• <tr id="yyy80"></tr>
  • <sup id="yyy80"></sup>
  • <tfoot id="yyy80"><noscript id="yyy80"></noscript></tfoot>
  • 99热精品在线国产_美女午夜性视频免费_国产精品国产高清国产av_av欧美777_自拍偷自拍亚洲精品老妇_亚洲熟女精品中文字幕_www日本黄色视频网_国产精品野战在线观看 ?

    主動安全網(wǎng)絡(luò)架構(gòu)的安全策略

    2021-11-16 01:45:02劉建兵馬旭艷王小宏王振欣
    信息安全研究 2021年11期
    關(guān)鍵詞:安全策略訪問控制IP地址

    劉建兵 馬旭艷 王小宏 王振欣

    1(北京北信源軟件股份有限公司 北京 100195)

    2(中國石油東方地球物理勘探有限責(zé)任公司 河北保定 072750)

    3(昆侖數(shù)智科技有限責(zé)任公司 西安 710077)(fqy-vrv@wo.cn)

    主動安全網(wǎng)絡(luò)架構(gòu)以邊界認(rèn)證機(jī)代替接入層交換機(jī),在開放互聯(lián)的傳統(tǒng)網(wǎng)絡(luò)架構(gòu)基礎(chǔ)上,重新建立業(yè)已模糊的內(nèi)網(wǎng)邊界,以此邊界圍合起全網(wǎng)的安全區(qū)域.邊界的內(nèi)嵌認(rèn)證保證了接入網(wǎng)絡(luò)設(shè)備的身份合法性,確保接入設(shè)備執(zhí)行了網(wǎng)絡(luò)管理者認(rèn)可的基本約束,外來設(shè)備或非法設(shè)備隨意接入網(wǎng)絡(luò)的情形被徹底消除[1],甚至可以通過邊界的內(nèi)嵌認(rèn)證發(fā)現(xiàn)非法設(shè)備試圖進(jìn)入網(wǎng)絡(luò)的嘗試行為.但是,建立起清晰的邊界、接入了合法的設(shè)備并不意味著網(wǎng)絡(luò)安全.如何保證接入網(wǎng)絡(luò)的設(shè)備和網(wǎng)內(nèi)資產(chǎn)得到有效的保護(hù),按網(wǎng)絡(luò)管理者的意志實(shí)現(xiàn)網(wǎng)絡(luò)全域精細(xì)化的安全控制,必須依賴安全策略[2]的精細(xì)化、體系化、靈活性、準(zhǔn)確性、時效性來保證.本文所述安全策略是以邊界認(rèn)證機(jī)圍合區(qū)域的安全策略,安全策略包含的安全規(guī)則是以訪問控制規(guī)則為基礎(chǔ)的,在此前提下,重點(diǎn)討論安全策略的相關(guān)問題.

    1 主動安全網(wǎng)絡(luò)架構(gòu)安全理念

    以密碼技術(shù)[3]支撐的身份認(rèn)證為基礎(chǔ),將邊界管控、設(shè)備準(zhǔn)入和安全策略關(guān)聯(lián)起來,建立接入設(shè)備到安全策略的一一對應(yīng)關(guān)系,并將安全策略即時發(fā)布到接入設(shè)備所在的邊界并自動化地執(zhí)行.

    安全策略的精細(xì)化和有效性是決定網(wǎng)絡(luò)整體安全的關(guān)鍵因素,ASN(active security network)安全策略是確定性安全策略,基于既有知識建立,考慮3個方面因素:一是網(wǎng)絡(luò)中業(yè)務(wù)應(yīng)用的保障,安全策略融入業(yè)務(wù)需求,保證應(yīng)用使用的網(wǎng)絡(luò)資源不受限制;二是安全背景知識,包括一切業(yè)界已經(jīng)掌握的網(wǎng)絡(luò)攻擊方法和惡意代碼所涉及漏洞的利用和防護(hù)方法[4];三是未來出現(xiàn)的攻擊利用的漏洞和防護(hù)方法[5]..其中前2項(xiàng)是可以提前制定出確定性的安全防護(hù)策略的,第3項(xiàng)在跟蹤安全威脅變化時及時制定.

    整合分立的安全能力是指各自獨(dú)立的傳統(tǒng)安全服務(wù)的計算結(jié)果,可以統(tǒng)一轉(zhuǎn)化為安全策略或規(guī)則,被ASN接受和執(zhí)行,以應(yīng)對各自發(fā)現(xiàn)的風(fēng)險或威脅.

    2 以安全策略為核心的內(nèi)涵

    毛澤東同志說過:“政策和策略是黨的生命”,這個重要的哲學(xué)思想適用于網(wǎng)絡(luò)安全,安全策略同樣是網(wǎng)絡(luò)安全的生命,可以說,有什么樣的安全策略就有什么樣的安全水平,沒有適當(dāng)?shù)陌踩呗跃蜔o法保證網(wǎng)絡(luò)安全.為實(shí)現(xiàn)以安全策略保護(hù)網(wǎng)絡(luò)成員安全、實(shí)現(xiàn)全網(wǎng)安全目標(biāo)的目的,主動安全網(wǎng)絡(luò)架構(gòu)下的安全策略,必須是全局和集中統(tǒng)一的,必須是精細(xì)化和實(shí)時的,必須是主動的、動態(tài)的、靈活的.

    2.1 安全防護(hù)策略全局性和集中統(tǒng)一

    安全策略的全局性和集中統(tǒng)一是由安全完整性決定的,符合木桶原理,目標(biāo)網(wǎng)絡(luò)的安全水平由短板決定.網(wǎng)絡(luò)環(huán)境是由網(wǎng)絡(luò)和網(wǎng)絡(luò)成員共同組成的,通過網(wǎng)絡(luò)邊界實(shí)施的安全策略,需要為所有成員提供安全的網(wǎng)絡(luò)環(huán)境,因此安全策略必須是全局視角的,必須包容所有網(wǎng)絡(luò)成員的需求,這就要求安全策略的制定者站在全局的角度制定安全策略.

    集中統(tǒng)一包含2個方面的含義:一是集中制定安全策略;二是集中統(tǒng)一部署安全策略.集中統(tǒng)一制定安全策略是全局性的保證,離開集中統(tǒng)一全局性就會被破壞,安全策略也必然是局部的、分散的甚至是矛盾的、碎片化的.僅有好的安全策略還不夠,安全策略的部署是安全策略發(fā)揮的重要條件.集中統(tǒng)一部署才能保證全局安全策略體系化地全面及時到位,才能避免策略執(zhí)行的碎片化和策略部署漏洞,才能充分發(fā)揮安全策略的作用,保證有效性.

    全局安全策略的制定主要從以下5個方面考量:

    1) 清楚了解網(wǎng)絡(luò)資源的詳細(xì)狀況,了解網(wǎng)絡(luò)應(yīng)用所使用資源的風(fēng)險.

    2) 掌握網(wǎng)絡(luò)安全威脅的背景[6]和當(dāng)前重點(diǎn),好比防疫工作,即需要理解天花麻疹這樣的長久威脅,也需要理解季節(jié)性流感的發(fā)生規(guī)律,還要充分認(rèn)識新冠肺炎這樣的現(xiàn)實(shí)威脅,綜合這些因素才能制定出切實(shí)有效的流行病防疫策略.對于網(wǎng)絡(luò)安全來說也是這樣,綜合安全威脅的過去和當(dāng)前信息制定的安全策略才能是有效適用的.

