第十章安全

**網路安全

面對防病毒、防火牆、ids、ips、utm等明朗滿目安全解決方案讓使用者不知何選擇，也經常聽到很多管理員抱怨ids、ips、防火牆、流量管理等該上的安全裝置都上但是在安全上心裡還是沒有底。網路安全實際上是乙個木桶效應，應該盡快找到最短的短板，只要有一塊短板存在無論你再怎麼加高木桶都是一事無補。

那麼如何做好網路安全的防禦工作呢？我認為只有做到知己知彼才能完善網路安全。下面我就根據以往工程經驗提出一些構建乙個完善的網路全防護體系的建議，筆者的經驗畢竟有限希望各位同行都提建議。

一、挖掘已有網路資源

網路安全就是軟體一樣牽一發動全身，網路安全第一步是是整理出網路目前所有執行裝置的型號、硬體版本、軟體版本、補丁情況等。對現有的交換機、路由器、伺服器等裝置在現有的資源做好完全完善工作。

1.1 網路交換、路由裝置的基礎網路安全部署

* 對登入的安全認證管理檢查

* 啟用acl，針對已知的病毒（衝擊波、振盪波）等埠進行封堵÷

* vlan之間訪問控制（做好部門之間的訪問控制）

* 針對裝置的管理做好限制（比如只允許網管機器管理網路裝置）

* 檢查snmp安全漏洞（很多裝置預設支援snmp，會給網路帶來很多安全隱患）

* 系統日誌設定（很多裝置標準配置系統日誌很少，要進行調優）

* 系統時間是否一致（保持時間一致有助於問題排查，建議構建一台ntp server）

* 使用動態路由的需要檢查安全認證

* icmp限制（icmp只給網管機器開放）

* 對交換機、路由器開啟ddos防範攻擊

1.2 對伺服器的基礎安全部署

* 安裝作業系統補丁

* 對系統進行安全加固（伺服器很多預設配置是不安全）

* 對應用的系統的漏洞進行加固

* 關閉沒有的服務

* 防病毒軟體部署

* 如果可能安裝防火牆軟體

對於一些安全加固以及應用系統漏洞加固不知道如何做，那就要借助一些漏洞掃瞄裝置來協助。

二、對網路進行分區域管理

把網路進行分區域管理，對重點防護物件需要列入日常安全防護重點，這樣避免嚴重安全事故產生產生。網路可以分為以下幾個區域來對待：

* 內網區域

★ 財務部區域

★ 生產區域

★ 研發區域

* 伺服器區域

* dmz區域

* 外網區域

★ 網際網路區域

★ vpn撥入區域

★ 專線接入區域

* 邊界網路區域

* 使用者終端區域

對於一般的網路可為分為內網區域、外網區域、dmz區域、使用者終端區域，對於一些複雜的網路需要對網路區域進行細化。比如把內網區域分為財務區域、生產區域。一般是使用防火牆裝置進行分區域，由防火牆來控制各個區域的安全，因此如何區域划得越細需要的防火牆裝置。如果更高階一點就需要在各區域部署ips、流量檢測、病毒閘道器等安全裝置來過濾。

三、使用者終端安全

網路主幹安全保證是網路管理員乙個基本任務，接下來就要做好使用者接入的安全，網路安全的最終目標是要讓網路可控。對使用者端安全控制可以從以下幾個手段進行防護：

* 使用者接入的交換機埠做mac繫結，防止非法使用者接入，防止arp病毒

* 使用者接入防proxy，防止不可預知使用者進入網路

* 防止dhcp欺騙、攻擊（如果使用dhcp server）

* 如果有可能的化採用安全准入解決方案

★ 實現基於使用者身份的網路接入控制

★ 隔離「危險」使用者

★ 遮蔽不合法使用者進入網路（系統沒打，或安裝黑客軟體等等）

★ 基於使用者做好acl

四、做好主動防禦工作

以上幾個動作都是一些被動的網路安全基本完善工作，接下來我們就要針對特定的應用部署相應的安全裝置，比如針對郵件服務氣的防病病毒過濾和防垃圾郵件等等，同時在網路出口出處部署流量監控、流量分析裝置可以扼殺攻擊萌芽狀態。網路安全只是相對沒辦法做到絕對安全。因此針對重要的伺服器要做好加密工作，這樣即使資料被黑客擷取也看不懂。

五、建立科學的安全管理體系

電腦是死的人是活，想要網路安全裝置來構建乙個有效安全堡壘是不現實。做好網路安全防範工作最重要還是建立乙個科學的安全管理體系，做好安全巡檢工作，做到每個裝置、每個應用都有專人負責。

來自為知筆記(wiz)

第十章安全

第十章函式

第十章屬性

第十章屬性

第十章 安全

第十章 函式

第十章 屬性

第十章 屬性

相關推薦

第十章安全

第十章函式

第十章屬性

第十章屬性