一、深彻了解现有网络资源
网络安全就是软件一样牵一发动全身,网络安全第一步是是整理出网络目前所有运行设备的型号、硬件版本、软件版本、补丁情况等。对现有的交换机、路由器、服务器等设备在现有的资源做好完全完善工作。
1.1网络交换、路由设备的基础网络安全部署
对登录的安全认证管理检查
启用ACL,针对已知的病毒(冲击波、振荡波)等端口进行封堵
vlan之间访问控制(做好部门之间的访问控制)
针对设备的管理做好限制(比如只允许网管机器管理网络设备)
检查SNMP安全漏洞(很多设备默认支持SNMP,会给网络带来很多安全隐患)
系统日志设置(很多设备标准配置系统日志很少,要进行调优)
系统时间是否一致(保持时间一致有助于问题排查,建议构建一台ntp Server)
对交换机、路由器开启DDOS防范攻击
1.2对服务器的基础安全部署
安装操作系统补丁
对系统进行安全加固(服务器很多默认配置是不安全)
对应用的系统的漏洞进行加固
关闭没有的服务
防病毒软件部署
如果可能安装防火墙软件
对于一些安全加固以及应用系统漏洞加固不知道如何做,那就要借助一些漏洞扫描设备来协助。
二、对网络进行分区域管理
把网络进行分区域管理,对重点防护对象需要列入日常安全防护重点,这样避免严重安全事故产生产生。网络可以分为以下几个区域来对待:
内网区域
★财务区域
★医疗区域
★开发区域
服务器区域
DMZ区域
外网区域
★互联网区域
★VPN拨入区域
★专线接入区域
边界网络区域
用户终端区域
对于一般的网络可为分为内网区域、外网区域、DMZ区域、用户终端区域,对于一些复杂的网络需要对网络区域进行细化。比如把内网区域分为财务区域、生产区域。一般是使用防火墙设备进行分区域,由防火墙来控制各个区域的安全,因此如何区域划得越细需要的防火墙设备。如果更高级一点就需要在各区域部署IPS、流量检测、病毒网关等安全设备来过滤。
三、用户终端安全
网络主干安全保证是网络管理员一个基本任务,接下来就要做好用户接入的安全,网络安全的最终目标是要让网络可控。对用户端安全控制可以从以下几个手段进行防护:
用户接入的交换机端口做MAC绑定,防止非法用户接入,防止ARP病毒
用户接入防Proxy,防止不可预知用户进入网络
防止DHCP欺骗、攻击(如果使用dhcp server)
如果有可能的话采用安全准入解决方案
★实现基于用户身份的网络接入控制
★隔离“危险”用户
★屏蔽不合法用户进入网络(系统没打,或安装黑客软件等等)
★基于用户做好acl
四、做好主动防御工作
以上几个动作都是一些被动的网络安全基本完善工作,接下来我们就要针对特定的应用部署相应的安全设备,比如针对邮件服务器的防病病毒过滤和防垃圾邮件等等,同时在网络出口出处部署流量监控、流量分析设备可以扼杀攻击萌芽状态。网络安全只是相对,没办法做到绝对安全。因此针对重要的服务器要做好加密工作,这样即使数据被黑客截取也看不懂。
五、建立科学的安全管理体系
电脑是死的人是活,想要网络安全设备来构建一个有效安全堡垒是不现实。做好网络安全防范工作最重要还是建立一个科学的安全管理体系,做好安全巡检工作,做到每个设备、每个应用都有专人负责。