信息安全手冊之網(wǎng)絡指南

網(wǎng)絡設(shè)計和配置網(wǎng)絡文檔

網(wǎng)絡文檔準確描述網(wǎng)絡的當前狀態(tài)非常重要。這通常包括網(wǎng)絡設(shè)備，如防火墻、數(shù)據(jù)二極管、入侵檢測和防御系統(tǒng)、路由器、交換機以及關(guān)鍵服務器和服務。此外，由于該文檔可能被對手用來協(xié)助破壞網(wǎng)絡，因此必須對其進行適當?shù)谋Ｗo。

網(wǎng)絡文檔包括一個高級網(wǎng)絡圖，顯示進入網(wǎng)絡的所有連接;顯示所有網(wǎng)絡設(shè)備、關(guān)鍵服務器和服務的邏輯網(wǎng)絡圖;和所有網(wǎng)絡設(shè)備的配置一樣。

網(wǎng)絡文檔在進行網(wǎng)絡配置更改時會更新，并包括"截至 [日期] 的當前狀態(tài)"或等效語句。

提供給第三方或在公開招標文件中發(fā)布的網(wǎng)絡文件僅包含其他方進行合同服務所需的詳細信息。

網(wǎng)絡分段和隔離

網(wǎng)絡分段和隔離是最有效的安全控制措施之一，可防止攻擊者在獲得初始訪問權(quán)限后通過網(wǎng)絡傳播并訪問目標數(shù)據(jù)。強制實施網(wǎng)絡分段和隔離的技術(shù)還包含日志記錄功能，這些功能對于檢測入侵以及在發(fā)生危害時將受感染的設(shè)備與網(wǎng)絡的其余部分隔離起來非常有價值。

網(wǎng)絡分段和隔離涉及將網(wǎng)絡分隔為多個功能網(wǎng)絡區(qū)域，以保護重要數(shù)據(jù)和關(guān)鍵服務。例如，一個網(wǎng)絡區(qū)域可能包含用戶工作站，而另一個網(wǎng)絡區(qū)域包含身份驗證服務器。網(wǎng)絡分段和隔離還有助于創(chuàng)建和維護網(wǎng)絡訪問控制列表。

網(wǎng)絡根據(jù)數(shù)據(jù)或服務的敏感性或關(guān)鍵性分為多個功能網(wǎng)絡區(qū)域。

組織網(wǎng)絡與服務提供商進行網(wǎng)絡隔離。

使用虛擬局域網(wǎng)使用互聯(lián)網(wǎng)協(xié)議版本 6

互聯(lián)網(wǎng)協(xié)議版本 6 （IPv6） 功能可能會給網(wǎng)絡帶來額外的安全風險。因此，使用基于 Internet 協(xié)議版本 4 （IPv4） 的網(wǎng)絡的組織應禁用 IPv6 功能，直到該功能旨在用于幫助大限度地減少網(wǎng)絡的攻擊面，并確保任何不打算使用的 IPv6 功能都不會被利用。

為了幫助從IPv4過渡到IPv6，已經(jīng)開發(fā)了許多隧道協(xié)議，旨在允許協(xié)議之間的互操作性。在未明確要求此類功能的網(wǎng)絡設(shè)備和 ICT 設(shè)備上禁用 IPv6 隧道協(xié)議，將防止對手通過將 IPv6 數(shù)據(jù)封裝在 IPv4 數(shù)據(jù)包中來繞過傳統(tǒng)的網(wǎng)絡防御。

無狀態(tài)地址自動配置 （SLAAC） 是 IPv6 網(wǎng)絡中無狀態(tài)互聯(lián)網(wǎng)協(xié)議 （IP） 地址配置的一種方法。SLAAC 降低了組織在網(wǎng)絡上維護 IP 地址分配的有效日志的能力。因此，應避免無狀態(tài) IP 尋址。

除非正在使用 IPv6 功能，否則在雙棧網(wǎng)絡設(shè)備和 ICT 設(shè)備中禁用 IPv6 功能。

支持 IPv6 的網(wǎng)絡安全設(shè)備用于 IPv6 和雙棧網(wǎng)絡。

除非明確要求，否則將在所有網(wǎng)絡設(shè)備和 ICT 設(shè)備上禁用 IPv6 隧道。

IPv6 隧道被外部連接的網(wǎng)絡邊界處的網(wǎng)絡安全設(shè)備阻止。

動態(tài)分配的 IPv6 地址以有狀態(tài)方式使用動態(tài)主機配置協(xié)議版本 6 進行配置，租約數(shù)據(jù)存儲在集中式日志記錄工具中。

