好看的小说完本推荐,如何发布网络小说,欢乐颂小说结局

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案

網(wǎng)絡(luò)安全知識之保護網(wǎng)絡(luò)基礎(chǔ)設(shè)施設(shè)備

網(wǎng)絡(luò)基礎(chǔ)設(shè)施設(shè)備是傳輸數(shù)據(jù)、應(yīng)用程序、服務(wù)和多媒體所需的通信的網(wǎng)絡(luò)組件。這些設(shè)備包括路由器、防火墻、交換機、服務(wù)器、負載平衡器、入侵檢測系統(tǒng)、域名系統(tǒng)和存儲區(qū)域網(wǎng)絡(luò)。

為蓮湖等地區(qū)用戶提供了全套網(wǎng)頁設(shè)計制作服務(wù)，及蓮湖網(wǎng)站建設(shè)行業(yè)解決方案。主營業(yè)務(wù)為做網(wǎng)站、網(wǎng)站設(shè)計、蓮湖網(wǎng)站設(shè)計，以傳統(tǒng)方式定制建設(shè)網(wǎng)站，并提供域名空間備案等一條龍服務(wù)，秉承以專業(yè)、用心的態(tài)度為用戶提供真誠的服務(wù)。我們深信只要達到每一位用戶的要求，就會得到認可，從而選擇與我們長期合作。這樣，我們也可以走得更遠！

這些設(shè)備是惡意網(wǎng)絡(luò)攻擊者的理想目標，因為大多數(shù)或所有組織和客戶流量都必須通過它們。

存在于組織網(wǎng)關(guān)路由器上的攻擊者可以監(jiān)視、修改和拒絕進出組織的流量。
存在于組織內(nèi)部路由和交換基礎(chǔ)設(shè)施上的攻擊者可以監(jiān)控、修改和拒絕進出網(wǎng)絡(luò)內(nèi)關(guān)鍵主機的流量，并利用信任關(guān)系對其他主機進行橫向移動。

使用舊的、未加密的協(xié)議來管理主機和服務(wù)的組織和個人使惡意網(wǎng)絡(luò)攻擊者可以輕松地成功獲取憑據(jù)。誰控制了網(wǎng)絡(luò)的路由基礎(chǔ)設(shè)施，本質(zhì)上就是控制流經(jīng)網(wǎng)絡(luò)的數(shù)據(jù)。

哪些安全威脅與網(wǎng)絡(luò)基礎(chǔ)設(shè)施設(shè)備相關(guān)?

網(wǎng)絡(luò)基礎(chǔ)設(shè)施設(shè)備通常很容易成為攻擊者的目標。安裝后，許多網(wǎng)絡(luò)設(shè)備的安全級別不會與通用臺式機和服務(wù)器保持相同。以下因素也可能導(dǎo)致網(wǎng)絡(luò)設(shè)備的脆弱性：

很少有網(wǎng)絡(luò)設(shè)備，尤其是小型辦公室/家庭辦公室和住宅級路由器等運行防病毒、完整性維護和其他有助于保護通用主機的安全工具。
制造商使用可利用的服務(wù)構(gòu)建和分發(fā)網(wǎng)絡(luò)設(shè)備，服務(wù)易于安裝、操作和維護。
網(wǎng)絡(luò)設(shè)備的所有者和運營商通常不會更改供應(yīng)商的默認設(shè)置、對其進行加固以進行操作或執(zhí)行定期修補。
一旦制造商或供應(yīng)商不再支持設(shè)備，互聯(lián)網(wǎng)服務(wù)提供商不得更換客戶財產(chǎn)上的設(shè)備。
業(yè)主和運營商在調(diào)查、尋找入侵者、恢復(fù)網(wǎng)絡(luò)入侵后的通用主機時，往往會忽視網(wǎng)絡(luò)設(shè)備。

如何提高網(wǎng)絡(luò)基礎(chǔ)設(shè)施設(shè)備的安全性?

