企業(yè)網(wǎng)絡(luò)安全方案

企業(yè)網(wǎng)絡(luò)安全方案企業(yè)網(wǎng)絡(luò)安全方案1

三、定制密碼。

應(yīng)當(dāng)更改路由器出廠設(shè)置的默認(rèn)密碼。如果你讓黑客知道了所用路由器的型號(hào)，他們就會(huì)知道路由器的默認(rèn)密碼。而如果配置軟件提供了允許遠(yuǎn)程管理的選項(xiàng)，就要禁用這項(xiàng)功能，以便沒有人能夠通過互聯(lián)網(wǎng)控制路由器設(shè)置。

四、隱藏路由器名字。

選擇了一個(gè)安全的名字后，就要隱藏路由器名字以免廣播，這個(gè)名字又叫服務(wù)集標(biāo)識(shí)符。

一旦你完成了這了步，路由器就不會(huì)出現(xiàn)在你所在地區(qū)的路由器廣播列表上，鄰居及黑客因而就看不見你的無線網(wǎng)絡(luò)。以后你照樣可以廣播信號(hào)，而黑客需要復(fù)雜的設(shè)備才能確定你有沒有無線網(wǎng)絡(luò)。

五、限制網(wǎng)絡(luò)訪問。

應(yīng)當(dāng)使用一種名為MAC地址過濾的方法，防止未經(jīng)授權(quán)的計(jì)算機(jī)連接到你的無線網(wǎng)絡(luò)。為此，首先必須查明允許連接到你網(wǎng)絡(luò)上的每一臺(tái)計(jì)算機(jī)的介質(zhì)訪問控制地址。所有計(jì)算機(jī)統(tǒng)一采用12個(gè)字符長(zhǎng)的MAC地址來標(biāo)識(shí)。想查看你的那些計(jì)算機(jī)，點(diǎn)擊“開始”，然后點(diǎn)擊“運(yùn)行”，輸入cmd后點(diǎn)擊“確定”。這時(shí)就會(huì)打開帶DOS提示符的新窗口。

輸入ipconfig/all，按回車鍵，即可查看所有計(jì)算機(jī)網(wǎng)卡方面的信息?！拔锢淼刂贰边@一欄顯示了計(jì)算機(jī)的MAC地址。

一旦你擁有了授權(quán)MAC地址的列表，可以使用安裝軟件來訪問路由器的MAC地址控制表。然后，輸入允許連接至網(wǎng)絡(luò)的每一臺(tái)計(jì)算機(jī)的MAC地址。如果某個(gè)計(jì)算機(jī)的MAC地址沒有出現(xiàn)在該列表上，它就無法連接到你的路由器和網(wǎng)絡(luò)。

請(qǐng)注意：這并非萬無一失的安全方法。經(jīng)驗(yàn)老到的黑客可以為自己的計(jì)算機(jī)設(shè)定一個(gè)虛假的MAC地址。但他們需要知道你的授權(quán)計(jì)算機(jī)列表上有哪些MAC地址。遺憾的是，因?yàn)镸AC地址在傳輸時(shí)沒有經(jīng)過加密，所以黑客只要探測(cè)或監(jiān)控你網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)包，就能知道列表上有哪些MAC地址。所以，MAC地址過濾只能對(duì)付黑客新手。不過，如果你打消了黑客的念頭，他們可能會(huì)放過你的網(wǎng)絡(luò)，改而攻擊沒有過濾MAC地址的網(wǎng)絡(luò)。

六、選擇一種安全的加密模式。

為無線網(wǎng)絡(luò)開發(fā)的第一種加密技術(shù)是有線對(duì)等保密。所有加密系統(tǒng)都使用一串字符對(duì)數(shù)據(jù)進(jìn)行加密及解密。為了對(duì)網(wǎng)絡(luò)上廣播的數(shù)據(jù)包進(jìn)行解密，黑客必須弄清楚相關(guān)密鑰的內(nèi)容。密鑰越長(zhǎng)，提供的加密機(jī)制就越強(qiáng)。WEP的缺點(diǎn)在于，密鑰長(zhǎng)度只有128位，而且從不變化，這樣黑客就比較容易密鑰。

近些年來開發(fā)的無線保真保護(hù)接入2克服了WEP的部分缺陷。WPA2使用256位的密鑰，只適用于最新款式的路由器上，它是目前市面上大的加密機(jī)制。數(shù)據(jù)包在廣播過程中，WPA2加密密鑰不斷變化。所以黑客想通過探測(cè)數(shù)據(jù)包來WPA2密鑰，那純粹是在浪費(fèi)時(shí)間。因而，如果你的路由器比較新，也提供了加密選項(xiàng)，就應(yīng)當(dāng)選擇WPA2，而不是選擇WEP。請(qǐng)注意：WPA1適用于大企業(yè)，配置起來比較復(fù)雜；WPA2適用于小公司和個(gè)人，有時(shí)被稱為WPA—PSK。

