51阅读吧 - 为您打造专业优质的文章分享平台!
您的当前位置: 51阅读吧 >

网络安全解决方案|如何避免企业网络安全设备部署失败的解决方案

NO.1 如何避免企业网络安全设备部署失败的解决方案

  扩展型企业的概念给IT安全组合带来越来越严峻的问题,因为它们的敏感数据和有价值的数据经常会流出传统网络边界。为了保护企业不受多元化和低端低速可适应性的持久威胁,IT企业正在部署各种各样的新型网络安全设备:下一代防火墙、IDS与IPS设备、安全信息事件管理(SIEM)系统和高级威胁检测系统。理想情况下,这些系统将集中管理,遵循一个集中安全策略,隶属于一个普遍保护战略。

  然而,在部署这些设备时,一些企业的常见错误会严重影响他们实现普遍保护的能力。本文将介绍在规划与部署新型网络安全设备时需要注意的问题,以及如何避免可能导致深度防御失败的相关问题。

  不要迷信安全设备

  一个最大的错误是假定安全设备本身是安全的。表面上这似乎很容易理解,但是一定要坚持这个立足点。所谓的"增强"操作系统到底有多安全?它的最新状态是怎样的?它运行的"超稳定"Web服务器又有多安全?

  在开始任何工作之前,一定要创建一个测试计划,验证所有网络安全设备都是真正安全的。首先是从一些基础测试开始:您是否有在各个设备及其支持的网络、服务器和存储基础架构上按时升级、安装补丁和修复Bug?在根据一些记录当前已知漏洞信息的资料交换中心(如全国漏洞数据库)的数据进行检查,一定要定期升级和安装设备补丁。

  然后,再转到一些更难处理的方面:定期评估多个设备配置的潜在弱点。加密系统和应用交付优化(ADO)设备的部署顺序不当也会造成数据泄露,即使各个设备本身能够正常工作。这个过程可以与定期执行的渗透测试一起进行。

  评估网络安全设备的使用方式

  对于任意安全设备而言,管理/控制通道最容易出现漏洞。所以,一定要注意您将要如何配置和修改安全设备--以及允许谁执行这些配置。如果您准备通过Web浏览器访问一个安全系统,那么安全设备将运行一个Web服务器,并且允许Web流量进出。这些流量是否有加密?它是否使用一个标准端口?所有设备是否都使用同一个端口(因此入侵者可以轻松猜测到)?它是通过一个普通网络连接(编内)还是独立管理网络连接(编外)进行访问?如果属于编内连接,那么任何通过这个接口发送流量的主机都可能攻击这个设备。如果它在一个管理网络上,那么至少您只需要担心网络上的其他设备。(如果它配置为使用串口连接和KVM,则更加好。)最佳场景是这样:如果不能直接访问设备,则保证所有配置变化都必须使用加密和多因子身份验证。而且,要紧密跟踪和控制设备管理的身份信息,保证只有授权用户才能获得管理权限。

  应用标准渗透测试工具

  如果您采用了前两个步骤,那么现在就有了很好的开始--但是工作还没做完。黑客、攻击和威胁载体仍然在不断地增长和发展,而且您必须定期测试系统,除了修复漏洞,还要保证它们能够抵挡已发现的攻击。

  那么,攻击与漏洞有什么不同呢?攻击是一种专门攻破漏洞的有意行为。系统漏洞造成了攻击可能性,但是攻击的存在则增加了它的危害性--漏洞暴露从理论变为现实。

  渗透测试工具和服务可以检查出网络安全设备是否容易受到攻击的破坏。一些开源工具和框架已经出现了很长时间,其中包括Network Mapper(Nmap)、Nikto、开放漏洞评估系统(Open Vulnerability Assessment System, OpenVAS)和Metasploit.当然 ,也有很多的商业工具,如McAfee(可以扫描软件组件)和Qualys的产品。

  这些工具广泛用于标识网络设备处理网络流量的端口;记录它对于标准测试数据包的响应;以及通过使用OpenVAS和Metasploit测试它面对一些常见攻击的漏洞情况(更多出现在商业版本上)。