網(wǎng)絡訪問控制

如果攻擊者連接到網(wǎng)絡的機會有限，則他們破壞該網(wǎng)絡的機會有限。網(wǎng)絡訪問控制不僅可以防止未經(jīng)授權(quán)訪問網(wǎng)絡，還可以防止用戶不小心將網(wǎng)絡連接到另一個網(wǎng)絡。

網(wǎng)絡訪問控制在為需要知道或限制網(wǎng)段之間的數(shù)據(jù)流的特定用戶隔離數(shù)據(jù)時也很有用。例如，可以允許工作站和用于管理目的的系統(tǒng)之間的計算機管理流量，但不允許在標準用戶工作站之間傳輸計算機管理流量。

在網(wǎng)絡上實施網(wǎng)絡訪問控制，以防止連接未經(jīng)授權(quán)的網(wǎng)絡設(shè)備。

實施網(wǎng)絡訪問控制是為了將網(wǎng)段內(nèi)和網(wǎng)段之間的流量限制為實現(xiàn)業(yè)務目的所需的流量。

網(wǎng)絡設(shè)備寄存器

維護并定期審核授權(quán)網(wǎng)絡設(shè)備的登記冊有助于確定網(wǎng)絡上或直接連接到工作站的設(shè)備（如交換機、路由器、無線接入點和互聯(lián)網(wǎng)加密狗）是否為惡意設(shè)備。使用自動發(fā)現(xiàn)和映射工具可以幫助完成此過程。

維護網(wǎng)絡設(shè)備寄存器并定期審核。

網(wǎng)絡設(shè)備的默認賬戶

網(wǎng)絡設(shè)備可以使用默認憑據(jù)預先配置。例如，具有名為"admin"的管理員帳戶和"admin"或"密碼"密碼的無線訪問點。確保禁用、重命名或更改其密碼短語有助于降低攻擊者利用默認帳戶的可能性。

網(wǎng)絡設(shè)備的默認賬戶將被禁用、重命名或更改其密碼。

禁用網(wǎng)絡設(shè)備上未使用的物理端口

禁用網(wǎng)絡設(shè)備（如交換機、路由器和無線接入點）上未使用的物理端口可減少攻擊者連接到網(wǎng)絡的機會（如果他們可以獲得對網(wǎng)絡設(shè)備的物理訪問權(quán)限）。

網(wǎng)絡設(shè)備上未使用的物理端口將被禁用。

服務器之間的功能分離

在服務器之間實現(xiàn)功能分離可以降低被對手破壞的服務器對其他服務器構(gòu)成安全風險的安全風險。

服務器與其他服務器保持有效的功能分離，允許它們獨立運行。

服務器在網(wǎng)絡和文件系統(tǒng)級別大限度地減少與其他服務器的通信。

管理流量

實施專門針對管理流量的安全措施可在攻擊者找到連接到該網(wǎng)絡的機會時在網(wǎng)絡上提供另一層防御。這也使得攻擊者更難枚舉網(wǎng)絡。

實施安全措施以防止未經(jīng)授權(quán)訪問網(wǎng)絡管理流量。

使用簡單的網(wǎng)絡管理協(xié)議

簡單網(wǎng)絡管理協(xié)議 （SNMP） 可用于監(jiān)視交換機、路由器和無線接入點等網(wǎng)絡設(shè)備的狀態(tài)。SNMP 的前兩次迭代本質(zhì)上是不安全的，因為它們使用了簡單的身份驗證方法。此外，強烈建議更改網(wǎng)絡設(shè)備上的所有默認 SNMP 社區(qū)字符串，并將訪問限制為只讀訪問。

SNMP 版本 1 和 2 不在網(wǎng)絡上使用。

網(wǎng)絡設(shè)備上的所有默認 SNMP 團體字符串都將更改并禁用寫入訪問權(quán)限。

使用基于網(wǎng)絡的入侵檢測和防御系統(tǒng)