    3) 我們既需要理解傳統(tǒng)的病毒和網(wǎng)絡(luò)攻擊方法對應(yīng)的漏洞和防護(hù)措施,也需要及時掌握當(dāng)前活躍的病毒和攻擊方式所利用的漏洞,基于此制定安全策略.

    4) 既要考慮長期威脅也要包含當(dāng)前攻擊,甚至要針對最新發(fā)現(xiàn)的安全漏洞,作出提前預(yù)防的策略考量.

    5) 安全策略的集中統(tǒng)一貫穿網(wǎng)絡(luò)安全全生命周期,集中統(tǒng)一制定安全策略,集中統(tǒng)一部署安全策略,維護(hù)更新,隨勢而動、隨變而應(yīng),針對風(fēng)險及時調(diào)整.

    2.2 安全策略精細(xì)化和實(shí)時性

    精細(xì)化包含4個方面的含義:

    1) 策略針對單個設(shè)備的身份,不是針對IP地址,IP和設(shè)備沒有嚴(yán)格對應(yīng)關(guān)系[7];策略發(fā)布給單個設(shè)備,與設(shè)備身份綁定,IP地址是策略中介,作用在設(shè)備使用的當(dāng)前IP上,執(zhí)行在當(dāng)期接入邊界機(jī)上,隨設(shè)備位置移動;

    2) 策略針對單個IP地址,以邏輯地址local標(biāo)注在規(guī)則中;

    3) 策略細(xì)化到IP地址和協(xié)議端口;

    4) 策略可針對主體和客體雙向制定.

    實(shí)時性是指安全策略的執(zhí)行與接入設(shè)備的接入時間是自動化同步的,從設(shè)備接入到安全策略執(zhí)行的時間延遲是秒級的.以動態(tài)安全策略保護(hù)接入設(shè)備和網(wǎng)絡(luò)資源安全,對實(shí)時性有很高的要求,從接入設(shè)備接入網(wǎng)絡(luò)到安全策略執(zhí)行生效的時間延遲如果很長,就會出現(xiàn)防護(hù)空窗期,這個時延越短越好.ASN架構(gòu)下,由于邊界機(jī)具備準(zhǔn)入能力,可以保證安全策略和準(zhǔn)入的無縫銜接,在安全策略生效前不轉(zhuǎn)發(fā)接入設(shè)備的數(shù)據(jù)報文,設(shè)備一入網(wǎng)安全策略生效是同時的;從設(shè)備接入網(wǎng)絡(luò)通過認(rèn)證、策略下發(fā)、執(zhí)行生效的一系列過程是在秒級完成的.

    2.3 安全策略的主動性、動態(tài)化和靈活性

    主動性是指所有的安全策略集中管理,在安全事件尚未發(fā)生前預(yù)先制定,策略制定針對安全問題、威脅和漏洞,不針對具體目標(biāo)設(shè)備,以策略庫的形式保存?zhèn)溆?動態(tài)化是指精細(xì)化安全策略根據(jù)接入位置(邊界機(jī)及端口)移動而跟隨接入設(shè)備部署到位,并在接入設(shè)備離線后自動清除相應(yīng)安全策略.靈活性是指策略庫中的策略可以根據(jù)不同的安全場景選擇特定目標(biāo)發(fā)布,隨時發(fā)布即刻生效,選擇的發(fā)布目標(biāo)基于CID(combination ID)標(biāo)識,無需目標(biāo)在線,無需目標(biāo)地址,同時,集成系統(tǒng)提供的安全規(guī)則可以融入執(zhí)行.在精細(xì)化安全策略準(zhǔn)確執(zhí)行到位的情況下,理論上可以控制網(wǎng)絡(luò)中所有資源的訪問,可以控制全網(wǎng)IP地址之間的訪問,達(dá)到保護(hù)信息系統(tǒng)安全和接入設(shè)備自身安全的雙重作用.

    2.4 安全策略技術(shù)支撐

    集中管控全網(wǎng)的訪問控制是ASN的核心能力,支撐ASN架構(gòu)的技術(shù)基礎(chǔ)是網(wǎng)絡(luò)接入層設(shè)備的訪問控制能力,即接入交換機(jī)的ACL,集中管控關(guān)聯(lián)身份的網(wǎng)絡(luò)接入層ACL,以此形成內(nèi)網(wǎng)邊界的安全防護(hù)能力.

    依傳統(tǒng)網(wǎng)絡(luò)模型的觀點(diǎn),ACL是建立在內(nèi)網(wǎng)的匯聚層和核心層的,接入層的訪問控制一直被棄之不用,偶有使用也是簡單化的、靜態(tài)的、分散的、手工的.站在內(nèi)網(wǎng)安全全域邊界的視角重新審視,我們發(fā)現(xiàn)接入層是網(wǎng)絡(luò)安全的重要關(guān)口,是重新建立內(nèi)網(wǎng)邊界的最佳位置,放棄在邊界上建立安全控制能力不得不說是網(wǎng)絡(luò)安全界一直以來的失誤和損失.ASN重拾接入層安全能力,并對其進(jìn)行系統(tǒng)化、體系化、集中化、自動化的組織利用,成為解決內(nèi)網(wǎng)安全問題的全新安全方法,也是ASN技術(shù)的基礎(chǔ),依托這個技術(shù)基礎(chǔ),ASN得以建立起內(nèi)網(wǎng)精細(xì)化、體系化的主動動態(tài)安全策略和自動執(zhí)行機(jī)制.

    傳統(tǒng)網(wǎng)絡(luò)模型的接入層并不天然具備ASN要求的安全能力,ASN通過創(chuàng)新改進(jìn)使接入層設(shè)備具備認(rèn)證、準(zhǔn)入和訪問控制集中管控執(zhí)行能力,由網(wǎng)絡(luò)交換機(jī)轉(zhuǎn)變?yōu)檫吔缯J(rèn)證機(jī),以此形成ASN架構(gòu)下新的內(nèi)網(wǎng)接入層.

    3 主動安全策略的實(shí)現(xiàn)

    建立與接入設(shè)備身份相聯(lián)系的訪問控制策略,需要解決3個問題:其一,建立接入設(shè)備的唯一身份標(biāo)識;其二,依據(jù)安全和業(yè)務(wù)要求制定和發(fā)布與唯一標(biāo)識關(guān)聯(lián)的訪問控制策略;其三,在訪問網(wǎng)絡(luò)前獲得接入設(shè)備使用的IP地址.第1個問題我們在前文中已經(jīng)解決,內(nèi)嵌認(rèn)證技術(shù)建立了與設(shè)備物理地址關(guān)聯(lián)的唯一標(biāo)識CID,可以實(shí)現(xiàn)接入設(shè)備的身份認(rèn)證,這個唯一標(biāo)識可以作為管理安全策略的設(shè)備身份;第2個問題將在策略制定部分解決;第3個問題,邊界認(rèn)證機(jī)在完成接入設(shè)備身份認(rèn)證的過程中,可以從接入設(shè)備的數(shù)據(jù)包中獲取其IP地址,并實(shí)時上報給策略平臺.

    在具備以上條件的前提下,主動安全網(wǎng)絡(luò)架構(gòu)的安全策略制定、發(fā)布和執(zhí)行即可以實(shí)現(xiàn)主動和動態(tài)能力.

    3.1 安全策略制定

    管理要求和安全目標(biāo)是安全策略的出發(fā)點(diǎn),主動動態(tài)的精細(xì)化安全策略應(yīng)根據(jù)應(yīng)用需求、安全背景和安全威脅制定,以此落實(shí)安全目標(biāo).