  其他渗透测试工具则主要关注于Web服务器和应用,如OWASP Zed Attack Proxy(ZAP)和Arachni.通过使用标准工具和技术,确定安全设备的漏洞--例如,通过一个Web管理接口发起SQL注入攻击,您就可以更清晰地了解如何保护网络安全设备本身。

  在部署网络安全设备时降低风险

  没有任何东西是完美的,因此没有任何一个系统是毫无漏洞的。在部署和配置新网络安全设备时,如果没有应用恰当的预防措施,就可能给环境带来风险。采取正确的措施保护设备,将保护基础架构的其他部分,其中包括下面这些经常被忽视的常见防范措施:

  修改默认密码和帐号名。

  禁用不必要的服务和帐号。

  保证按照制造商的要求更新底层操作系统和系统软件。

  限制管理网络的管理接口访问;如果无法做到这一点,则要在上游设备(交换机和路由器)使用ACL,限制发起管理会话的来源。

  由于攻击也在进化,所以要定期检查渗透测试。要保持OpenVAS和Metasploit等工具的更新,而且它们可以使用的攻击库也在稳步增长。

  基线是什么呢?制定一个普遍保护策略只是开始。要保护现在漫无边际增长的设备和数据,您需要三样东西:一个普适保护策略、实现策略的工具与技术及保证这些工具与技术能够实现最大保护效果的政策与流程。所有政策与流程既要考虑网络安全设备本身(个体与整体)的漏洞,也要考虑专门针对这些漏洞且不断发展变化的攻击与威胁载体。