基于網(wǎng)絡的入侵檢測系統(tǒng) （NIDS） 或基于網(wǎng)絡的入侵防御系統(tǒng) （NIPS） 如果配置正確并得到適當進程和資源的支持，則可以成為識別和響應已知入侵配置文件的有效方法。

此外，為違反防火墻規(guī)則集中任何規(guī)則的數(shù)據(jù)流生成警報可以幫助安全人員響應由于防火墻故障或配置更改而進入網(wǎng)絡的可疑或惡意流量。

NIDS 或 NIPS 部署在組織網(wǎng)絡與其不管理的其他網(wǎng)絡之間的所有網(wǎng)關(guān)中。

網(wǎng)關(guān)中的 NIDS 或NIPS位于最外層的防火墻內(nèi)，并配置為為違反防火墻規(guī)則集中任何規(guī)則的任何數(shù)據(jù)流生成日志條目和警報。

在非互聯(lián)網(wǎng)網(wǎng)關(guān)中部署NIDS或NIPS時，它們被配置為監(jiān)控異常的行為模式或流量，而不是基于互聯(lián)網(wǎng)的通信協(xié)議簽名。

阻止匿名網(wǎng)絡流量

從匿名網(wǎng)絡（如Tor，Tor2web和I2P）到組織面向互聯(lián)網(wǎng)的服務的入站網(wǎng)絡連接可以被對手用于偵察和惡意軟件交付目的，同時將檢測和歸因風險降至最低。因此，應阻止此流量，前提是它不會對合法用戶的可訪問性產(chǎn)生重大影響。例如，某些組織可能會選擇支持與其網(wǎng)站的匿名連接，以滿足出于隱私原因希望保持匿名的個人的需求。在這種情況下，建議記錄和監(jiān)控來自匿名網(wǎng)絡的流量。此外，惡意軟件可能會將與匿名網(wǎng)絡的出站網(wǎng)絡連接用于命令和控制或數(shù)據(jù)泄露，并且應該阻止它們，因為它們很少具有合法的業(yè)務用途。

從匿名網(wǎng)絡到面向 Internet 的服務的入站網(wǎng)絡連接將被阻止。

與匿名網(wǎng)絡的出站網(wǎng)絡連接被阻止。

無線網(wǎng)絡選擇無線設(shè)備

已通過 Wi-Fi 聯(lián)盟認證計劃認證的無線設(shè)備可為組織提供符合無線標準的保證。部署保證可與其他無線設(shè)備互操作的無線設(shè)備將防止無線網(wǎng)絡出現(xiàn)問題。

所有無線設(shè)備均通過 Wi-Fi 聯(lián)盟認證。

用于公共訪問的無線網(wǎng)絡

當組織為公眾提供無線網(wǎng)絡時，將此類無線網(wǎng)絡連接到任何其他網(wǎng)絡或與之共享基礎(chǔ)設(shè)施，為攻擊者創(chuàng)建一個額外的入口點，以針對連接的網(wǎng)絡來竊取數(shù)據(jù)或中斷服務。

提供給公眾訪問的無線網(wǎng)絡與所有其他網(wǎng)絡隔離。

無線接入點的管理界面

管理界面允許用戶修改無線接入點的配置和安全設(shè)置。默認情況下，無線接入點通常允許用戶通過固定網(wǎng)絡連接、無線網(wǎng)絡連接和串行連接等方法訪問管理界面。禁用無線接入點上無線網(wǎng)絡連接的管理界面將有助于防止未經(jīng)授權(quán)的連接。

無線接入點上的管理界面對于無線網(wǎng)絡連接處于禁用狀態(tài)。

默認設(shè)置

某些無線訪問點和無線設(shè)備附帶默認的服務集標識符 （SSID） 和/或弱默認配置設(shè)置。由于無線訪問點的默認 SSID 通常記錄在 Internet 論壇中，以及默認帳戶和密碼短語中，因此更改無線訪問點的默認 SSID 以及所有無線設(shè)備的默認密碼和弱配置設(shè)置非常重要。

更改默認 SSID 時，重要的是新的 SSID 不會對組織的無線網(wǎng)絡造成過度關(guān)注。在這樣做時，無線網(wǎng)絡的SSID不應輕易與組織，其場所的位置或無線網(wǎng)絡的功能相關(guān)聯(lián)。