    1) 業(yè)務(wù)應(yīng)用的需求是需要考慮的首要因素,安全策略必須保證業(yè)務(wù)應(yīng)用的資源得到合理的保障.在安全策略實(shí)現(xiàn)上,應(yīng)根據(jù)應(yīng)用的具體要求精細(xì)化到IP和端口.如某個網(wǎng)絡(luò)中部署的多種應(yīng)用,對于不同的業(yè)務(wù)部門需要分配不同的訪問權(quán)限.電子郵件系統(tǒng)(192.168.10.10)是全部用戶都可以訪問的,而財務(wù)系統(tǒng)(192.168.10.20)僅僅允許財務(wù)部門的用戶訪問,采購系統(tǒng)(192.168.10.30)僅允許特定的崗位人員訪問.把這個應(yīng)用需求翻譯為安全策略的語言就是:拒絕財務(wù)以外用戶訪問財務(wù)系統(tǒng)(192.168.10.20),拒絕特定以外用戶訪問采購系統(tǒng)(192.168.10.30),電子郵件系統(tǒng)允許所有用戶訪問,則可以制定如下安全策略規(guī)則,留待應(yīng)用到相應(yīng)的用戶對象.

    ACL1:access-list frame-type ipv4-tcp sip local dip 192.168.10.20/32 action permit;

    ACL2:access-list frame-type ipv4-tcp sip local dip 192.168.10.20/32 action deny;

    ACL3:access-list frame-type ipv4-tcp sip local dip 192.168.10.30/32 action permit;

    ACL4:access-list frame-type ipv4-tcp sip local dip 192.168.10.30/32 action deny.

    2) 安全背景是考量安全策略的重要因素,對于已經(jīng)發(fā)現(xiàn)的安全漏洞及其威脅,既有知識已經(jīng)給出應(yīng)對的方法,將其轉(zhuǎn)化為安全策略即可應(yīng)對.來自于多個方面如病毒、木馬、網(wǎng)絡(luò)攻擊、系統(tǒng)漏洞、應(yīng)用漏洞都是需要考慮的因素,這些因素歸結(jié)起來都是對漏洞的利用,如445,139端口被多個病毒和網(wǎng)絡(luò)攻擊利用[8],存在嚴(yán)重的安全威脅,需要禁止對445端口的訪問,我們就應(yīng)該制定如下的安全策略.

    ACL1:access-list frame-type ipv4-tcp sip local dip any sport any dport 445 action deny;

    ACL2:access-list frame-type ipv4-tcp sip local dip any sport any dport 139 action deny.

    其中以local作為虛擬地址邏輯上表示接入設(shè)備的實(shí)際地址.

    對于既有的安全威脅,安全策略管理者在制定安全策略時還需要綜合考慮當(dāng)前主要活躍的威脅和本網(wǎng)設(shè)備漏洞修補(bǔ)情況,結(jié)合其他獨(dú)立安全系統(tǒng)的情況,決定采用哪些策略規(guī)則,可以更好地精簡和優(yōu)化安全策略.

    3) 制定并部署安全策略后,新的安全威脅仍然會不斷出現(xiàn),安全策略需要隨著安全威脅的變化而變化.

    4) 全局策略和局部的個性化策略應(yīng)統(tǒng)一考慮,以提高策略的執(zhí)行效率和簡化策略邏輯.如445端口是高危端口,經(jīng)常被多種網(wǎng)絡(luò)攻擊和病毒利用,為了保護(hù)全網(wǎng)接入設(shè)備安全應(yīng)將對其訪問控制作為全局策略,而不必在每個安全策略里重復(fù)出現(xiàn).全局策略不使用local邏輯地址,可以被邊界機(jī)直接執(zhí)行.全局策略示例如下.

    ACL1:access-list frame-type ipv4-tcp sip any dip any sport any dport 445 action deny.

    類似以上安全規(guī)則可以作為策略存入策略庫備用,諸如此類的安全規(guī)則可以有很多,根據(jù)安全狀況和業(yè)務(wù)場景可以組合出多種安全策略.

    ASN安全策略可以阻斷危險網(wǎng)絡(luò)地址和端口,保護(hù)網(wǎng)絡(luò)接入成員的安全,但是實(shí)際的業(yè)務(wù)應(yīng)用由于特定原因可能使用部分漏洞端口,或者由于其他原因無法修補(bǔ)某些端口的漏洞,限制漏洞端口的可訪問或被訪問范圍,雖然不能絕對消除漏洞風(fēng)險,但在安全上仍然具有很大的意義.作為應(yīng)用服務(wù)端,將訪問者限制在業(yè)務(wù)設(shè)定的范圍,拒絕設(shè)定范圍以外的非業(yè)務(wù)訪問,可以有效阻止來自內(nèi)網(wǎng)和外網(wǎng)的探測、漏洞利用和網(wǎng)絡(luò)攻擊.此場景下的訪問策略規(guī)則如下例.

    1) 服務(wù)端

    ACL1:access-list frame-type ipv4-tcp sip 192.168.1.0/24 dip local sport any dport 445 action permit;

    ACL 2:access-list frame-type ipv4-tcp sip any dip local sport any dport 445 action deny.

    以上規(guī)則組合成的安全策略在服務(wù)端以local虛擬地址作為被訪問目的地址的訪問控制,在服務(wù)端連接的邊界機(jī)上落地執(zhí)行,服務(wù)端一般是固定IP地址,此時local確定為固定IP:192.168.2.1,僅僅允許192.168.1.0/24網(wǎng)段的設(shè)備訪問445端口.

    2) 訪問端

    ACL 1:access-list frame-type ipv4-tcp sip local dip 192.168.2.1/32 sport any dport 445 action permit;

    ACL 2:access-list frame-type ipv4-tcp sip local dip any sport any dport 445 action deny.

    以上規(guī)則以local虛擬地址代表訪問端的源IP地址,發(fā)布給該應(yīng)用成員的PEG,在對應(yīng)CID訪問者接入認(rèn)證成功后,該策略即在對應(yīng)的邊界機(jī)上執(zhí)行,僅有訪問192.168.2.1:445的數(shù)據(jù)包得以轉(zhuǎn)發(fā)到達(dá)目的地址.

    管理控制服務(wù)器平臺提供了主動安全網(wǎng)絡(luò)架構(gòu)安全策略的制定功能.這里所稱的安全策略,是1個或1組安全威脅或管理要求的訪問控制規(guī)則.在安全策略制定階段,安全策略僅僅針對具體的安全威脅或管理要求,不指定具體的作用對象,策略文本中以local邏輯上代表接入設(shè)備的實(shí)際IP地址,編輯好的安全策略以不同的命名保存在安全策略庫中.每個安全策略針對不同的安全場景和管理要求,隨時可以被調(diào)出使用,安全策略制定如圖1所示:

    圖1 安全策略制定

    安全策略是通過交換機(jī)上的1組訪問控制規(guī)則,即通常所稱訪問控制列表(ACL)實(shí)現(xiàn)的[9].訪問控制列表的一般使用方式是:由網(wǎng)絡(luò)工程師通過命令行或交換機(jī)Web界面進(jìn)行配置,其結(jié)果格式形如下.

    ACL3:access-list frame-type ipv4-tcp sip 192.168.82.46/32 dip 192.168.82.48/32 sport 300 dport 500 action deny.

