谈到网络安全,大多数人都会想到显而易见的事情。通常包括防火墙、入侵检测和预防系统以及身份和访问管理。虽然这些组件和实践很有帮助,但它们应该被视为基线安全性。除此之外,还有很多大多数人没有想到的事情可以显着提高网络的安全级别。
实施微分段是将网络安全提升到新水平的一种方法。微分段基本上涉及使系统彼此分离并过滤它们之间的流量,以确保它们是安全的并且彼此隔离。这使您可以监管和塑造网络中发生的事情,防止在一个系统中发生的破坏或攻击影响其他系统。
准入控制是微分段的好处之一。当某人可以物理访问网络时,该人很容易插入系统并将其关闭。通过使用802.1X 身份验证来控制对系统的媒体访问控制 (MAC) 地址(即以太网卡的硬件地址)的访问,您可以防止未经授权的用户插入系统。
细分用户是为网络增加一层安全性的另一种策略。通过网络交换,您可以创建称为虚拟 LAN 或 VLAN 的东西,它基本上是网络交换机内部的虚拟交换机。通过创建 VLAN,您可以隔离不需要相互通信的用户。
例如,VLAN 允许您专门为 HR 团队创建一个网络,为会计团队创建另一个网络,为系统管理员创建另一个网络,所有这些都在同一个系统上。为了离开他们的专用 VLAN,用户需要通过路由器。一旦涉及路由器,您就可以利用访问控制列表和其他安全过滤。 VLAN 允许您对系统进行微分段,以确保一个系统无法连接到另一个系统。
为了实现更多控制,可以设置专用 VLAN。虽然 VLAN 保持网络分离,但每个 VLAN 上可能有许多服务器。如果有 15 台服务器插入一个 VLAN,那么所有这些服务器都可以相互通信。如果一个人感染了蠕虫或病毒,VLAN 上的其他服务器就会被感染。建立专用 VLAN 可防止这些服务器进行通信,从而防止攻击蔓延。
将 TCP IP 堆栈向上移动到 IP 级别为提高网络安全性提供了其他机会。例如,通过像防火墙规则一样创建访问控制列表,它会查看源地址、目标地址、协议和端口号,您可以创建过滤器来限制可以在子网之间移动的流量。将该控制列表添加到路由器会限制位于不同子网的用户无限制地访问网络。
速率限制是可以在此级别实施的另一种安全工具。例如,想象一下,您有一个带有 100GB 网络的系统感染了蠕虫病毒。该蠕虫实际上可以将 100GB 的网络流量喷射到网络中,这可能造成严重破坏并导致系统崩溃。速率限制可防止流量超过预定义的数量。在蠕虫的示例中,增加的流量会违反网络标准并被丢弃,从而避免危机和代价高昂的崩溃。
最后,服务质量 (QoS) 或流量优先级可用于增强网络的安全性。如果系统被黑客入侵或感染了蠕虫或病毒,从理论上讲,攻击可能会使网络流量不堪重负并禁用关键网络功能。这可以通过启用 QoS(有时称为排队机制)将一种类型的流量优先于另一种类型的流量来防止网络端发生这种情况。例如,它可以确保网络可用性优先用于语音流量和某些关键应用程序流量,同时降低其他一切的优先级。本质上,QoS 通过确保关键流量继续通过来击败蠕虫。
谈到网络攻击,公司一定会问:“什么时候会发生?”而不是“会发生吗?” 2021 年的统计数据显示,每 39 秒就有一家公司成为网络攻击的受害者。击退攻击并限制其损害需要的不仅仅是基线安全性。应用大多数公司没有考虑的保护措施可能是确保公司安全的步骤。