激情在线99| 亚洲av二区三区四区| 毛片一级片免费看久久久久| 伊人久久精品亚洲午夜| 一区二区三区免费毛片| 色5月婷婷丁香| 日日摸夜夜添夜夜爱| 搡老熟女国产l中国老女人| 日韩av在线大香蕉| 亚洲av五月六月丁香网| 日本欧美国产在线视频| 国产亚洲精品久久久久久毛片| 简卡轻食公司| 天天躁夜夜躁狠狠久久av| 久久久国产成人精品二区| 亚洲精品日韩在线中文字幕 | 人妻丰满熟妇av一区二区三区| 男女做爰动态图高潮gif福利片| 丝袜喷水一区| 亚洲av美国av| 午夜久久久久精精品| 男女边吃奶边做爰视频| 精品国内亚洲2022精品成人| 国产黄色小视频在线观看| 亚洲av中文字字幕乱码综合| 亚洲av熟女| 特级一级黄色大片| 国模一区二区三区四区视频| 小说图片视频综合网站| 午夜激情欧美在线| 欧美+亚洲+日韩+国产| 老司机福利观看| 91av网一区二区| 国产亚洲欧美98| 美女免费视频网站| 国产高清三级在线| or卡值多少钱| 搞女人的毛片| 久久九九热精品免费| 亚洲av二区三区四区| 给我免费播放毛片高清在线观看| 国产精品不卡视频一区二区| 日韩欧美免费精品| 国产白丝娇喘喷水9色精品| 18禁裸乳无遮挡免费网站照片| 欧美日韩综合久久久久久| 亚洲五月天丁香| 少妇高潮的动态图| 欧美xxxx黑人xx丫x性爽| 亚洲色图av天堂| 一区二区三区免费毛片| 在线观看66精品国产| 国产黄色视频一区二区在线观看 | 最近最新中文字幕大全电影3| 亚洲av.av天堂| 人人妻人人看人人澡| 最近视频中文字幕2019在线8| 精品福利观看| 国产成人影院久久av| 波多野结衣高清无吗| 免费在线观看成人毛片| 久久久成人免费电影| 天堂影院成人在线观看| 中文字幕熟女人妻在线| 国产免费男女视频| 国产亚洲av嫩草精品影院| 三级国产精品欧美在线观看| 性欧美人与动物交配| 精品人妻视频免费看| 国产精品一区二区免费欧美| 亚洲国产欧洲综合997久久,| 两性午夜刺激爽爽歪歪视频在线观看| 亚洲aⅴ乱码一区二区在线播放| 我的老师免费观看完整版| 熟女人妻精品中文字幕| 最新中文字幕久久久久| av黄色大香蕉| 中国国产av一级| 国产伦在线观看视频一区| 春色校园在线视频观看| 99久久久亚洲精品蜜臀av| 欧美成人免费av一区二区三区| 国内揄拍国产精品人妻在线| 成人欧美大片| 九九热线精品视视频播放| 亚洲精品一卡2卡三卡4卡5卡| 毛片一级片免费看久久久久| 亚洲激情五月婷婷啪啪| 欧美另类亚洲清纯唯美| 美女黄网站色视频| 欧美+日韩+精品| 69av精品久久久久久| 国产爱豆传媒在线观看| 国产中年淑女户外野战色| 免费av毛片视频| 天堂网av新在线| 日日干狠狠操夜夜爽| 黄色日韩在线| 97超级碰碰碰精品色视频在线观看| 久久国产乱子免费精品| 淫妇啪啪啪对白视频| 成年女人永久免费观看视频| 免费av不卡在线播放| 欧美成人一区二区免费高清观看| 日产精品乱码卡一卡2卡三| 夜夜夜夜夜久久久久| 亚洲av美国av| 99热精品在线国产| 夜夜爽天天搞| 精品福利观看| 久久精品国产亚洲网站| 国产精品久久久久久亚洲av鲁大| 老师上课跳d突然被开到最大视频| 激情 狠狠 欧美| 色综合色国产| 午夜激情福利司机影院| 美女免费视频网站| 日日摸夜夜添夜夜添小说| 99九九线精品视频在线观看视频| 精品熟女少妇av免费看| 国产美女午夜福利| 久久精品国产清高在天天线| 亚洲三级黄色毛片| 天天躁日日操中文字幕| 国产精品久久久久久久电影| 国产欧美日韩一区二区精品| 欧美绝顶高潮抽搐喷水| 亚洲av成人精品一区久久| 国产精品乱码一区二三区的特点| 午夜福利在线观看免费完整高清在 | 欧美日本视频| 精品一区二区三区视频在线观看免费| 国产精品免费一区二区三区在线| 国产精品久久视频播放| 国产精品永久免费网站| 国产熟女欧美一区二区| 亚洲av美国av| 最近的中文字幕免费完整| 在线播放国产精品三级| 永久网站在线| 禁无遮挡网站| 九九爱精品视频在线观看| 日日摸夜夜添夜夜添小说| 不卡一级毛片| 久久久久久大精品| 毛片女人毛片| 91在线观看av| 亚洲成人中文字幕在线播放| 亚洲欧美日韩卡通动漫| 美女 人体艺术 gogo| 亚洲丝袜综合中文字幕| 日韩一本色道免费dvd| 天堂动漫精品| 卡戴珊不雅视频在线播放| h日本视频在线播放| 男女做爰动态图高潮gif福利片| 国产亚洲av嫩草精品影院| 日日摸夜夜添夜夜添av毛片| 无遮挡黄片免费观看| 国产麻豆成人av免费视频| 亚洲成av人片在线播放无| 欧美bdsm另类| 中出人妻视频一区二区| 天堂av国产一区二区熟女人妻| 永久网站在线| 夜夜爽天天搞|