WPA2消除不了所有風(fēng)險(xiǎn)。用戶登錄到WPA2無線網(wǎng)絡(luò)時(shí)會(huì)出現(xiàn)的風(fēng)險(xiǎn)。為了獲得訪問權(quán)，用戶必須提供名為預(yù)共享密鑰的密碼。系統(tǒng)管理員在構(gòu)建設(shè)置網(wǎng)絡(luò)時(shí)，在每個(gè)用戶的計(jì)算機(jī)上設(shè)好了這個(gè)密鑰。如果用戶試圖接入網(wǎng)絡(luò)，黑客就會(huì)試圖監(jiān)控這個(gè)過程，從中預(yù)共享密鑰的值。一旦他們得逞，就能連接至網(wǎng)絡(luò)。

幸運(yùn)的是，預(yù)共享密鑰的長(zhǎng)度可在8個(gè)至63個(gè)字符之間，可以包含特殊字符和空格。為了盡量提高安全系數(shù)，無線網(wǎng)絡(luò)上的密碼應(yīng)當(dāng)包含63個(gè)字符，包括詞典中查不到的隨機(jī)組合。

這個(gè)網(wǎng)站可以生成隨機(jī)的63個(gè)字符密碼，你可以直接拿來作為網(wǎng)絡(luò)客戶機(jī)和路由器的密碼。如果你使用了63個(gè)隨機(jī)字符，黑客至少需要100萬年的時(shí)間，才能出你的密碼。想知道任何長(zhǎng)度的密碼需要多少時(shí)間，可以訪問。

七、限制廣播區(qū)。

應(yīng)當(dāng)把路由器放在你所在大樓的中央，遠(yuǎn)離窗口或者大樓的四邊。這樣一來，就可以限制路由器的廣播區(qū)。然后，帶著筆記本電腦在大樓外面轉(zhuǎn)一圈，看看能不能從附近的停車場(chǎng)或街道收到路由器的信號(hào)。

一般來說，黑客使用的設(shè)備到達(dá)不了無線網(wǎng)絡(luò)，他們也就無法闖入。有些路由器讓你能夠控制廣播的信號(hào)強(qiáng)度。如果你有這個(gè)選項(xiàng)，就要把路由器的信號(hào)減弱到所需要的最弱強(qiáng)度。可以考慮在晚上及不使用的其他時(shí)間段禁用無線路由器。沒必要關(guān)閉網(wǎng)絡(luò)或Web服務(wù)器，只要撥下路由器的電源插頭就行了。這樣既不會(huì)限制內(nèi)部用戶對(duì)網(wǎng)絡(luò)的訪問，也不會(huì)干擾普通用戶使用你的網(wǎng)站。

八、考慮使用高級(jí)技術(shù)。

如果你看了本文之后，決定升級(jí)路由器，不妨考慮把原來的那只路由器用作蜜罐。這其實(shí)是偽裝的路由器，是為了吸引及挫敗黑客而設(shè)置的。只要插入原來的那只路由器，但不要把它與任何計(jì)算機(jī)連接起來。把該路由器命名為Confidential，不要把SSID隱藏起來，而是要廣播它。

九、采取主動(dòng)。

不要坐以待斃。采用上述方法來保護(hù)貴公司及數(shù)據(jù)、遠(yuǎn)離入侵者。要熟悉你所用路由器的種種選項(xiàng)，并且主動(dòng)設(shè)置到位。

企業(yè)網(wǎng)絡(luò)安全方案2

你不一定非得是系統(tǒng)專家、才能更有效地保護(hù)自己防范黑客。很難阻止黑客訪問像電子信號(hào)這種看不見、摸不著的東西。這就是為什么保護(hù)無線網(wǎng)絡(luò)安全始終頗具挑戰(zhàn)性。如果你的無線網(wǎng)絡(luò)不安全，貴公司及數(shù)據(jù)就面臨很大的風(fēng)險(xiǎn)。那樣，黑客們也許能夠監(jiān)控你訪問了哪些網(wǎng)站，或者查看你與業(yè)務(wù)合作伙伴交換了哪些信息。他們說不定還能登錄到你的網(wǎng)絡(luò)上、訪問你的文件。