通常建議降低無線網(wǎng)絡配置文件的一種方法是禁用 SSID 廣播。雖然這確保了無線網(wǎng)絡的存在不會使用信標幀公開廣播，但SSID仍然在探測請求，探測響應，關(guān)聯(lián)請求和重新關(guān)聯(lián)請求中廣播。因此，通過捕獲這些請求和響應，很容易確定無線網(wǎng)絡的 SSID。通過禁用SSID廣播，組織將使用戶更難以連接到無線網(wǎng)絡。此外，攻擊者可以配置惡意無線訪問點，以廣播與合法無線網(wǎng)絡使用的隱藏SSID相同的SSID，從而欺騙用戶或設(shè)備自動連接到對手的惡意無線訪問點。在此過程中，攻擊者可以竊取身份驗證憑據(jù)，以便訪問合法的無線網(wǎng)絡。出于這些原因，建議組織啟用 SSID 廣播。

更改了無線訪問點的默認 SSID。

非公共無線網(wǎng)絡的 SSID 不容易與組織、其場所的位置或無線網(wǎng)絡的功能相關(guān)聯(lián)。

在無線網(wǎng)絡上啟用 SSID 廣播。

更改無線設(shè)備的默認帳戶和密碼。

無線設(shè)備的配置設(shè)置已強化。

靜態(tài)尋址

為訪問無線網(wǎng)絡的設(shè)備分配靜態(tài) IP 地址可以防止在連接到無線網(wǎng)絡時為惡意設(shè)備分配可路由的 IP 地址。但是，某些對手將能夠確定合法用戶的 IP 地址，并使用此信息來猜測或欺騙無線網(wǎng)絡的有效 IP 地址范圍。將設(shè)備配置為使用靜態(tài) IP 地址會帶來管理開銷，而不會帶來任何明顯的安全優(yōu)勢。

靜態(tài)尋址不用于在無線網(wǎng)絡上分配IP地址。

媒體訪問控制地址篩選

連接到無線網(wǎng)絡的設(shè)備通常具有唯一的媒體訪問控制 （MAC） 地址。因此，可以在無線訪問點上使用 MAC 地址篩選來限制哪些設(shè)備可以連接到無線網(wǎng)絡。雖然此方法會帶來管理開銷，但它可以防止惡意設(shè)備連接到無線網(wǎng)絡。但是，某些對手將能夠確定已在無線網(wǎng)絡上的合法用戶的有效 MAC 地址。然后，攻擊者可以使用此信息來欺騙有效的 MAC 地址并訪問無線網(wǎng)絡。MAC 地址篩選會帶來管理開銷，但沒有任何明顯的安全優(yōu)勢。

MAC 地址篩選不用于限制哪些設(shè)備可以連接到無線網(wǎng)絡。

無線網(wǎng)絡流量的機密性和完整性

由于無線網(wǎng)絡通常能夠從安全空間外圍訪問，因此所有無線網(wǎng)絡流量都需要適當?shù)募用鼙Ｗo。為此，建議使用 Wi-Fi 保護訪問 3 （WPA3），因為它提供與其前身 Wi-Fi 保護訪問 2 （WPA2） 相當或更高的安全性。WPA3還禁止使用各種過時和不安全的密碼套件。

WPA3-Enterprise 支持三種企業(yè)操作模式：僅企業(yè)模式、轉(zhuǎn)換模式和 192 位模式。選 WPA3-Enterprise 192 位模式，因為此模式包含滿足商業(yè)國家安全算法套件要求的更改，并確保不使用具有已知弱點的算法。但是，如果使用任何其他 WPA3-企業(yè)模式，則應禁用身份驗證和密鑰管理套件 00-0F-AC：1（如果此選項可用）。

WPA3-Enterprise 192 位模式用于保護所有無線網(wǎng)絡流量的機密性和完整性。

802.1X 身份驗證

WPA3-Enterprise 使用 802.1X 身份驗證，這需要使用可擴展身份驗證協(xié)議 （EAP）。WPA2 和 WPA3 都支持許多 EAP 方法。