    其中的源和目的IP地址都固定了,每條ACL作用于所設(shè)定IP地址或地址范圍,其有效性要求訪問的雙方必須使用確定范圍的IP地址,而一旦使用指定范圍外的IP地址,該訪問控制規(guī)則就不起作用了,這是靜態(tài)ACL的主要缺陷.利用邊界機(jī)ACL功能實(shí)現(xiàn)動態(tài)有效的訪問控制,就需要在ACL中使用接入設(shè)備的當(dāng)前IP地址,因此如何獲取設(shè)備當(dāng)前的IP地址是問題的關(guān)鍵.

    利用接入層ACL實(shí)現(xiàn)動態(tài)的訪問控制就需要用接入設(shè)備的IP,邊界機(jī)提供了實(shí)時獲取接入設(shè)備IP地址的能力,并即時上報策略集中管控平臺,安全策略的local得以及時轉(zhuǎn)換為實(shí)際IP地址.

    3.2 安全策略的發(fā)布

    ASN針對邊界接入設(shè)備的安全策略是邏輯的,安全策略本身并未包含策略的執(zhí)行對象,以此保證策略的靈活性.但策略的執(zhí)行必須使具體的策略與對象相對應(yīng),這個過程是在ASN的策略發(fā)布過程完成的.

    ASN以唯一標(biāo)識CID保證接入設(shè)備唯一性,據(jù)此保證接入設(shè)備身份的唯一性,而不管接入設(shè)備使用什么IP地址,這是策略和接入設(shè)備關(guān)聯(lián)對應(yīng)的基礎(chǔ).

    安全策略發(fā)布功能如圖2所示,安全管理者根據(jù)安全和管理需要選定策略庫中某個安全策略作為即將發(fā)布的安全策略,從對象庫中選取合適的1組CID并向其發(fā)布選定的安全策略.發(fā)布的結(jié)果是安全策略被分發(fā)給每個CID對應(yīng)接入設(shè)備的PEG(policy enabling group)中,將即將執(zhí)行的策略賦值在接入設(shè)備上,被賦予安全策略的設(shè)備一旦接入網(wǎng)絡(luò),其對應(yīng)PEG中的安全策略將被執(zhí)行.

    圖2 安全策略發(fā)布執(zhí)行

    管理控制服務(wù)器與第三方平臺進(jìn)行安全策略的交互,實(shí)現(xiàn)安全策略發(fā)布、接收、優(yōu)化、執(zhí)行、撤銷的全生命周期管理.管理控制服務(wù)器收到第三方平臺發(fā)布的安全策略后,與本地制定的安全策略進(jìn)行優(yōu)化精簡后發(fā)布,并將策略的接收、優(yōu)化、發(fā)布、執(zhí)行等信息發(fā)送給第三方平臺;收到第三方平臺的策略撤銷信息時,進(jìn)行策略撤銷.

    管理控制服務(wù)器將企業(yè)的靜態(tài)安全策略、動態(tài)安全策略統(tǒng)一管理,集成企業(yè)所有安全防護(hù)能力智慧,實(shí)現(xiàn)企業(yè)安全策略的落地生效、終端網(wǎng)絡(luò)訪問行為的全面精細(xì)控制.

    3.3 安全策略的執(zhí)行

    ASN安全策略的執(zhí)行是和接入認(rèn)證和準(zhǔn)入連貫完成的,如圖2所示,當(dāng)設(shè)備通過邊界機(jī)完成身份認(rèn)證后,系統(tǒng)即獲得了接入設(shè)備對應(yīng)的CID,同時邊界機(jī)從認(rèn)證過程中解析出接入設(shè)備當(dāng)前IP地址,并即時上報給策略服務(wù)器,策略執(zhí)行模塊根據(jù)CID找到對應(yīng)的PEG,從中取出安全策略,并用獲得的IP地址替換安全策略中的邏輯地址符號“l(fā)ocal”,形成可以在邊界機(jī)上執(zhí)行的真實(shí)訪問控制列表ACL,之后安全策略執(zhí)行模塊通過BIP(business interaction protocal)協(xié)議將ACL發(fā)送給接入設(shè)備所在的邊界機(jī),邊界機(jī)將收到的ACL文本追加進(jìn)自己的訪問控制列表中,并立即執(zhí)行.

    策略服務(wù)器上保留有全部邊界機(jī)上正在執(zhí)行策略的副本緩存.邊界機(jī)上接入設(shè)備的在線狀態(tài)由AAP(access authentication protocal)協(xié)議實(shí)時偵測,一旦發(fā)現(xiàn)并確認(rèn)某個接入設(shè)備離線,即將該離線設(shè)備對應(yīng)離線信息和對應(yīng)的IP地址信息報告策略服務(wù)器,安全策略發(fā)布模塊即通過BIP協(xié)議給邊界機(jī)下發(fā)指令,從其訪問控制列表中刪除對應(yīng)的安全規(guī)則內(nèi)容.

    3.4 集成系統(tǒng)的策略協(xié)同

    以ASN為平臺可以集成眾多獨(dú)立的信息安全應(yīng)用,包括防病毒、補(bǔ)丁分發(fā)、漏洞掃描、流量分析等,我們統(tǒng)一將其稱為集成應(yīng)用,ASN與集成應(yīng)用協(xié)同聯(lián)動,可以倍增集成應(yīng)用的價值,成為集成應(yīng)用的執(zhí)行機(jī)構(gòu),共同發(fā)揮出綜合效應(yīng).

    如與ASN集成的漏洞掃描系統(tǒng),通過掃描發(fā)現(xiàn)網(wǎng)中某個IP下的設(shè)備存在某個高風(fēng)險漏洞,漏洞對應(yīng)端口號:4488,即可生成禁用該IP:PORT的安全策略,并通過OIP(open integration protocol )協(xié)議發(fā)送給ASN,ASN通過自身定位機(jī)制可以快速定位該IP所在邊界機(jī),并通過安全策略執(zhí)行模塊向?qū)?yīng)邊界機(jī)追加該條安全策略,并在邊界機(jī)上立即生效.如此網(wǎng)上任何利用該漏洞的數(shù)據(jù)包都會被邊界機(jī)丟棄,這個安全漏洞就在數(shù)秒時間內(nèi)被ASN保護(hù)起來.在此網(wǎng)絡(luò)中一切試圖訪問和利用該漏洞危害此設(shè)備的可能性都不存在了,此設(shè)備如同穿上了失傳已久的金鐘罩.

    ASN的安全策略是網(wǎng)絡(luò)安全的根本,有什么樣的安全策略就有什么樣的安全水平.安全策略可以是多種多樣的,通過ACL的靈活配置,既可實(shí)現(xiàn)源目地址、源目端口等的限制特定對象的訪問或被訪問,也可實(shí)現(xiàn)全局的拒絕訪問.策略中ACL的靈活配置可實(shí)現(xiàn)各種安全訪問需求.

    安全策略和實(shí)際應(yīng)用場景的結(jié)合是需要特別注意的問題,在安全和業(yè)務(wù)之間求得平衡的安全策略才是容易實(shí)施的.如445端口是在很多業(yè)務(wù)系統(tǒng)中使用的,也是很多網(wǎng)絡(luò)攻擊和病毒木馬利用的端口,從安全的角度來看,全部禁用即可保證不受此類攻擊,但會影響相關(guān)業(yè)務(wù),因此不能簡單全面停用該端口,這種情況下應(yīng)該考慮該端口的使用范圍,將其限制在業(yè)務(wù)應(yīng)用的最小范圍,即可防范來自業(yè)務(wù)系統(tǒng)之外的遠(yuǎn)程攻擊,此時的安全策略可以把業(yè)務(wù)系統(tǒng)的設(shè)備范圍寫進(jìn)安全策略中,形成限制范圍的適度策略,并賦予業(yè)務(wù)相關(guān)的設(shè)備對象.