  上就是避免企业网络安全设备部署失败的解决方案,谢谢阅读,希望能帮到大家,请继续关注51阅读吧,我们会努力分享更多优秀的文章。

NO.2 网络安全中10个可被简单解决的安全疏漏及防范

不论我们做多大的努力,终端用户甚至是企业的IT部门,仍然会忽视那些本来很容易被纠正的安全疏漏。本文将与大家讨论10个可以被避免的安全疏漏,并告诉大家该如何纠正这种疏忽。
1: 使用脆弱的密码
曾经有段时间,有些人自作聪明的用“password”作为密码,用来愚弄那些千方百计猜测密码的黑客和其它恶意分子。毕竟很多人都不会用这么明显的词语作为密码。如今,很多人意识到了用这种密码所能实现的安全性实在是脆弱,但仍然有很多人乐意使用这种简单易猜的密码,尤其是在如今高度社交化的网络中。比如,有人会用自己的名字缩写加上生日作为密码,而这方面的信息数据很容易通过Facebook或其它渠道获取,有心的黑客只要将少量的信息组合一下就能破解这种密码了。而就算是在一些拥有强力密码策略的企业中,只要有人存在,就会有这种脆弱的密码存在。
解决方案: 不要用明显的模式来设置密码。将各种因素混杂起来,比如用感叹号代替数字1,&标记代替数字8。密码设置的越复杂,被破解的几率就越小。如果你在为企业设置密码策略,应该要求密码中使用多个字符集。
2: 从来不改密码
这种情况我见得次数太多了。很多人多年来一直不曾更改密码,而且这个密码还被用于多个网站。这是一个很大的安全漏洞。在企业里,就算有密码修改的策略,但是很多员工还是能找到办法绕过这种强制策略。比如,我的公司里曾经有一个拥有域管理员权限的员工,他将自己的账户排除在了密码策略之外。发现后我严厉的批评了他,并让他将自己的账户至于密码策略规范之内(后来我觉得真的应该开除这个人,因为他滥用了自己的权利)。当然,我说的情况可能比较特殊,但是我们可以想想,有多少人在使用相同或近似的密码来访问不同的网站呢?而到了必须修改密码的时候,是不是有很多人只改掉一个字符来应付密码策略的强制要求呢?
解决方案: 对员工或用户进行培训,让他们知道一个强壮的密码有多么重要,以及为什么要定期更换密码。作为密码策略的一部分,你也可以考虑采用第三方软件来禁止用户使用类似的密码应付密码策略的强制要求。
3: 不安装杀毒软件
这个疏忽是完全可以避免的。如果你的工作环境中没有安装反病毒软件,那么你真的是大错特错了。就算有最好的防火墙,仍然要记住安全屏障的层次概念。一旦防火墙没有成功拦截恶意代码,反病毒软件将成为终端系统上最后的屏障。
解决方案: 马上安装杀毒软件。
4: 不使用防火墙或设置不严谨
不论是在家还是在企业IT环境中,都应该使用防火墙设备。虽然Windows和其它操作系统现在都自带有内置的防火墙,我仍然建议大家购置一部硬件防火墙设备,或类似的设备,硬件防火墙与软件防火墙相配合,是最好的安全方案。另外,如果使用防火墙,就要对其进行严谨的设置。
解决方案: 有条件就在家或在企业环境都配备上防火墙硬件设备。确保防火墙不会允许不必要的数据从外部流入内网环境。
5: 从不给系统打补丁
操作系统开发商和应用程序开发商定期推出补丁程序是有其原因的。虽然很多升级或更新都是为了增加新功能,但仍然有不少更新是纯粹为了弥补系统和软件的安全漏洞的。我见过很多家用电脑系统中,用户都将系统自动更新选项关闭了。而在企业环境,很多时候人们觉得网络边缘有了防火墙,就不需要再为系统安装升级补丁了。这并不正确,因为很多攻击代码会通过防火墙的防护进入企业内网。
解决方案: 为系统打补丁!打开系统和软件的自动更新功能,并立即为企业建立补丁管理策略并实施。
6: 不安全的数据存储
你将多少敏感数据(比如个人信息,公司业务数据等)存放在了U盘里?你是不是曾经带着这种存有敏感信息的U盘外出过?我见过很多人将U盘作为钥匙链,带在身上到处走动。有的时候,U盘就和钥匙一起放在了食堂的饭桌上忘记拿走。
现在,还有多少人会将企业数据备份在磁带上?这些磁带是否会被搬离备份场所,这个过程是否处于你的控制之中?
不受保护的数据是安全的一大问题。一次简单的丢失U盘、笔记本、iPad或备份磁带的事件,就会让企业面临财务、司法以及公共关系上的巨大挑战。
解决方案: 对任何可移动的存储数据进行加密保存。大多数备份软件都支持对备份数据进行加密,比如BitLocker以及BitLocker To Go可以用来保护笔记本设备和U盘。对于其他设备,比如iPad,可以考虑使用移动安全管理软件对其中的数据进行加密保存。
7: 过于慷慨的权限
在企业环境中,权限决定了一个用户能做什么不能做什么。要让员工顺利工作,最简单的方式是给他们赋予管理员权限,以便让他们能够访问企业网络的所有内容。但是这种方式很快就会带来混乱。因此大多数公司都会根据员工的工作关系,通过权限策略为其赋予适当的权限。不幸的是,就算有这种策略,还是会发生权限蔓延的情况。比如员工从一个岗位调换到另一个岗位,而之前的权限并没有被移除。
解决方案: Make 确保企业应用了明确的权限管理策略。企业的权限管理策略和实施方法应该定期的进行审视和调整,以便适应企业当前的需求。不需要的权限要及时清除。
8: 薄弱的或没有Wi-Fi安全设置
就算现在很多人都知道开放的Wi-Fi网络具有很大安全风险,仍然有很多家庭或企业让自己的无线网络保持开放和不安全的状态。另外,由于WEP 加密方式的普及,仍然有很多网络在使用这种加密验证方式,但是这种方式已经很不安全了,甚至四秒钟就可以破解WEP密码。不过就算如此,这样比完全开放的无线网络要安全一些。
解决方案: 使用WPA 或者更高级的WPA2加密验证措施。WPA2是目前流行的无线网络安全标准,多数操作系统都支持这个标准。另外,在采用WPA2标准后,还要设置一个足够强壮的密码,这个密码应该是不容易被猜测出的,或者不容易被暴力破解的,否则再好的加密标准也是虚设。WPA2加密也有可能被破解,但是破解WPA2的难度要远高于破解WEP或WPA。
9: 忽视简单的移动设备安全措施
未来几年,移动设备将成为黑客们的天堂。很多人随身携带的移动数码设备都存储有未加密的个人信息,这些设备中存储的信息可以在短时间内被黑客获取。而且这种设备很容易被盗或丢失。前面我提到过,你应该留意该在移动设备中存储什么样的信息,并将敏感的信息删除或加密。但是利用移动设备的联网功能进入企业网络并窃取信息的情况还是会出现的。
解决方案: 虽然很简单,但是非常必要,即当移动设备试图访问企业网络时,要求使用密码登录。虽然这种方式不能跟不上杜绝移动设备窃取企业网络数据的情况发生,但是会让那些偶尔获得移动设备的人知难而退。
10: 从来不检查备份
让我们假设一种情景,企业的所有安全机制都失效了,企业数据和网络已经遭到了严重的入侵和破坏,系统和数据都已经不再可靠了。这时候,可能唯一能做的就是通过备份数据来回复整个环境。但是,如果遇到如下几种情况,对于企业来说,就真的是无可挽回了:
备份数据损坏。
备份磁带有损伤。
虽然每晚备份系统都在向磁带上记录备份数据,但实际上没有任何数据被备份。
以上任何一条出现,对企业来说都是致命的打击。
解决方案: 立即制定和实施相应的策略和工作程序,定期检查备份数据。另外,考虑添加额外的备份系统,将备份数据进行再次备份,并存储在与网络隔离的环境中,防止备份数据在企业网络遭遇黑客攻击时被一起破坏。