可擴展身份驗證協(xié)議傳輸層安全性 （EAP-TLS） 被認為是最安全的 EAP 方法之一，并得到廣泛支持。它使用公鑰基礎(chǔ)結(jié)構(gòu)通過使用 X.509 證書來保護設(shè)備與遠程訪問撥入用戶服務 （RADIUS） 服務器之間的通信。雖然 EAP-TLS 提供強大的相互身份驗證，但它要求組織已建立公鑰基礎(chǔ)結(jié)構(gòu)。這涉及為訪問無線網(wǎng)絡的每個設(shè)備部署自己的證書頒發(fā)機構(gòu)和頒發(fā)證書，或從商業(yè)證書頒發(fā)機構(gòu)購買證書。雖然這會帶來額外的成本和管理開銷，但安全優(yōu)勢非常顯著。

使用 EAP-TLS 的 802.1X 身份驗證，使用 X.509 證書，用于相互身份驗證;在請求和身份驗證服務器上禁用所有其他 EAP 方法。

如果可用于 EAP-TLS 實現(xiàn)，則使用用戶標識機密性。

評估 802.1X 身份驗證實現(xiàn)

802.1X 身份驗證的安全性取決于四個主要元素以及它們之間的交互方式。這四個元素包括請求方、身份驗證器、無線接入點和身份驗證服務器。為確保這些要素已正確實施，它們應已完成評估。

在無線網(wǎng)絡中使用已評估的請求方、身份驗證器、無線訪問點和身份驗證服務器。

生成和頒發(fā)用于身份驗證的證書

向設(shè)備頒發(fā)證書以訪問無線網(wǎng)絡時，組織應注意該證書可能被惡意代碼竊取。一旦遭到入侵，該證書可以在其他設(shè)備上使用，以未經(jīng)授權(quán)訪問其頒發(fā)的無線網(wǎng)絡。組織還應該意識到，在僅向設(shè)備頒發(fā)證書時，用戶執(zhí)行的任何操作將僅歸因于設(shè)備，而不是特定用戶。

向用戶頒發(fā)證書以訪問無線網(wǎng)絡時，證書的形式可以是存儲在設(shè)備上的證書或存儲在智能卡中的證書。在智能卡上頒發(fā)證書可提高安全性，但成本更高。具體而言，用戶更有可能注意到缺少智能卡并提醒其安全團隊，然后安全團隊能夠吊銷 RADIUS 服務器上的憑據(jù)，從而大限度地減少對手訪問無線網(wǎng)絡的時間。此外，為了降低被盜智能卡被用于未經(jīng)授權(quán)訪問無線網(wǎng)絡的可能性，可以通過在智能卡上使用個人識別碼來實現(xiàn)多因素身份驗證。當智能卡授予用戶任何形式的管理訪問權(quán)限時，這一點尤其重要。

證書是使用評估的證書頒發(fā)機構(gòu)解決方案或硬件安全模塊生成的。

訪問無線網(wǎng)絡的設(shè)備和用戶都需要 Certificate。

Certificate受加密、用戶身份驗證以及邏輯和物理訪問控制的保護。

緩存 802.1X 身份驗證結(jié)果

使用 802.1X 身份驗證時，在成功對設(shè)備進行身份驗證后，將生成稱為成對主密鑰 （PMK） 的共享密鑰。然后，可以緩存此 PMK，以幫助在無線接入點之間快速漫游。當設(shè)備從已通過身份驗證的無線訪問點漫游時，如果設(shè)備在緩存的 PMK 保持有效的情況下漫游回去，則無需執(zhí)行完全重新身份驗證。為了進一步協(xié)助漫游，可以將無線訪問點配置為將設(shè)備預先驗證到設(shè)備可能漫游到的其他相鄰無線訪問點。盡管每次設(shè)備在無線接入點之間漫游時都要求對其進行完全身份驗證是理想的，但如果組織有快速漫游的業(yè)務需求，則可以選擇使用 PMK 緩存和預身份驗證。如果使用 PMK 緩存，則 PMK 緩存周期不應設(shè)置為大于 1440 分鐘（24 小時）。

PMK緩存周期未設(shè)置為大于1440分鐘（24 小時）。

快速基本服務集轉(zhuǎn)換

WPA3 標準指定支持快速基本服務集轉(zhuǎn)換 （FT） （802.11r）。FT 是一項功能，旨在提高用戶移動性并消除因需要對每個無線接入點進行身份驗證而引入的滯后。但是，F(xiàn)T 要求身份驗證器請求密鑰并將其發(fā)送到安全域中的其他身份驗證器。如果截獲了這些密鑰中的任何一個，則所有安全屬性都將丟失。因此，必須適當保護通信。因此，F(xiàn)T 應禁用，除非可以確認身份驗證器與身份驗證器之間的通信由適當?shù)?ASD 批準的加密協(xié)議保護，該協(xié)議提供機密性、完整性和相互身份驗證。