    ACL1:access-list frame-type ipv4-tcp sip any dip local sport any dport 445 action permit;

    ACL2:access-list frame-type ipv4-tcp sip any dip local sport any dport 445 action deny.

    主動網(wǎng)絡(luò)安全架構(gòu)通過策略管理控制平臺和邊界機(jī)協(xié)調(diào)工作實(shí)現(xiàn)內(nèi)網(wǎng)邊界安全防護(hù)的目標(biāo),完成安全策略的制定、發(fā)布和執(zhí)行.企業(yè)根據(jù)網(wǎng)絡(luò)安全防護(hù)的整體戰(zhàn)略戰(zhàn)術(shù)需要,制定體系化的安全策略,通過管理控制服務(wù)器的策略模塊創(chuàng)建和發(fā)布安全策略.

    安全策略的目的是控制終端的網(wǎng)絡(luò)訪問行為.策略的發(fā)布根據(jù)邊界認(rèn)證機(jī)上終端的上線和移動情況實(shí)時下發(fā)執(zhí)行.邊界認(rèn)證機(jī)上的終端上線后,管理控制服務(wù)器將該邊界認(rèn)證機(jī)上所有終端的安全策略優(yōu)化精簡后下發(fā)至邊界認(rèn)證機(jī)執(zhí)行控制,也可以通過邊界認(rèn)證機(jī)下發(fā)至某一個終端的認(rèn)證客戶端執(zhí)行控制;終端移動到其他邊界認(rèn)證機(jī)接入后,安全策略也會將該終端安全策略下發(fā)至終端移動接入的邊界認(rèn)證機(jī)執(zhí)行控制,實(shí)現(xiàn)終端走到哪里其策略就部署到哪里的移動管控.

    邊界認(rèn)證機(jī)和認(rèn)證客戶端執(zhí)行安全策略管控,實(shí)現(xiàn)了在最貼近終端的部位進(jìn)行終端訪問行為精準(zhǔn)管控,減少終端惡意訪問、違規(guī)訪問、異常行為、攻擊行為的擴(kuò)散和影響范圍,將危害控制至最小范圍.

    4 主動安全策略獲得的安全價值

    4.1 安全防護(hù)統(tǒng)一指揮

    企業(yè)網(wǎng)絡(luò)安全策略(包括全局、局部、靜態(tài)、動態(tài)等)在主動安全網(wǎng)絡(luò)架構(gòu)的管理控制服務(wù)器上統(tǒng)一制定發(fā)布,可實(shí)現(xiàn)企業(yè)網(wǎng)絡(luò)安全防護(hù)的統(tǒng)一指揮,改變以往網(wǎng)絡(luò)安全四處救火而火情不減的不良防護(hù)模式,讓網(wǎng)絡(luò)安全運(yùn)營人員將精力集中到網(wǎng)絡(luò)安全防護(hù)最核心、最緊要、最關(guān)鍵、最有效的安全策略研究、制定和發(fā)布執(zhí)行中來.

    體系化安全策略從戰(zhàn)略、戰(zhàn)術(shù)、整體、局部、靜態(tài)、動態(tài)等各方面進(jìn)行周密考量,并與企業(yè)的網(wǎng)絡(luò)安全防護(hù)實(shí)際需求相符合,通過統(tǒng)一管理中心——管理控制服務(wù)器——集中制定、發(fā)布和執(zhí)行,并隨著實(shí)際執(zhí)行情況進(jìn)行靈活的調(diào)整和動態(tài)適應(yīng),保證了企業(yè)網(wǎng)絡(luò)安全運(yùn)營人員安全防護(hù)工作的主導(dǎo)性、組織性、主動性和高效性.

    企業(yè)網(wǎng)絡(luò)安全防護(hù)以主動安全網(wǎng)絡(luò)架構(gòu)的中央管控核心——管理控制服務(wù)器——為作戰(zhàn)室,直接操縱精細(xì)化安全策略,可達(dá)到運(yùn)籌帷幄,決勝全局的效果.

    4.2 安全能力協(xié)同釋放

    企業(yè)已有的安全應(yīng)用/系統(tǒng)/設(shè)備,作為多個煙囪式的防護(hù)措施對企業(yè)安全的多個方面獨(dú)立、離散防護(hù),整體安全防護(hù)達(dá)不到1+1>2的效果.企業(yè)安全防護(hù)沒有統(tǒng)一策略指揮指導(dǎo),堆砌N個煙囪式防護(hù)能力的整體效果實(shí)際折扣會更大,不菲的安全投入換來了實(shí)際折扣較大的、不理想的安全防護(hù)效果,與企業(yè)網(wǎng)絡(luò)安全管理和運(yùn)營人員的期望相去甚遠(yuǎn).

    主動網(wǎng)絡(luò)安全架構(gòu)通過管理控制服務(wù)器的安全策略功能,給網(wǎng)絡(luò)安全防護(hù)帶來新的思路,注入新活力.管理控制服務(wù)器通過安全策略集成融合了企業(yè)所有安全應(yīng)用的安全防護(hù)能力和智慧,盤活所有的安全應(yīng)用,激發(fā)所有安全應(yīng)用價值的體現(xiàn)與釋放,使得企業(yè)以往的安全投入再次綻放能量、釋放價值、拓展回報.

    4.3 安全防護(hù)成效提升

    以往網(wǎng)絡(luò)安全策略的部署,需要網(wǎng)絡(luò)安全運(yùn)營人員分別登錄各種安全設(shè)備,進(jìn)行策略的配置和執(zhí)行.例如勒索病毒的應(yīng)急防護(hù),需要網(wǎng)絡(luò)安全人員分別登錄網(wǎng)絡(luò)接入交換機(jī),進(jìn)行安全策略配置(利用ACL封鎖445端口通信),對于網(wǎng)絡(luò)規(guī)模相當(dāng)大的企業(yè),安全策略人工逐臺配置工作量大、耗時長、出錯率高,人工配置的速度遠(yuǎn)慢于病毒快速蔓延的速度,導(dǎo)致應(yīng)急響應(yīng)工作的效率效果欠佳.

    主動網(wǎng)絡(luò)安全架構(gòu)將網(wǎng)絡(luò)終端和終端接入的邊界認(rèn)證機(jī)集中管理,安全策略也統(tǒng)一管理,通過管理控制服務(wù)器集成所有安全應(yīng)用、安全專家的智慧,統(tǒng)一制定防御策略,一鍵式快速自動化下達(dá)至所有邊界認(rèn)證機(jī)執(zhí)行安全策略,從全網(wǎng)最貼近中毒終端的所有部位進(jìn)行病毒蔓延的全面快速封堵,在極短的時間內(nèi)將病毒的威脅整體控制住,安全防護(hù)工作敏捷高效,直指要害,精準(zhǔn)防御,事半功倍.

    主動網(wǎng)絡(luò)安全架構(gòu)保障了安全防護(hù)工作有統(tǒng)一抓手,有高能引擎,安全防護(hù)安全策略的制定、下發(fā)、撤銷都可高效完成,極大提高了網(wǎng)絡(luò)安全防護(hù)工作的成效.