雖然無線網(wǎng)絡(luò)一直容易受到黑客入侵，但它們的安全性還是得到了大大增強(qiáng)。下面這些方法旨在幫你提高安全系數(shù)。

一、安裝安全的無線路由器。

這個(gè)設(shè)備把你網(wǎng)絡(luò)上的計(jì)算機(jī)連接到互聯(lián)網(wǎng)。請(qǐng)注意：不是所有路由器都是天生一樣的。至少，路由器需要具有以下三種功能：支持最不容易被的密碼；可以把自己隱藏起來，防止被網(wǎng)絡(luò)外面未經(jīng)授權(quán)、過于好奇的人看見；以及防止任何人通過未經(jīng)授權(quán)的計(jì)算機(jī)進(jìn)入網(wǎng)絡(luò)。本文以BelkinInternational公司生產(chǎn)的路由器為例。它和其他公司生產(chǎn)的’類似路由器廣泛應(yīng)用于如今的網(wǎng)絡(luò)中。它們的設(shè)置過程非常相似。本文推薦的一些方法適用于這類設(shè)備。請(qǐng)注意：款式較老或價(jià)格較低的路由器可能提供不了同樣的功能。

二、選擇安全的路由器名字。

可以使用生產(chǎn)廠商的配置軟件來完成這一步。路由器的名字將作為廣播點(diǎn)，你或試圖連接至路由器廣播區(qū)范圍之內(nèi)的無線網(wǎng)絡(luò)的任何人都看得見它。不要把路由器的品牌名或型號(hào)作為其名字。那樣的話，黑客很容易找出路由器可能存在的安全漏洞。

同樣，如果把你自己的姓名、住址、公司名稱或項(xiàng)目團(tuán)隊(duì)等作為路由器的名字，這無異于幫助黑客猜出你的網(wǎng)絡(luò)密碼。

你可以通過這個(gè)辦法來確保路由器名字的安全：名字完全由隨機(jī)字母和數(shù)字或者不會(huì)透露路由器型號(hào)或你身份的其他任何字符串組成。

企業(yè)網(wǎng)絡(luò)安全方案3

擴(kuò)展型企業(yè)的概念給IT安全組合帶來越來越嚴(yán)峻的問題，因?yàn)樗鼈兊拿舾袛?shù)據(jù)和有價(jià)值的數(shù)據(jù)經(jīng)常會(huì)流出傳統(tǒng)網(wǎng)絡(luò)邊界。為了保護(hù)企業(yè)不受多元化和低端低速可適應(yīng)性的持久威脅，IT企業(yè)正在部署各種各樣的新型網(wǎng)絡(luò)安全設(shè)備：下一代防火墻、IDS與IPS設(shè)備、安全信息事件管理系統(tǒng)和高級(jí)威脅檢測(cè)系統(tǒng)。理想情況下，這些系統(tǒng)將集中管理，遵循一個(gè)集中安全策略，隸屬于一個(gè)普遍保護(hù)戰(zhàn)略。

然而，在部署這些設(shè)備時(shí)，一些企業(yè)的常見錯(cuò)誤會(huì)嚴(yán)重影響他們實(shí)現(xiàn)普遍保護(hù)的能力。本文將介紹在規(guī)劃與部署新型網(wǎng)絡(luò)安全設(shè)備時(shí)需要注意的問題，以及如何避免可能導(dǎo)致深度防御失敗的相關(guān)問題。

不要迷信安全設(shè)備

一個(gè)最大的錯(cuò)誤是假定安全設(shè)備本身是安全的。表面上這似乎很容易理解，但是一定要堅(jiān)持這個(gè)立足點(diǎn)。所謂的”增強(qiáng)”操作系統(tǒng)到底有多安全？它的最新狀態(tài)是怎樣的？它運(yùn)行的”超穩(wěn)定”Web服務(wù)器又有多安全？

在開始任何工作之前，一定要?jiǎng)?chuàng)建一個(gè)測(cè)試計(jì)劃，驗(yàn)證所有網(wǎng)絡(luò)安全設(shè)備都是真正安全的。首先是從一些基礎(chǔ)測(cè)試開始：您是否有在各個(gè)設(shè)備及其支持的網(wǎng)絡(luò)、服務(wù)器和存儲(chǔ)基礎(chǔ)架構(gòu)上按時(shí)升級(jí)、安裝補(bǔ)丁和修復(fù)Bug?在根據(jù)一些記錄當(dāng)前已知漏洞信息的資料交換中心的數(shù)據(jù)進(jìn)行檢查，一定要定期升級(jí)和安裝設(shè)備補(bǔ)丁。

然后，再轉(zhuǎn)到一些更難處理的方面：定期評(píng)估多個(gè)設(shè)備配置的潛在弱點(diǎn)。加密系統(tǒng)和應(yīng)用交付優(yōu)化設(shè)備的部署順序不當(dāng)也會(huì)造成數(shù)據(jù)泄露，即使各個(gè)設(shè)備本身能夠正常工作。這個(gè)過程可以與定期執(zhí)行的滲透測(cè)試一起進(jìn)行。