鼓勵用戶和網(wǎng)絡(luò)管理員實施以下建議，以更好地保護網(wǎng)絡(luò)基礎(chǔ)設(shè)施：

細分和隔離網(wǎng)絡(luò)和功能。
限制不必要的橫向溝通。
強化網(wǎng)絡(luò)設(shè)備。
安全訪問基礎(chǔ)設(shè)施設(shè)備。
執(zhí)行帶外 (OoB) 網(wǎng)絡(luò)管理。
驗證硬件和軟件的完整性。

分段和隔離網(wǎng)絡(luò)和功能

安全架構(gòu)師必須考慮整體基礎(chǔ)架構(gòu)布局，包括分段和隔離。適當(dāng)?shù)木W(wǎng)絡(luò)分段是一種有效的安全機制，可防止入侵者傳播漏洞或在內(nèi)部網(wǎng)絡(luò)中橫向移動。在分段不佳的網(wǎng)絡(luò)上，入侵者能夠擴大其影響以控制關(guān)鍵設(shè)備或訪問敏感數(shù)據(jù)和知識產(chǎn)權(quán)。隔離基于角色和功能來分隔網(wǎng)段。安全隔離的網(wǎng)絡(luò)可以隔離包含惡意事件，從而減少入侵者在網(wǎng)絡(luò)內(nèi)部某處獲得立足點時的影響。

敏感信息的物理隔離

傳統(tǒng)的網(wǎng)絡(luò)設(shè)備，例如路由器，可以分隔局域網(wǎng) (LAN) 網(wǎng)段。組織可以在網(wǎng)絡(luò)之間放置路由器以創(chuàng)建邊界、增加廣播域的數(shù)量并有效過濾用戶的廣播流量。組織可以通過將流量限制在不同的網(wǎng)段來使用邊界來遏制安全漏洞，甚至可以在入侵期間關(guān)閉部分網(wǎng)絡(luò)，限制對手的訪問。

建議：

在設(shè)計網(wǎng)段時實施最小權(quán)限和需要知道的原則。
將敏感信息和安全要求劃分為網(wǎng)段。
將安全建議和安全配置應(yīng)用于所有網(wǎng)段和網(wǎng)絡(luò)層。

敏感信息的虛擬分離

隨著技術(shù)的變化，新的戰(zhàn)略被開發(fā)出來以提高信息技術(shù)效率和網(wǎng)絡(luò)安全控制。虛擬隔離是同一物理網(wǎng)絡(luò)上的網(wǎng)絡(luò)的邏輯隔離。虛擬分段使用與物理分段相同的設(shè)計原則，但不需要額外的硬件?，F(xiàn)有技術(shù)可用于防止入侵者破壞其他內(nèi)部網(wǎng)段。

建議：

使用私有虛擬局域網(wǎng) (VLAN)將用戶與其余廣播域隔離。
使用虛擬路由和轉(zhuǎn)發(fā) (VRF) 技術(shù)在單個路由器上同時通過多個路由表對網(wǎng)絡(luò)流量進行分段。
使用虛擬專用網(wǎng)絡(luò)通過公共或?qū)Ｓ镁W(wǎng)絡(luò)建立隧道來安全地擴展主機/網(wǎng)絡(luò)。

限制不必要的橫向通信

允許未經(jīng)過濾的點對點通信(包括工作站到工作站)會產(chǎn)生嚴重的漏洞，并且可以使網(wǎng)絡(luò)入侵者的訪問權(quán)限輕松傳播到多個系統(tǒng)。一旦入侵者在網(wǎng)絡(luò)中建立了一個有效的灘頭陣地，未經(jīng)過濾的橫向通信允許入侵者在整個網(wǎng)絡(luò)中創(chuàng)建后門。后門幫助入侵者在網(wǎng)絡(luò)中保持持久性，并阻礙防御者遏制和根除入侵者的努力。

建議：

使用基于主機的防火墻規(guī)則來限制通信，以拒絕來自網(wǎng)絡(luò)中其他主機的數(shù)據(jù)包流。可以創(chuàng)建防火墻規(guī)則來過濾主機設(shè)備、用戶、程序或互聯(lián)網(wǎng)協(xié)議 (IP) 地址，以限制來自服務(wù)和系統(tǒng)的訪問。
實施 VLAN 訪問控制列表 (VACL)，這是一種控制進出 VLAN 的過濾器。應(yīng)創(chuàng)建 VACL 過濾器以拒絕數(shù)據(jù)包流向其他 VLAN 的能力。
使用物理或虛擬隔離在邏輯上隔離網(wǎng)絡(luò)，允許網(wǎng)絡(luò)管理員將關(guān)鍵設(shè)備隔離到網(wǎng)段上。