    5 總 結(jié)

    主動安全網(wǎng)絡(luò)架構(gòu)安全策略的統(tǒng)一管理、智能集成、快速發(fā)布、高效執(zhí)行,打造了企業(yè)的安全管控核心和安全防護(hù)統(tǒng)一指揮中心,集成了企業(yè)多維安全防護(hù)能力,形成了綜合的企業(yè)網(wǎng)絡(luò)安全協(xié)同防御體系,保證了網(wǎng)絡(luò)安全運(yùn)營人員的防護(hù)工作的主導(dǎo)性、統(tǒng)一性和高效性,最大程度釋放企業(yè)安全投資價值.

    猜你喜歡
    安全策略訪問控制IP地址
    基于認(rèn)知負(fù)荷理論的叉車安全策略分析
    基于飛行疲勞角度探究民航飛行員飛行安全策略
    鐵路遠(yuǎn)動系統(tǒng)幾種組網(wǎng)方式IP地址的申請和設(shè)置
    淺析涉密信息系統(tǒng)安全策略
    基于SNMP的IP地址管理系統(tǒng)開發(fā)與應(yīng)用
    黑龍江電力(2017年1期)2017-05-17 04:25:16
    ONVIF的全新主張:一致性及最訪問控制的Profile A
    動態(tài)自適應(yīng)訪問控制模型
    淺析云計算環(huán)境下等級保護(hù)訪問控制測評技術(shù)
    大數(shù)據(jù)平臺訪問控制方法的設(shè)計與實(shí)現(xiàn)
    如何加強(qiáng)農(nóng)村食鹽消費(fèi)安全策略
    超碰av人人做人人爽久久| 此物有八面人人有两片| 国内精品宾馆在线| 国产成人福利小说| 一进一出抽搐gif免费好疼| 我的老师免费观看完整版| 亚洲自拍偷在线| 琪琪午夜伦伦电影理论片6080| 成人午夜高清在线视频| 亚洲最大成人手机在线| 校园人妻丝袜中文字幕| 国产精品电影一区二区三区| 午夜影院日韩av| 乱码一卡2卡4卡精品| 午夜视频国产福利| 亚洲在线自拍视频| 天堂√8在线中文| 亚洲av五月六月丁香网| 欧美高清性xxxxhd video| 性欧美人与动物交配| 三级毛片av免费| 男人舔奶头视频| 日日摸夜夜添夜夜添av毛片 | 国产亚洲精品av在线| av.在线天堂| 三级国产精品欧美在线观看| 美女cb高潮喷水在线观看| 国产爱豆传媒在线观看| 亚洲精华国产精华液的使用体验 | 国内精品美女久久久久久| 午夜日韩欧美国产| 国产探花极品一区二区| 日韩一区二区视频免费看| 1024手机看黄色片| 一区福利在线观看| 精品久久久久久久人妻蜜臀av| 亚洲av成人精品一区久久| 成人精品一区二区免费| 99热这里只有是精品50| 日韩欧美三级三区| 亚洲av中文字字幕乱码综合| 美女高潮的动态| 亚洲av不卡在线观看| 国产综合懂色| 亚洲av成人精品一区久久| 日本色播在线视频| 色尼玛亚洲综合影院| 简卡轻食公司| 在线免费十八禁| 欧美日韩亚洲国产一区二区在线观看| 精品日产1卡2卡| 久久久久久伊人网av| 亚洲经典国产精华液单| 日日摸夜夜添夜夜添av毛片 | 免费无遮挡裸体视频| 国产极品精品免费视频能看的| 欧美高清性xxxxhd video| 嫩草影院新地址| 黄色女人牲交| 97人妻精品一区二区三区麻豆| a级毛片a级免费在线| 午夜福利视频1000在线观看| 三级毛片av免费| 欧美一区二区亚洲| 一a级毛片在线观看| 精品久久久久久,| 1000部很黄的大片| 国产伦精品一区二区三区视频9| 免费看美女性在线毛片视频| 国产精品久久视频播放| 人妻夜夜爽99麻豆av| 精品久久久噜噜| 亚洲成人久久爱视频| 欧美成人a在线观看| 国内毛片毛片毛片毛片毛片| 欧美中文日本在线观看视频| 午夜日韩欧美国产| 熟妇人妻久久中文字幕3abv| 乱码一卡2卡4卡精品| 亚洲欧美清纯卡通| 国内毛片毛片毛片毛片毛片| 乱人视频在线观看| 国产精品一及| 一级a爱片免费观看的视频| 不卡一级毛片| 99视频精品全部免费 在线| 精品人妻视频免费看| 日本 av在线| av天堂中文字幕网| 久久精品国产鲁丝片午夜精品 | 精品午夜福利视频在线观看一区| 99riav亚洲国产免费| 国产69精品久久久久777片| 午夜久久久久精精品| 国产探花在线观看一区二区| 男人的好看免费观看在线视频| 亚洲18禁久久av| 日韩欧美精品v在线| 日韩中文字幕欧美一区二区| 成人av一区二区三区在线看| 我的女老师完整版在线观看| 亚洲精品国产成人久久av| 97碰自拍视频| 精品久久久噜噜| 国产视频内射| 性欧美人与动物交配| 在线播放无遮挡| 熟女电影av网| 精品久久久久久成人av| 国产亚洲av嫩草精品影院| 亚洲av熟女| 91在线精品国自产拍蜜月| 97热精品久久久久久| 男人狂女人下面高潮的视频| 国内精品久久久久久久电影| 日韩强制内射视频| 午夜影院日韩av| 久久久午夜欧美精品| 久久久久久伊人网av| 欧美激情在线99| 日本欧美国产在线视频| 一夜夜www| 亚洲自偷自拍三级| 97超视频在线观看视频| 亚洲成人中文字幕在线播放| 久久久久久国产a免费观看| 性色avwww在线观看| 别揉我奶头~嗯~啊~动态视频| 99九九线精品视频在线观看视频| 久久这里只有精品中国| 免费看a级黄色片| 午夜a级毛片| 黄色视频,在线免费观看| 男插女下体视频免费在线播放| a级毛片免费高清观看在线播放| 久久国产乱子免费精品| 999久久久精品免费观看国产| 人妻丰满熟妇av一区二区三区| 午夜视频国产福利| 日韩精品青青久久久久久| 美女xxoo啪啪120秒动态图| 精品日产1卡2卡| 99视频精品全部免费 在线| 97超视频在线观看视频| 在线观看午夜福利视频| 好男人在线观看高清免费视频| 亚洲精品色激情综合| 少妇人妻一区二区三区视频| 91午夜精品亚洲一区二区三区 | 18禁裸乳无遮挡免费网站照片| 国内精品久久久久久久电影| 中文字幕精品亚洲无线码一区| 在线观看午夜福利视频| av在线天堂中文字幕| 亚洲性夜色夜夜综合| 日日干狠狠操夜夜爽| 狂野欧美白嫩少妇大欣赏| 天堂影院成人在线观看| 精品久久久久久久末码| 中文字幕熟女人妻在线| a级毛片a级免费在线| 综合色av麻豆| 两个人视频免费观看高清| 亚洲国产色片| 久久久国产成人免费| 天美传媒精品一区二区| 久久久久久久午夜电影| 