除非身份驗證器與身份驗證器之間的通信受 ASD 批準的加密協(xié)議保護，否則將禁用 FT （802.11r）的使用。

遠程身份驗證撥入用戶服務身份驗證

與 802.1X 身份驗證過程不同的是身份驗證器和 RADIUS 服務器之間發(fā)生的 RADIUS 身份驗證過程。RADIUS是所謂的身份驗證，授權(quán)和記帳協(xié)議，旨在調(diào)解網(wǎng)絡訪問。但是，RADIUS 不夠安全，無法在沒有保護的情況下使用。為了保護身份驗證器和 RADIUS 服務器之間通信的憑據(jù)，通信應使用附加加密層進行封裝，例如 RADIUS over Internet Protocol Security 或 RADIUS over Transport Layer Security。

身份驗證器和 RADIUS 服務器之間的通信使用 RADIUS over Internet Protocol Security或 RADIUS over Transport Layer Security 進行額外的加密層進行封裝。

無線網(wǎng)絡之間的干擾

如果多個無線網(wǎng)絡部署在近距離，則可能會發(fā)生干擾，從而影響無線網(wǎng)絡的可用性，尤其是在常用的 802.11b/g （2.4 GHz） 默認信道 1 和 11 上運行時。通過使用頻率分離來充分分離無線網(wǎng)絡有助于降低這種安全風險。這可以通過使用配置為在最小化重疊頻率的信道上運行的無線網(wǎng)絡，或者通過同時使用802.11b/g（2.4 GHz）信道和802.11n（5 GHz）信道來實現(xiàn)。但需要注意的是，如果混合使用 2.4 GHz 和 5 GHz 信道，并非所有設(shè)備都與 802.11n 兼容并能夠連接到 5 GHz 信道。

無線網(wǎng)絡實現(xiàn)了與其他無線網(wǎng)絡的充分頻率分離。

保護無線網(wǎng)絡上的管理框架

通過使用廉價的商業(yè)硬件利用不受保護的管理框架，可以執(zhí)行有效的拒絕服務。802.11 標準不為管理框架提供任何保護，因此不能防止欺騙或拒絕服務活動。但是，802.11w修正案專門針對無線網(wǎng)絡上管理幀的保護，應為WPA2啟用，在WPA3中，此功能內(nèi)置于標準中。

無線接入點允許使用 802.11w 修正案來保護管理框架。

無線網(wǎng)絡占用空間

與其部署少量以高功率廣播的無線接入點，不如部署更多使用較少廣播功率的無線接入點，以實現(xiàn)所需的占用空間。這樣做的好處是在無線接入點無法使用時提供服務連續(xù)性。在這種情況下，可以增加附近無線接入點的輸出功率以覆蓋占用空間間隙，直到可以更換無法使用的無線接入點。

除了大限度地減少無線接入點的輸出功率以減少無線網(wǎng)絡的占地面積外，還可以將射頻（RF）屏蔽用于組織的設(shè)施。雖然價格昂貴，但這會將無線通信限制在組織控制的區(qū)域。組織設(shè)施上的射頻屏蔽具有防止無線網(wǎng)絡從運行的設(shè)施外部干擾無線網(wǎng)絡的額外好處。

不是部署少量以高功率廣播的無線接入點，而是部署更多使用較少廣播功率的無線接入點以實現(xiàn)所需的占用空間。

在組織控制區(qū)域之外的無線通信的有效范圍受到在使用秘密或最高機密無線網(wǎng)絡的設(shè)施上實施RF屏蔽的限制。

在線服務的服務連續(xù)性基于云的在線服務托管

使用云服務提供商可以允許組織構(gòu)建高度彈性的在線服務，因為云提供商增加了計算資源，帶寬和多個單獨的物理站點。組織可以使用自己的基礎(chǔ)架構(gòu)實現(xiàn)相同的結(jié)果;但是，這可能需要大量的前期成本，并且仍可能導致動態(tài)擴展以滿足不斷增長的需求的能力有限。在發(fā)生拒絕服務攻擊的情況下，基于云的托管還可以提供與自托管或其他云托管服務的隔離，以確保其他系統(tǒng)（如電子郵件服務）不受影響。