NO.3 windows网络安全介绍以及常见网络攻击方式解读

windows网络安全
1.网络安全的概念
网络安全的定义:网络系统的硬件、软件和数据受到保护,不因偶然和恶意的原因而遭到破坏、更改和泄露,系统可以连续正常运行,网络服务不会终止
1>.网络安全主要涉及3个方面:
硬件安全:即要保证网络设备的安全,如网络中的服务器、交换机、路由器等设备的安全。
软件和数据安全:即保证网络中的重要数据不被窃取和破坏,软件可以正常运行,没有被破坏。
系统正常运行:保证系统正常运行,系统不能瘫痪和停机。
2>.网络安全的特性
机密性:防止未授权用户访问数据
完整性:数据在存储、传输过程中不被修改
可用性:数据在任何时候都是可用的
可控性:数据在传输过程中是可控的
可审查性:管理员能够跟踪用户的操作行为
3>.网络安全的威胁
非授权访问:未经授权访问相关数据
信息泄露或丢失:信息在传输过程中泄露或丢失
破坏数据完整性:数据在传输过程中被修改
拒绝服务攻击:通过向服务器发送大量数据包,消耗服务器的资源,使服务器无法提供服务
利用网络传播计算机病毒
2.常见的网络攻击方式
端口扫描,安全漏洞攻击,口令入侵,木马程序,电子邮件攻击,Dos攻击
1>.端口扫描:
通过端口扫描可以知道被扫描计算机开放了哪些服务和端口,以便发现其弱点,可以手动扫描,也可以使用端口扫描软件扫描
2>.端口扫描软件
SuperScan(综合扫描器)
主要功能:
检测主机是否在线
IP地址和主机名之间的相互转换
通过TCP连接试探目标主机运行的服务
扫描指定范围的主机端口。
PortScanner(图形化扫描器软件)
比较快,但是功能较为单一
X-Scan(无需安装绿色软件,支持中文)
采用多线程 方式对指定的IP地址段(或单机)进行安全漏洞检测
支持插件功能,提供图形化和命令行操作方式,扫描较为综合。
3>.安全漏洞攻击
安全漏洞是硬件、软件、协议在具体实现和安全策略上存在的缺陷,安全漏洞的存在可以使攻击者在未授权的情况下访问或破坏系统
安全漏洞攻击实例:
(1)Windows 2000中文输入法漏洞是指在Windows 2000的最初版本中,中要使用者安装了中文输入法,就可以轻松进入Windows 2000系统,获得管理员权限,可以执行作何操作,是非常严重的漏洞。后来,微软推出了相应补丁程序,弥补了该漏洞。
(2)Windows远程桌面漏洞是指微软的远程桌面协议(RDP协议)存在拒绝服务漏洞,远程攻击者可以向受影响系统发送特制的RDP消息导致系统停止响应。另外,该漏洞也可能导致攻击者获得远程桌面的账户信息,有助于进一步攻击。
(3)缓冲区溢出是一种非常普遍,非常危险的漏洞,在各种系统、应用软件中广泛存在。该漏洞可导致程序运行失败、系统宕机、系统重启等后果。所谓缓存区溢出是指当向缓冲区内填充的数据位数超过缓况区本身容量时,就会发生缓冲区溢出。发生溢出时,溢出的数据会覆盖在合法数据上。攻击者有时会故意向缓冲区中写入超长数据,进行缓况区溢出攻击,从而影响影系统正常运行。
(4)IIS的漏洞有很多。比如,FTP服务器堆栈溢出漏洞。当FTP服务器允许未授权的使用者登入并可以建立一个很长且特制的目录,就可能触发该漏洞,让黑客执行程序或进行阻断式攻击。
(5)SQL漏洞:比如SQL注入漏洞,使客户端可以向数据库服务器提交特殊代码,从而收集程序及服务的信息,从而获得想要的资料。
4>.口令入侵
口令入侵是指非法获取某些合法用户的口令后,登录目标主机实施攻击的行为
非法获取口令的方式:
通过网络监听获取口令
通过暴力破解获取口令
利用管理失误获取口令
5>.木马程序
它隐藏在系统内部,随系统启动而启动,在用户不知情的情况下,连接并控制被感染计算机
木马由两部分组成:服务器端和客户端
常见木马程序:
BO2000
冰河
灰鸽子
6>.电子邮件攻击
攻击者使用邮件炸弹软件或CGI程序向目的邮箱发送大量内容重复、无用的垃圾邮件,从而使目的邮箱被撑爆而无法使用
电子邮件攻击的表现形式:
邮件炸弹
邮件欺骗
7>.Dos攻击
Dos全称为拒绝服务攻击,它通过短时间内向主机发送大量数据包,消耗主机资源,造成系统过载或系统瘫痪,拒绝正常用户访问
拒绝服务攻击的类型:
攻击者从伪造的、并不存在的IP地址发出连接请求
攻击者占用所有可用的会话,阻止正常用户连接
攻击者给接收方灌输大量错误或特殊结构的数据包
Dos攻击举例
泪滴攻击
ping of Death
smurf 攻击
SYN溢出
DDoS分布式拒绝服务攻击