亚洲国产欧洲综合997久久,| 狂野欧美激情性xxxx在线观看| 日韩 亚洲 欧美在线| 日本撒尿小便嘘嘘汇集6| 嫩草影院入口| 校园人妻丝袜中文字幕| 亚洲专区国产一区二区| 久久精品国产亚洲av涩爱 | 一进一出好大好爽视频| 色噜噜av男人的天堂激情| 亚洲精品日韩av片在线观看| 亚洲中文字幕日韩| 在线天堂最新版资源| 两个人的视频大全免费| 国产主播在线观看一区二区| 国产精品久久视频播放| 精品久久久久久成人av| 日韩欧美在线乱码| 国产亚洲精品综合一区在线观看| 午夜日韩欧美国产| 少妇高潮的动态图| 国产一区二区三区视频了| 欧美+亚洲+日韩+国产| 亚洲熟妇中文字幕五十中出| 日韩高清综合在线| 日韩 亚洲 欧美在线| 一个人观看的视频www高清免费观看| 欧美成人性av电影在线观看| 偷拍熟女少妇极品色| 夜夜爽天天搞| 很黄的视频免费| 国产精品乱码一区二三区的特点| 人人妻人人澡欧美一区二区| 男女啪啪激烈高潮av片| av.在线天堂| 动漫黄色视频在线观看| 国产av在哪里看| 久久亚洲精品不卡| 国产亚洲av嫩草精品影院| 一本精品99久久精品77| 成人一区二区视频在线观看| 久久久久久久亚洲中文字幕| 日韩欧美在线二视频| 成人欧美大片| 在线观看66精品国产| 久久这里只有精品中国| 久久久久久久精品吃奶| 国产美女午夜福利| 亚洲最大成人手机在线| 成人无遮挡网站| 最近在线观看免费完整版| 男人和女人高潮做爰伦理| 欧美另类亚洲清纯唯美| 国产亚洲精品综合一区在线观看| 国产乱人伦免费视频| 国产视频一区二区在线看| 亚洲无线观看免费| 日韩中文字幕欧美一区二区| 国产男靠女视频免费网站| 国产精品,欧美在线| 18禁裸乳无遮挡免费网站照片| 在线免费十八禁| 欧美成人一区二区免费高清观看| 啪啪无遮挡十八禁网站| 日本撒尿小便嘘嘘汇集6| 亚洲天堂国产精品一区在线| 亚洲人成网站在线播放欧美日韩| 男女做爰动态图高潮gif福利片| 亚洲国产精品成人综合色| 亚洲黑人精品在线| 99久久精品国产国产毛片| 国产视频内射| 日本一本二区三区精品| 亚洲专区国产一区二区| 麻豆国产97在线/欧美| 久久久国产成人精品二区| 国产毛片a区久久久久| 婷婷色综合大香蕉| 一进一出好大好爽视频| 亚洲无线在线观看| 天美传媒精品一区二区| 久久久国产成人免费| 精品久久久久久成人av| 婷婷精品国产亚洲av| 亚洲狠狠婷婷综合久久图片| 国内精品久久久久精免费| 少妇丰满av| 日韩 亚洲 欧美在线| 麻豆成人av在线观看| 美女黄网站色视频| 国产成人影院久久av| 夜夜爽天天搞| 一边摸一边抽搐一进一小说| 别揉我奶头~嗯~啊~动态视频| 午夜精品一区二区三区免费看| 欧美绝顶高潮抽搐喷水| 亚洲欧美日韩无卡精品| 简卡轻食公司| 日本黄色视频三级网站网址| 亚洲黑人精品在线| 欧美激情国产日韩精品一区| a级毛片免费高清观看在线播放| 无人区码免费观看不卡| 国产精品一区二区免费欧美| 国产欧美日韩精品一区二区| 一个人看视频在线观看www免费| 国产毛片a区久久久久| 一区二区三区高清视频在线| 日韩人妻高清精品专区| 国产精品三级大全| 性欧美人与动物交配| 亚洲国产日韩欧美精品在线观看| 免费人成在线观看视频色| 国产伦在线观看视频一区| 看十八女毛片水多多多| 久久久午夜欧美精品| 丰满的人妻完整版| 成人性生交大片免费视频hd| 国产伦精品一区二区三区四那| 12—13女人毛片做爰片一| 亚洲一区二区三区色噜噜| 少妇人妻一区二区三区视频| 美女高潮喷水抽搐中文字幕| 一个人观看的视频www高清免费观看| 狂野欧美白嫩少妇大欣赏| 国产综合懂色| 五月伊人婷婷丁香| 51国产日韩欧美| 日本熟妇午夜| 日韩精品有码人妻一区| 欧美zozozo另类| 久久久久性生活片| 久久国产精品人妻蜜桃| 久久久久国产精品人妻aⅴ院| 麻豆久久精品国产亚洲av| 国产高清视频在线观看网站| 日韩 亚洲 欧美在线| 日日摸夜夜添夜夜添小说| 嫩草影视91久久| 亚洲最大成人手机在线| 亚洲成人免费电影在线观看| www.www免费av| 国产白丝娇喘喷水9色精品| 欧美日韩乱码在线| 少妇的逼水好多| 精品人妻视频免费看| 超碰av人人做人人爽久久| 成年人黄色毛片网站| 亚洲一区高清亚洲精品| 成人美女网站在线观看视频| 国产精品1区2区在线观看.| 午夜a级毛片| 国产黄色小视频在线观看| 亚洲久久久久久中文字幕| 国产精品福利在线免费观看| 国产中年淑女户外野战色| 91久久精品电影网| 亚洲av免费高清在线观看| 国产视频一区二区在线看| 亚洲性夜色夜夜综合| 91精品国产九色| av黄色大香蕉| 亚洲午夜理论影院| 一区二区三区激情视频| 亚洲av美国av| 国产亚洲av嫩草精品影院| 亚洲在线自拍视频| eeuss影院久久| 好男人在线观看高清免费视频| 午夜精品一区二区三区免费看| 搡老熟女国产l中国老女人| 黄色日韩在线| 日本-黄色视频高清免费观看| 男人舔女人下体高潮全视频| 亚洲av一区综合| 校园春色视频在线观看| 一个人看的www免费观看视频| 色在线成人网| 久久精品夜夜夜夜夜久久蜜豆| 床上黄色一级片| 亚洲精品久久国产高清桃花| 蜜桃久久精品国产亚洲av| 中文亚洲av片在线观看爽| 天天躁日日操中文字幕| 黄色日韩在线| 性色avwww在线观看| .国产精品久久| 一个人免费在线观看电影| 国产精品一区二区免费欧美| 亚洲欧美日韩东京热| 国产精品久久久久久亚洲av鲁大| 国产精品日韩av在线免费观看| 久久国内精品自在自线图片| 99热这里只有精品一区| 婷婷亚洲欧美| 黄色视频,在线免费观看| 日本三级黄在线观看| 女同久久另类99精品国产91| 在线观看一区二区三区| 天美传媒精品一区二区| 国产美女午夜福利| 国产精品野战在线观看| av在线蜜桃| 两个人视频免费观看高清| 国产探花极品一区二区| 亚洲熟妇熟女久久| 成人亚洲精品av一区二区| 亚洲性久久影院| 国产男靠女视频免费网站| 噜噜噜噜噜久久久久久91| 人妻少妇偷人精品九色| 国产高清三级在线| 日日啪夜夜撸| 韩国av在线不卡| 亚洲精品一区av在线观看| 桃色一区二区三区在线观看| av国产免费在线观看| 99热6这里只有精品| av福利片在线观看| 97超视频在线观看视频| 亚洲av第一区精品v没综合| 国产单亲对白刺激| 国产精品乱码一区二三区的特点| 