云服務提供商用于托管在線服務。

在線服務的位置策略

使用云服務提供商時，組織需要考慮是否應將其數(shù)據(jù)鎖定到特定區(qū)域或可用性區(qū)域。在這樣做的過程中，指定鎖定策略的組織將期望其數(shù)據(jù)不會被云服務提供商重新定位到不同的區(qū)域或可用性區(qū)域。

云服務提供商會通知組織有關(guān)在線服務的已配置區(qū)域或可用性區(qū)域的任何更改。

在線服務的可用性規(guī)劃和監(jiān)控

重要的是，組織與其云服務提供商之間的連接必須滿足組織對帶寬、延遲和可靠性的要求。為了支持這一點，組織和云服務提供商應討論并記錄任何特定的網(wǎng)絡要求、性能特征或?qū)捎眯怨收系挠媱濏憫?，尤其是在存在高可用性要求的情況下。這包括組織和云服務提供商之間的網(wǎng)絡連接是否將使用專用通信鏈路或通過 Internet 進行連接，以及如果主通信鏈路不可用，任何輔助通信鏈路是否將提供足夠的容量來維持操作要求。

此外，應執(zhí)行容量監(jiān)視，以便管理工作負荷并監(jiān)視聯(lián)機服務的運行狀況。這可以通過連續(xù)和實時監(jiān)控延遲、抖動、數(shù)據(jù)包丟失、吞吐量和可用性等指標來實現(xiàn)。此外，當性能不符合服務級別協(xié)議目標時，應向云服務提供商提供反饋。為此，可以通過集成到安全監(jiān)視工具中的網(wǎng)絡遙測來執(zhí)行異常檢測。

云服務提供商由于真正的需求高峰或拒絕服務攻擊而動態(tài)擴展資源的能力作為在線服務容量規(guī)劃過程的一部分進行測試。

如果存在聯(lián)機服務的高可用性要求，則服務設(shè)計為在可用性區(qū)域之間自動轉(zhuǎn)換。

如果聯(lián)機服務存在高可用性要求，則使用拒絕服務緩解服務。

組織對在線服務的可用性進行持續(xù)的實時監(jiān)控。

使用內(nèi)容交付網(wǎng)絡

與基于云的托管類似，使用內(nèi)容交付網(wǎng)絡 （CDN） 和拒絕服務緩解服務可以使組織通過利用 CDN 和拒絕服務緩解服務提供商提供的大帶寬、地理位置分散的托管位置、流量清理和其他安全控制來創(chuàng)建高彈性的在線服務。

在提供靜態(tài)、帶寬密集型媒體（如圖像、聲音或視頻文件）時，使用 CDN 特別有效。但是，CDN 提供的服務可以包含的基本內(nèi)容托管，例如 Web 響應緩存、負載平衡、Web 應用程序安全控制或拒絕服務緩解措施。

在配置使用 CDN 或拒絕服務緩解服務時應小心謹慎，以確保對手無法識別組織的 Web 服務器的 IP 地址，因為這可能會繞過保護。此外，應應用適當?shù)木W(wǎng)絡安全控制，以僅允許組織的服務器、CDN 或拒絕服務緩解服務提供商與授權(quán)管理環(huán)境之間的通信。

如果網(wǎng)站托管存在高可用性要求，則使用緩存網(wǎng)站的 CDN。

如果使用CDN，則避免泄露組織控制下的Web服務器（稱為源服務器）的 IP 地址，并且對源服務器的訪問僅限于CDN和授權(quán)管理網(wǎng)絡。

拒絕服務策略

拒絕服務攻擊旨在破壞或降低網(wǎng)站、電子郵件和域名系統(tǒng)服務等在線服務。為了實現(xiàn)這一目標，攻擊者可能會使用多種方法來拒絕合法用戶訪問在線服務：