強化網(wǎng)絡(luò)設(shè)備

增強網(wǎng)絡(luò)基礎(chǔ)設(shè)施安全性的一個基本方法是通過安全配置保護網(wǎng)絡(luò)設(shè)備。政府機構(gòu)、組織和供應(yīng)商為管理員提供了廣泛的指導(dǎo)，包括基準和最佳實踐，關(guān)于如何強化網(wǎng)絡(luò)設(shè)備。管理員應(yīng)結(jié)合法律、法規(guī)、站點安全策略、標準和行業(yè)最佳實踐來實施以下建議。

建議：

禁用用于管理網(wǎng)絡(luò)基礎(chǔ)設(shè)施的未加密遠程管理協(xié)議(例如 Telnet、文件傳輸協(xié)議 [FTP])。
禁用不必要的服務(wù)(例如，發(fā)現(xiàn)協(xié)議、源路由、超文本傳輸協(xié)議 [HTTP]、簡單網(wǎng)絡(luò)管理協(xié)議 [SNMP]、引導(dǎo)協(xié)議)。
使用 SNMPv3(或后續(xù)版本)，但不要使用SNMP 社區(qū)字符串。
安全訪問控制臺、輔助和虛擬終端線路。
實施強大的密碼策略，并使用可用的最強密碼加密。
通過控制遠程管理的訪問列表來保護路由器和交換機。
限制對路由器和交換機的物理訪問。
備份配置并將它們離線存儲。使用最新版本的網(wǎng)絡(luò)設(shè)備操作系統(tǒng)并保持更新所有補丁。
根據(jù)安全要求定期測試安全配置。
在發(fā)送、存儲和備份文件時通過加密或訪問控制保護配置文件。

安全訪問基礎(chǔ)設(shè)施設(shè)備

可以授予管理權(quán)限以允許用戶訪問不廣泛可用的資源。限制基礎(chǔ)設(shè)施設(shè)備的管理權(quán)限對于安全性至關(guān)重要，因為入侵者可以利用未正確授權(quán)、廣泛授予或未經(jīng)嚴格審核的管理權(quán)限。攻擊者可以使用受損的權(quán)限來遍歷網(wǎng)絡(luò)、擴展訪問權(quán)限并完全控制基礎(chǔ)設(shè)施主干。組織可以通過實施安全訪問策略和程序來減少未經(jīng)授權(quán)的基礎(chǔ)設(shè)施訪問。

建議：

(1) 實施多因素身份驗證(MFA)。身份驗證是用于驗證用戶身份的過程。攻擊者通常利用弱身份驗證過程。MFA 至少使用兩個身份組件來驗證用戶的身份。身份組件包括

用戶知道的東西(例如密碼)，
用戶擁有的對象(例如令牌)，以及
用戶獨有的特征(例如，指紋)。

(2) 管理特權(quán)訪問。使用提供身份驗證、授權(quán)和計費 (AAA) 服務(wù)的服務(wù)器來存儲網(wǎng)絡(luò)設(shè)備管理的訪問信息。AAA 服務(wù)器將使網(wǎng)絡(luò)管理員能夠根據(jù)最小權(quán)限原則為用戶分配不同的權(quán)限級別。當(dāng)用戶試圖執(zhí)行未經(jīng)授權(quán)的命令時，它將被拒絕。如果可能，除了使用 AAA 服務(wù)器之外，還可以實施硬令牌認證服務(wù)器。使用 MFA 使入侵者更難竊取和重用憑據(jù)以訪問網(wǎng)絡(luò)設(shè)備。

(3) 管理管理憑據(jù)。如果您的系統(tǒng)無法滿足 MFA 最佳實踐，請采取以下措施：

更改默認密碼。
根據(jù)NIST SP 800-63C數(shù)字身份指南和加拿大的信息技術(shù)系統(tǒng)ITSP戶身份驗證指南，確保密碼長度至少為 8 個字符，并允許密碼長度為 64 個字符(或更長)。
根據(jù)不可接受的值的拒絕列表檢查密碼，例如常用的、預(yù)期的或已泄露的密碼。
確保所有存儲的密碼都經(jīng)過加鹽和散列。
將密碼存儲在受保護的離線位置，例如保險箱，以便緊急訪問。