久久久久久伊人网av| 99在线视频只有这里精品首页| 日日摸夜夜添夜夜添小说| 婷婷六月久久综合丁香| 成人亚洲精品av一区二区| 欧美+亚洲+日韩+国产| 免费人成视频x8x8入口观看| 欧美3d第一页| 国产精品乱码一区二三区的特点| 男人舔奶头视频| 国内毛片毛片毛片毛片毛片| 精品无人区乱码1区二区| 欧美+日韩+精品| 色综合亚洲欧美另类图片| 亚洲最大成人手机在线| 黄色配什么色好看| 亚洲综合色惰| av视频在线观看入口| 国产av一区在线观看免费| 亚洲成人免费电影在线观看| 九色成人免费人妻av| 色视频www国产| 亚洲精品一卡2卡三卡4卡5卡| 久久午夜福利片| 欧美精品啪啪一区二区三区| 国产精品三级大全| 一级黄片播放器| 91狼人影院| 91av网一区二区| 亚洲aⅴ乱码一区二区在线播放| 精品人妻一区二区三区麻豆 | 校园春色视频在线观看| 熟女电影av网| 十八禁网站免费在线| 亚洲国产色片| 伦精品一区二区三区| 精华霜和精华液先用哪个| 亚洲最大成人手机在线| 日本在线视频免费播放| 国产老妇女一区| 久久午夜亚洲精品久久| 搞女人的毛片| 国产一区二区三区在线臀色熟女| 欧美国产日韩亚洲一区| 黄色日韩在线| 九色成人免费人妻av| 校园春色视频在线观看| ponron亚洲| 欧美黑人巨大hd| 真人做人爱边吃奶动态| 无遮挡黄片免费观看| 高清毛片免费观看视频网站| 欧美日本视频| 国产精品久久久久久精品电影| 午夜激情福利司机影院| 日韩中文字幕欧美一区二区| 国产精品久久久久久av不卡| 亚洲电影在线观看av| 午夜福利视频1000在线观看| 国产精品1区2区在线观看.| 我要看日韩黄色一级片| 真实男女啪啪啪动态图| 国产高清三级在线| 在线免费观看的www视频| 亚洲av不卡在线观看| 男女啪啪激烈高潮av片| 午夜福利在线观看吧| 国产亚洲精品av在线| 免费不卡的大黄色大毛片视频在线观看 | 黄色视频,在线免费观看| 国产在线精品亚洲第一网站| 国产三级在线视频| 一边摸一边抽搐一进一小说| 中文字幕av在线有码专区| 免费av毛片视频| 成人性生交大片免费视频hd| 欧美日韩综合久久久久久 | 日韩欧美精品免费久久| 网址你懂的国产日韩在线| 欧美在线一区亚洲| 国产精品亚洲美女久久久| 精品久久国产蜜桃| 成熟少妇高潮喷水视频| 国产乱人视频| 国产亚洲精品久久久com| 亚洲va日本ⅴa欧美va伊人久久| 国产欧美日韩精品亚洲av| 直男gayav资源| 欧美又色又爽又黄视频| 亚洲国产色片| 精品一区二区三区人妻视频| x7x7x7水蜜桃| 中文字幕av成人在线电影| 久久久色成人| 亚洲经典国产精华液单| 我要搜黄色片| 赤兔流量卡办理| 黄色女人牲交| 久久精品国产亚洲网站| 一进一出抽搐gif免费好疼| 一本久久中文字幕| 欧美不卡视频在线免费观看| 我要搜黄色片| 国产精品1区2区在线观看.| 两个人视频免费观看高清| 国产伦在线观看视频一区| 哪里可以看免费的av片| 中文字幕免费在线视频6| 99久久久亚洲精品蜜臀av| а√天堂www在线а√下载| 看黄色毛片网站| 免费av毛片视频| 亚洲人成网站在线播| 一级a爱片免费观看的视频| 亚洲天堂国产精品一区在线| 国产一区二区三区在线臀色熟女| 国产在线男女| 欧美一区二区国产精品久久精品| 国内精品久久久久精免费| 搡女人真爽免费视频火全软件 | 日韩中字成人| 国产日本99.免费观看| 1000部很黄的大片| 亚洲av免费高清在线观看| 国产视频一区二区在线看| 18禁黄网站禁片午夜丰满| 男人舔女人下体高潮全视频| 日日夜夜操网爽| av视频在线观看入口| av在线蜜桃| 99久国产av精品| 国产精品免费一区二区三区在线| 大又大粗又爽又黄少妇毛片口| 国产精品国产三级国产av玫瑰| 最近最新中文字幕大全电影3| 九九久久精品国产亚洲av麻豆| 夜夜夜夜夜久久久久| 日本-黄色视频高清免费观看| 一边摸一边抽搐一进一小说| 少妇熟女aⅴ在线视频| 欧美一区二区亚洲| 韩国av一区二区三区四区| 舔av片在线| 少妇的逼水好多| 深夜精品福利| av在线老鸭窝| 欧美日韩乱码在线| 色哟哟哟哟哟哟| 老司机福利观看| 麻豆国产97在线/欧美| 老熟妇乱子伦视频在线观看| 国产麻豆成人av免费视频| 草草在线视频免费看| 看黄色毛片网站| 一边摸一边抽搐一进一小说| 亚洲中文字幕一区二区三区有码在线看| 美女cb高潮喷水在线观看| 在线观看免费视频日本深夜| 日韩av在线大香蕉| 欧美+日韩+精品| 听说在线观看完整版免费高清| 亚洲国产日韩欧美精品在线观看| 日韩强制内射视频| 国产在线男女| 国产精品日韩av在线免费观看| a级一级毛片免费在线观看| 国产一区二区激情短视频| 中文字幕av在线有码专区| 一个人观看的视频www高清免费观看| 中文字幕av成人在线电影| 直男gayav资源| 十八禁网站免费在线| 窝窝影院91人妻| 国产成人福利小说| 成人综合一区亚洲| 亚洲一级一片aⅴ在线观看| 国产在视频线在精品| 美女黄网站色视频| 国产大屁股一区二区在线视频| 久久久久久伊人网av| 国产成人a区在线观看| 免费高清视频大片| 成人精品一区二区免费| a级毛片免费高清观看在线播放| 婷婷亚洲欧美| 午夜激情福利司机影院| 少妇人妻一区二区三区视频| 欧美另类亚洲清纯唯美| 国产精品av视频在线免费观看| 亚洲美女搞黄在线观看 | 成人特级黄色片久久久久久久| 国产成人影院久久av| 成年女人看的毛片在线观看| 99精品久久久久人妻精品| 天堂网av新在线| 亚洲一级一片aⅴ在线观看| 免费在线观看日本一区| 男女视频在线观看网站免费| av中文乱码字幕在线| 精品久久久噜噜| av在线天堂中文字幕| 免费无遮挡裸体视频| 男人的好看免费观看在线视频| 久久香蕉精品热| 亚洲欧美日韩高清专用| 精品人妻偷拍中文字幕| 中文字幕精品亚洲无线码一区| 午夜免费成人在线视频| 亚洲成a人片在线一区二区| 国产 一区精品| 一卡2卡三卡四卡精品乱码亚洲| 婷婷六月久久综合丁香| 尤物成人国产欧美一区二区三区| 亚洲av美国av| a级一级毛片免费在线观看| 国内毛片毛片毛片毛片毛片| 白带黄色成豆腐渣| 国产精华一区二区三区| 又粗又爽又猛毛片免费看| 日韩欧美国产在线观看| 日日干狠狠操夜夜爽| 两个人的视频大全免费| 免费看日本二区| 美女黄网站色视频| 赤兔流量卡办理|