1.使用多臺計算機將大量不需要的網(wǎng)絡流量定向到聯(lián)機服務，以嘗試消耗所有可用的網(wǎng)絡帶寬

2.使用多臺計算機將定制流量定向到在線服務，試圖消耗在線服務的處理資源

3.劫持在線服務，試圖將合法用戶從這些服務重定向到對手控制的其他服務。

雖然組織無法避免成為拒絕服務攻擊的目標，但他們可以實施許多措施來準備并可能減少目標的影響。這包括與其云服務提供商合作，以確定可能可供使用的拒絕服務檢測技術(shù)。例如，實時容量報告儀表板根據(jù)組織定義的閾值提供帶外和實時警報，可幫助快速識別拒絕服務攻擊。此外，并非組織提供的所有在線服務或功能都可能是關(guān)鍵業(yè)務。了解哪些服務可以通過減少功能，取消優(yōu)先級，禁用或沒有服務來提供，可以幫助組織減少或消除對其他更重要服務的影響，或者釋放資源以首先響應更關(guān)鍵的服務。

總體而言，在拒絕服務攻擊發(fā)生之前為它們做好準備是迄今為止最好的策略，因為一旦它們開始就很難做出反應，并且現(xiàn)階段的努力不太可能有效。

與云服務提供商討論了拒絕服務攻擊的預防和緩解策略，具體而言：

1.它們抵御拒絕服務攻擊的能力

2.拒絕服務攻擊可能產(chǎn)生的任何費用

3.拒絕服務攻擊通知的閾值

4.在拒絕服務攻擊期間關(guān)閉在線服務的閾值

5.在拒絕服務攻擊期間可以執(zhí)行的預先批準的操作

6.與上游服務提供商的拒絕服務攻擊防御安排，以盡可能在上游阻止惡意流量。

確定并記錄聯(lián)機服務的功能和質(zhì)量、如何維護此類功能以及在拒絕服務攻擊期間可以不使用哪些功能。

域名注冊商鎖定

使用域名注冊商鎖定可以防止因未經(jīng)授權(quán)刪除或轉(zhuǎn)讓域名，或?qū)τ蛎栽敿毿畔⑦M行其他未經(jīng)授權(quán)的修改而導致的拒絕服務。

在線服務的域名通過注冊商鎖定進行保護，并確認域名注冊詳細信息是否正確。

通過實時警報監(jiān)控在線服務

組織應通過實時警報對在線服務執(zhí)行自動監(jiān)控，以確保盡快檢測到并響應拒絕服務攻擊。

對在線服務實施具有實時警報的可用性監(jiān)視，以檢測拒絕服務攻擊并衡量其影響。

關(guān)鍵在線服務的隔離

拒絕服務攻擊通常集中在高度可見的在線服務上，例如組織的核心網(wǎng)站，以便產(chǎn)生公眾明顯的影響。通過隔離在線服務（例如，具有一個用于電子郵件和互聯(lián)網(wǎng)訪問的互聯(lián)網(wǎng)連接以及用于Web托管服務的單獨連接），拒絕服務攻擊的影響可以僅限于目標服務。

關(guān)鍵在線服務與更有可能成為目標的其他在線服務隔離開來。

為服務連續(xù)性做準備

根據(jù)拒絕服務攻擊的性質(zhì)，用最小的靜態(tài)版本替換功能齊全的網(wǎng)站可以幫助提供原本不可能提供的服務級別。

由于數(shù)據(jù)庫集成或存在大型媒體文件（如高分辨率圖像或視頻），組織的標準全功能網(wǎng)站可能具有更高的處理或資源需求。這些額外的資源要求可能會使網(wǎng)站更容易受到拒絕服務攻擊。

網(wǎng)站的靜態(tài)版本是預先準備的，需要最少的處理和帶寬，以便在遭受拒絕服務攻擊時至少提供基本級別的服務。

非常感謝您讀完創(chuàng)新互聯(lián)的這篇文章："信息安全手冊之網(wǎng)絡指南"，僅為提供更多信息供用戶參考使用或為學習交流的方便。我們公司提供：網(wǎng)站建設(shè)、網(wǎng)站制作、官網(wǎng)建設(shè)、SEO優(yōu)化、小程序制作等服務，歡迎聯(lián)系我們提供您的需求。

新聞標題：信息安全手冊之網(wǎng)絡指南
URL網(wǎng)址：http://www.bm7419.com/news15/310315.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供網(wǎng)站建設(shè)、做網(wǎng)站、響應式網(wǎng)站、網(wǎng)頁設(shè)計公司、網(wǎng)站設(shè)計、手機網(wǎng)站建設(shè)

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時需注明來源： 創(chuàng)新互聯(lián)