第十章 安全

浅谈网络安全

    面对防病毒、防火墙、IDS、IPS、UTM等明朗满目安全解决方案让用户不知何选择，也经常听到很多管理员抱怨IDS、IPS、防火墙、流量管理等该上的安全设备都上但是在安全上心里还是没有底。网络安全实际上是一个木桶效应，应该尽快找到最短的短板，只要有一块短板存在无论你再怎么加高木桶都是一事无补。

    那么如何做好网络安全的防御工作呢？我认为只有做到知己知彼才能完善网络安全。下面我就根据以往工程经验提出一些构建一个完善的网络全防护体系的建议，笔者的经验毕竟有限希望各位同行都提建议。

一、挖掘已有网络资源

    网络安全就是软件一样牵一发动全身，网络安全第一步是是整理出网络目前所有运行设备的型号、硬件版本、软件版本、补丁情况等。对现有的交换机、路由器、服务器等设备在现有的资源做好完全完善工作。

1.1 网络交换、路由设备的基础网络安全部署

    * 对登录的安全认证管理检查

    * 启用ACL，针对已知的病毒（冲击波、振荡波）等端口进行封堵÷

    * vlan之间访问控制（做好部门之间的访问控制）

    * 针对设备的管理做好限制（比如只允许网管机器管理网络设备）

    * 检查SNMP安全漏洞（很多设备默认支持SNMP，会给网络带来很多安全隐患）

    * 系统日志设置（很多设备标准配置系统日志很少，要进行调优）

    * 系统时间是否一致（保持时间一致有助于问题排查，建议构建一台ntp Server）

    * 使用动态路由的需要检查安全认证

    * ICMP限制（ICMP只给网管机器开放）

    * 对交换机、路由器开启DDOS防范攻击

1.2 对服务器的基础安全部署

    * 安装操作系统补丁

    * 对系统进行安全加固（服务器很多默认配置是不安全）

    * 对应用的系统的漏洞进行加固

    * 关闭没有的服务

    * 防病毒软件部署

    * 如果可能安装防火墙软件

    对于一些安全加固以及应用系统漏洞加固不知道如何做，那就要借助一些漏洞扫描设备来协助。

二、对网络进行分区域管理

    把网络进行分区域管理，对重点防护对象需要列入日常安全防护重点，这样避免严重安全事故产生产生。网络可以分为以下几个区域来对待：

    * 内网区域

      ★ 财务部区域

      ★ 生产区域

      ★ 研发区域

    * 服务器区域

    * DMZ区域

    * 外网区域

      ★ 互联网区域

      ★ VPN拨入区域

      ★ 专线接入区域

    * 边界网络区域

    * 用户终端区域

    对于一般的网络可为分为内网区域、外网区域、DMZ区域、用户终端区域，对于一些复杂的网络需要对网络区域进行细化。比如把内网区域分为财务区域、生产区域。一般是使用防火墙设备进行分区域，由防火墙来控制各个区域的安全，因此如何区域划得越细需要的防火墙设备。如果更高级一点就需要在各区域部署IPS、流量检测、病毒网关等安全设备来过滤。

三、用户终端安全

    网络主干安全保证是网络管理员一个基本任务，接下来就要做好用户接入的安全，网络安全的最终目标是要让网络可控。对用户端安全控制可以从以下几个手段进行防护：

    * 用户接入的交换机端口做MAC绑定，防止非法用户接入，防止ARP病毒

    * 用户接入防Proxy，防止不可预知用户进入网络

    * 防止DHCP欺骗、攻击（如果使用dhcp server）

    * 如果有可能的化采用安全准入解决方案

        ★ 实现基于用户身份的网络接入控制

        ★ 隔离“危险”用户

        ★ 屏蔽不合法用户进入网络（系统没打，或安装黑客软件等等）

        ★ 基于用户做好acl

四、做好主动防御工作

    以上几个动作都是一些被动的网络安全基本完善工作，接下来我们就要针对特定的应用部署相应的安全设备，比如针对邮件服务气的防病病毒过滤和防垃圾邮件等等，同时在网络出口出处部署流量监控、流量分析设备可以扼杀攻击萌芽状态。网络安全只是相对没办法做到绝对安全。因此针对重要的服务器要做好加密工作，这样即使数据被黑客截取也看不懂。

五、建立科学的安全管理体系

    电脑是死的人是活，想要网络安全设备来构建一个有效安全堡垒是不现实。做好网络安全防范工作最重要还是建立一个科学的安全管理体系，做好安全巡检工作，做到每个设备、每个应用都有专人负责。

来自为知笔记(Wiz)