NO.4 金浪路由器打造安全网络的解决方案


 
就像网络操作系统一样,路由器操作系统也需要更新,以便纠正编程错误、软件错误和缓存溢出的问题,要经常向你的路由器厂商查询当前的更新和操作系统的版本。
一、路由器的远程页面管理对于一个网管来说是很容易设置的,但是,这对路由器来说也是一个安全问题,如果你的路由器有一个命令行设置,禁用网页方式并且使用这种设置方式,如果你没有使用你的路由器上的SNMP,那么你就不需要启用这个功能。
二、ping和其它ICMP功能对于网络管理员和黑客都是非常有用的工具,黑客能够利用你的路由器上启用的ICMP功能找出可用来攻击你的网络的信息。
三、在大多数情况下,你不需要来自互联网接口的主动的telnet会话,如果从内部访问你的路由器设置会更安全一些。
四、IP定向广播能够允许对你的设备实施拒绝服务攻击,一台路由器的内存和CPU难以承受太多的请求,这种结果会导致缓存溢出。
五、重新定向允许数据包从一个接口进来然后从另一个接口出去。你不需要把精心设计的数据包重新定向到专用的内部网路。
六、包过滤仅传递你允许进入你的网络的那种数据包,许多公司仅允许使用80端口(HTTP)和110/25端口,此外,你可以封锁和允许IP地址和范围。
七、永远禁用不必要的服务,无论是路由器、服务器和工作站上的不必要的服务都要禁用。思科的设备通过网络操作系统默认地提供一些小的服务,这些服务,特别是它们的UDP服务,很少用于合法的目的,这些服务能够用来实施拒绝服务攻击和其它攻击,包过滤可以防止这些攻击。
以上的内容只是给大家一点参考,想要更加保护自己的网络安全,可以参考本站的磊科路由器设置。
上一篇:两字好词摘抄大全|两个字的好词大全 上一篇:人为什么要学习|人为什么要学习?
与该文相关的文章

温馨提示:如果您对51阅读吧有任何建议,请通过网站联系邮箱向我们反馈,感谢各位的建议与支持!