評(píng)估網(wǎng)絡(luò)安全設(shè)備的使用方式

對(duì)于任意安全設(shè)備而言，管理/控制通道最容易出現(xiàn)漏洞。所以，一定要注意您將要如何配置和修改安全設(shè)備--以及允許誰執(zhí)行這些配置。如果您準(zhǔn)備通過Web瀏覽器訪問一個(gè)安全系統(tǒng)，那么安全設(shè)備將運(yùn)行一個(gè)Web服務(wù)器，并且允許Web流量進(jìn)出。這些流量是否有加密？它是否使用一個(gè)標(biāo)準(zhǔn)端口？所有設(shè)備是否都使用同一個(gè)端口？它是通過一個(gè)普通網(wǎng)絡(luò)連接還是獨(dú)立管理網(wǎng)絡(luò)連接進(jìn)行訪問？如果屬于編內(nèi)連接，那么任何通過這個(gè)接口發(fā)送流量的主機(jī)都可能攻擊這個(gè)設(shè)備。如果它在一個(gè)管理網(wǎng)絡(luò)上，那么至少您只需要擔(dān)心網(wǎng)絡(luò)上的其他設(shè)備。最佳場(chǎng)景是這樣：如果不能直接訪問設(shè)備，則保證所有配置變化都必須使用加密和多因子身份驗(yàn)證。而且，要緊密跟蹤和控制設(shè)備管理的身份信息，保證只有授權(quán)用戶才能獲得管理權(quán)限。

應(yīng)用標(biāo)準(zhǔn)滲透測(cè)試工具

如果您采用了前兩個(gè)步驟，那么現(xiàn)在就有了很好的開始--但是工作還沒做完。hacker、攻擊和威脅載體仍然在不斷地增長(zhǎng)和發(fā)展，而且您必須定期測(cè)試系統(tǒng)，除了修復(fù)漏洞，還要保證它們能夠抵擋已發(fā)現(xiàn)的攻擊。

那么，攻擊與漏洞有什么不同呢？攻擊是一種專門攻破漏洞的有意行為。系統(tǒng)漏洞造成了攻擊可能性，但是攻擊的存在則增加了它的危害性--漏洞暴露從理論變?yōu)楝F(xiàn)實(shí)。

滲透測(cè)試工具和服務(wù)可以檢查出網(wǎng)絡(luò)安全設(shè)備是否容易受到攻擊的破壞。一些開源工具和框架已經(jīng)出現(xiàn)了很長(zhǎng)時(shí)間，其中包括NetworkMapper、Nikto、開放漏洞評(píng)估系統(tǒng)和Metasploit.當(dāng)然,也有很多的商業(yè)工具，如McAfee和Qualys的產(chǎn)品。

這些工具廣泛用于標(biāo)識(shí)網(wǎng)絡(luò)設(shè)備處理網(wǎng)絡(luò)流量的端口；記錄它對(duì)于標(biāo)準(zhǔn)測(cè)試數(shù)據(jù)包的響應(yīng)；以及通過使用OpenVAS和Metasploit測(cè)試它面對(duì)一些常見攻擊的漏洞情況。

其他滲透測(cè)試工具則主要關(guān)注于Web服務(wù)器和應(yīng)用，如OWASPZedAttackProxy和Arachni.通過使用標(biāo)準(zhǔn)工具和技術(shù)，確定安全設(shè)備的漏洞--例如，通過一個(gè)Web管理接口發(fā)起SQL注入攻擊，您就可以更清晰地了解如何保護(hù)網(wǎng)絡(luò)安全設(shè)備本身。

在部署網(wǎng)絡(luò)安全設(shè)備時(shí)降低風(fēng)險(xiǎn)

沒有任何東西是完美的，因此沒有任何一個(gè)系統(tǒng)是毫無漏洞的。在部署和配置新網(wǎng)絡(luò)安全設(shè)備時(shí)，如果沒有應(yīng)用恰當(dāng)?shù)念A(yù)防措施，就可能給環(huán)境帶來風(fēng)險(xiǎn)。采取正確的措施保護(hù)設(shè)備，將保護(hù)基礎(chǔ)架構(gòu)的其他部分，其中包括下面這些經(jīng)常被忽視的常見防范措施：

修改默認(rèn)密碼和帳號(hào)名。

禁用不必要的服務(wù)和帳號(hào)。

保證按照制造商的要求更新底層操作系統(tǒng)和系統(tǒng)軟件。

限制管理網(wǎng)絡(luò)的管理接口訪問；如果無法做到這一點(diǎn)，則要在上游設(shè)備使用ACL