執(zhí)行帶外管理

OoB 管理使用備用通信路徑來遠程管理網(wǎng)絡(luò)基礎(chǔ)設(shè)施設(shè)備。這些專用通信路徑的配置可以有所不同，包括從虛擬隧道到物理分離的任何內(nèi)容。使用 OoB 訪問來管理網(wǎng)絡(luò)基礎(chǔ)設(shè)施將通過限制訪問和將用戶流量與網(wǎng)絡(luò)管理流量分開來增強安全性。OoB 管理提供安全監(jiān)控，并且可以在不讓對手(即使是已經(jīng)破壞了一部分網(wǎng)絡(luò)的人)觀察到這些變化的情況下執(zhí)行糾正措施。

OoB 管理可以物理地、虛擬地或通過兩者的混合來實施。盡管構(gòu)建額外的物理網(wǎng)絡(luò)基礎(chǔ)設(shè)施的實施和維護成本可能很高，但對于網(wǎng)絡(luò)管理員來說，這是最安全的選擇。虛擬實施成本較低，但仍需要大量的配置更改和管理。在某些情況下，例如訪問遠程位置，虛擬加密隧道可能是唯一可行的選擇。

建議：

將標準網(wǎng)絡(luò)流量與管理流量分開。
確保設(shè)備上的管理流量僅來自O(shè)oB。
將加密應(yīng)用于所有管理渠道。
加密對基礎(chǔ)設(shè)施設(shè)備(如終端或撥入服務(wù)器)的所有遠程訪問。
通過安全通道(最好在 OoB 上)從專用的、完全修補的主機管理所有管理功能。
通過測試補丁、關(guān)閉路由器和交換機上不必要的服務(wù)以及實施強密碼策略來強化網(wǎng)絡(luò)管理設(shè)備。監(jiān)控網(wǎng)絡(luò)并查看日志。實施僅允許所需管理或管理服務(wù)的訪問控制(例如，SNMP、網(wǎng)絡(luò)時間協(xié)議、安全外殼、FTP、普通 FTP、遠程桌面協(xié)議 [RDP]、服務(wù)器消息塊 [SMB])。

驗證硬件和軟件的完整性

通過未經(jīng)授權(quán)的渠道購買的產(chǎn)品通常被稱為假冒、二級或灰色市場設(shè)備。許多媒體報道都描述了灰色市場硬件和軟件進入市場的情況。非法的硬件和軟件會給用戶信息和網(wǎng)絡(luò)環(huán)境的整體完整性帶來嚴重風(fēng)險?；疑袌霎a(chǎn)品可能會給網(wǎng)絡(luò)帶來風(fēng)險，因為它們尚未經(jīng)過全面測試以滿足質(zhì)量標準。由于供應(yīng)鏈中斷，從二級市場購買產(chǎn)品存在購買假冒、被盜或二手設(shè)備的風(fēng)險。此外，供應(yīng)鏈中的漏洞為在設(shè)備上安裝惡意軟件和硬件提供了機會。受損的硬件或軟件會影響網(wǎng)絡(luò)性能并危及網(wǎng)絡(luò)資產(chǎn)的機密性、完整性或可用性。最后，未經(jīng)授權(quán)或惡意軟件可能會在設(shè)備投入使用后加載到設(shè)備上，因此組織應(yīng)定期檢查軟件的完整性。

建議：

嚴格控制供應(yīng)鏈，只從授權(quán)經(jīng)銷商處購買。
要求經(jīng)銷商強制執(zhí)行供應(yīng)鏈完整性檢查，以驗證硬件和軟件的真實性。
安裝后，檢查所有設(shè)備是否有篡改跡象。
驗證來自多個來源的序列號。
從經(jīng)過驗證的來源下載軟件、更新、補丁和升級。
執(zhí)行哈希驗證，并將值與供應(yīng)商的數(shù)據(jù)庫進行比較，以檢測對固件的未經(jīng)授權(quán)的修改。
定期監(jiān)控和記錄設(shè)備——驗證設(shè)備的網(wǎng)絡(luò)配置。
培訓(xùn)網(wǎng)絡(luò)所有者、管理員和采購人員，以提高對灰色市場設(shè)備的認識。

本文轉(zhuǎn)載自微信公眾號「祺印說信安」，作者何威風(fēng)。轉(zhuǎn)載本文請聯(lián)系祺印說信安公眾號。

網(wǎng)頁名稱：網(wǎng)絡(luò)安全知識之保護網(wǎng)絡(luò)基礎(chǔ)設(shè)施設(shè)備
網(wǎng)頁地址：http://m.fisionsoft.com.cn/article/cooepjh.html