擴充套件型企業的概念給it安全組合帶來越來越嚴峻的問題,因為它們的敏感資料和有價值的資料經常會流出傳統網路邊界。為了保護企業不受多元化和低端低速可適應性的持久威脅,it企業正在部署各種各樣的新型網路安全裝置:下一代防火牆、ids與ips裝置、安全資訊事件管理(siem)系統和高階威脅檢測系統。理想情況下,這些系統將集中管理,遵循乙個集中安全策略,隸屬於乙個普遍保護戰略。
不要迷信安全裝置
乙個最大的錯誤是假定安全裝置本身www.cppcns.com是安全的。表面上這似乎很容易理解,但是一定要堅持這個立足點。所謂的"增強"作業系統到底有多安全?它的最新狀態是怎樣的?它執行的"超穩定"web伺服器又有多安全?
在開始任何工作之前,一定要建立乙個測試計畫,驗證所有網路安全裝置都是真正安全的。首先是從一些基礎測試開始:您是否有在各個裝置及其支援的網路、伺服器和儲存基礎架構上按時公升級、安裝補丁和修復bug?在根據一些記錄當前已知漏洞資訊的資料交換中心(如全國漏洞資料庫)的資料進行檢查,一定要定期公升級和安裝裝置補丁。
然後,再轉到一些更難處理的方面:定期評估多個裝置配置的潛在弱點。加密系統和應用交付優化(ado)裝置的部署順序不當也會造成資料洩露,即使各個裝置本身能夠正常工作。這個過程可以與定期執行的滲透測試一起進行。
評估網路安全裝置的使用方式
對於任意安全裝置而言,管理/控制通道最容易出現漏洞。所以,一定要注意程式設計客棧您將要如何配置和修改安全裝置--以及允許誰執行這些配置。如果您準備通過we瀏覽器訪問乙個安全系統,那麼安全裝置將執行乙個web伺服器,並且允許web流量進出。這些流量是否有加密?它是否使用乙個標準埠?所有裝置是否都使用同乙個埠(因此入侵者可以輕鬆猜測到)?它是通過乙個普通網路連線(編內)還是獨立管理網路連線(編外)進行訪問?如果屬於編內連線,那麼任何通過這個介面傳送流量的主機都可能攻擊這個裝置。如果它在乙個管理網路上,那麼至少您只需要擔心網路上的其他裝置。(如果它配置為使用串列埠連線和kvm,則更加好。)最佳場景是這樣:如果不能直接訪問裝置,則保證所有配置變化都必須使用加密和多因子身份驗證。而且,要緊密跟蹤和控制裝置管理的身份資訊,保證只有授權使用者才能獲得管理許可權。
應用標準滲透測試工具
如果您採用了前程式設計客棧兩個步驟,那麼現在就有了很好的開始--但是工作還沒做完。黑客、攻擊和威脅載體仍然在不斷地增長和發展,而且您必須定期測試系統,除了修復漏洞,還要保證它們能夠抵擋已發現的攻擊。
那麼,攻擊與漏洞有什麼不同呢?攻擊是一種專門攻破漏洞的有意行為。系統漏洞造成了攻擊可能性,但是攻擊的存在則增加了它的危害性--漏洞暴露從理論變為現實。
滲透測試工具和服務可以檢查出網路安全裝置是否容易受到攻擊的破壞。一些開源程式設計客棧工具和框架已經出現了很長時間,其中包括network mapper(nmap)、nikto、開放漏洞評估系統(open vulnerability assessment system, openvas)和metasploit.當然 ,也有很多的商業工具,如mcafee(可以掃瞄軟體元件)和qualys的產品。
這些工具廣泛用於標識網路裝置處理網路流量的埠;記錄它對於標準測試資料報的響應;以及通過使用openvas和metasploit測試它面對一些常見攻擊的漏洞情況(更多出現在商業版本上)。
其他滲透測試工具則主要關注於web伺服器和應用,如owasp zed attack proxy(zap)和arachni.通過使用標準工具和技術,確定安全裝置的漏洞--例如,通過乙個web管理介面發起sql注入攻擊,您就可以更清晰地了解如何保護網路安全裝置本身。
在部署網路安全裝置時降低風險
沒有任何東西是完美的,因此沒有任何乙個系統是毫無漏洞的。在部署和配置新網路安全裝置時,如果沒有應用恰當的預防措施,就可能給環境帶來風險。採取正確的措施保護裝置,將保護基礎架構的其他部分,其中包括下面這些經常被忽視的常見防範措施:
修改預設密碼和帳號名。
禁用不必要的服務和帳號。
保證按照製造商的要求更新底層作業系統和系統軟體。
限制管理網路的管理介面訪問;如果無法做到這一點,則要在上游裝置(交換機和路由器)使用acl,限制發起管理會話的**。
由於攻擊也在進化,所以要定期檢查滲透測試。要保持openvas和metasploit等工具的更新,而且它們可以使用的攻擊庫也在穩步增長。
基線是什麼呢?制定乙個普遍保護策略只是開始。要保護現在漫無邊際增長的裝置和資料,您需要三樣東西:乙個普適保護策略、實現策略的工具與技術及保證這些工具與技術能夠實現最大保護效果的政策與流程。所有政策與流程既要考慮網路安全裝置本身(個體與整體)的漏洞,也要考慮專門針對這些漏洞且不斷發展變化的攻擊與威脅載體。
網路 網路安全裝置部署
網路安全設計通常包含下列因素 1.裝置安全特性,如管理員密碼和不同網路組建中的ssh 2.防火牆 3.遠端訪問vpn伺服器 4.入侵檢測 5.安全aaa伺服器和網路上相關的aaa服務 6.不同網路裝置上的訪問控制和訪問控制機制,比如acl和car 什麼是car committed access ra...
網路安全裝置選型
綜合廠商 思科華為 瞻博華三 銳捷中興 安全廠商 深信服天融信 綠盟科技 啟明星辰 山石網科 網神網康 網御星雲 流控廠商 f5radware array 聯通產品 路由器交換機 無線ac ap 安全產品 防火牆網閘 入侵檢測 入侵防禦 防病毒系統 漏洞掃瞄 防ddos 網頁防篡改 vpn閘道器 安...
網路安全裝置預設密碼
因為觸及敏感詞v p n,需要將 去掉。裝置 預設賬號 預設密碼 深信服產品 sangfor sangfor sangfor 2018 sangfor 2019 深信服科技 ad dlanrecover 深信服負載均衡 ad 3.6 admin admin 深信服wac wns v2.6 admin...