问答文章1 问答文章501 问答文章1001 问答文章1501 问答文章2001 问答文章2501 问答文章3001 问答文章3501 问答文章4001 问答文章4501 问答文章5001 问答文章5501 问答文章6001 问答文章6501 问答文章7001 问答文章7501 问答文章8001 问答文章8501 问答文章9001 问答文章9501

怎么能保证企业内网安全?

发布网友 发布时间:2022-04-20 02:36

我来回答

1个回答

热心网友 时间:2023-07-08 21:20

  内网是网路应用中的一个主要组成部分,其安全性也受到越来越多的重视。下面是我收集整理的,希望对大家有帮助~~

  

  对于大多数企业区域网来说,路由器已经成为正在使用之中的最重要的安全装置之一。一般来说,大多数网路都有一个主要的接入点。这就是通常与专用防火墙一起使用的“边界路由器”。

  经过恰当的设定,边缘路由器能够把几乎所有的最顽固的坏分子挡在网路之外。如果你愿意的话,这种路由器还能够让好人进入网路。不过,没有恰当设定的路由器只是比根本就没有安全措施稍微好一点。

  在下列指南中,我们将研究一下你可以用来保护网路安全的9个方便的步骤。这些步骤能够保证你拥有一道保护你的网路的砖墙,而不是一个敞开的大门。

  1.修改预设的口令!

  据国外调查显示,80%的安全突破事件是由薄弱的口令引起的。网路上有大多数路由器的广泛的预设口令列表。你可以肯定在某些地方的某个人会知道你的生日。SecurityStats网站维护一个详尽的可用/不可用口令列表,以及一个口令的可靠性测试。

  2.关闭IP直接广播***IP Directed Broadcast***

  你的伺服器是很听话的。让它做什么它就做什么,而且不管是谁发出的指令。Smurf攻击是一种拒绝服务攻击。在这种攻击中,攻击者使用假冒的源地址向你的网路广播地址传送一个“ICMP echo”请求。这要求所有的主机对这个广播请求做出回应。这种情况至少会降低你的网路效能。

  参考你的路由器资讯档案,了解如何关闭IP直接广播。例如,“Central***config***#no ip source-route”这个指令将关闭思科路由器的IP直接广播地址。

  3.如果可能,关闭路由器的HTTP设定

  正如思科的技术说明中简要说明的那样,HTTP使用的身份识别协议相当于向整个网路传送一个未加密的口令。然而,遗憾的是,HTTP协议中没有一个用于验证口令或者一次性口令的有效规定。

  虽然这种未加密的口令对于你从远端位置***例如家里***设定你的路由器也许是非常方便的,但是,你能够做到的事情其他人也照样可以做到。特别是如果你仍在使用预设的口令!如果你必须远端管理路由器,你一定要确保使用SNMPv3以上版本的协议,因为它支援更严格的口令。

  4.封锁ICMP ping请求

  ping的主要目的是识别目前正在使用的主机。因此,ping通常用于更大规模的协同性攻击之前的侦察活动。通过取消远端使用者接收ping请求的应答能力,你就更容易避开那些无人注意的扫描活动或者防御那些寻找容易攻击的目标的“指令码小子”***script kiddies***。

  请注意,这样做实际上并不能保护你的网路不受攻击,但是,这将使你不太可能成为一个攻击目标。

  5.关闭IP源路由

  IP协议允许一台主机指定资料包通过你的网路的路由,而不是允许网路元件确定最佳的路径。这个功能的合法的应用是用于诊断连线故障。但是,这种用途很少应用。这项功能最常用的用途是为了侦察目的对你的网路进行映象,或者用于攻击者在你的专用网路中寻找一个后门。除非指定这项功能只能用于诊断故障,否则应该关闭这个功能。

  6.确定你的资料包过滤的需求

  封锁埠有两项理由。其中之一根据你对安全水平的要求对于你的网路是合适的。

  对于高度安全的网路来说,特别是在储存或者保持秘密资料的时候,通常要求经过允许才可以过滤。在这种规定中,除了网路功能需要的之外,所有的埠和IP地址都必要要封锁。例如,用于web通讯的埠80和用于SMTP的110/25埠允许来自指定地址的访问,而所有其它埠和地址都可以关闭。

  大多数网路将通过使用“按拒绝请求实施过滤”的方案享受可以接受的安全水平。当使用这种过滤*时,可以封锁你的网路没有使用的埠和特洛伊木马或者侦查活动常用的埠来增强你的网路的安全性。例如,封锁139埠和445***TCP和UDP***埠将使黑客更难对你的网路实施穷举攻击。封锁31337***TCP和UDP***埠将使Back Orifice木马程式更难攻击你的网路。

  这项工作应该在网路规划阶段确定,这时候安全水平的要求应该符合网路使用者的需求。检视这些埠的列表,了解这些埠正常的用途。

  7.建立准许进入和外出的地址过滤*

  在你的边界路由器上建立*以便根据IP地址过滤进出网路的违反安全规定的行为。除了特殊的不同寻常的案例之外,所有试图从你的网路内部访问网际网路的IP地址都应该有一个分配给你的区域网的地址。例如,192.168.0.1 这个地址也许通过这个路由器访问网际网路是合法的。但是,216.239.55.99这个地址很可能是欺骗性的,并且是一场攻击的一部分。

  相反,来自网际网路外部的通讯的源地址应该不是你的内部网路的一部分。因此,应该封锁入网的192.168.X.X、172.16.X.X和10.X.X.X等地址。

  最后,拥有源地址的通讯或者保留的和无法路由的目标地址的所有的通讯都应该允许通过这台路由器。这包括回送地址127.0.0.1或者E类***class E***地址段240.0.0.0-254.255.255.255。

  8.保持路由器的物理安全

  从网路嗅探的角度看,路由器比集线器更安全。这是因为路由器根据IP地址智慧化地路由资料包,而集线器相所有的节点播出资料。如果连线到那台集线器的一个系统将其网路介面卡置于混乱的模式,它们就能够接收和看到所有的广播,包括口令、POP3通讯和Web通讯。

  然后,重要的是确保物理访问你的网路装置是安全的,以防止未经允许的膝上型电脑等嗅探装置放在你的本地子网中。

  9.花时间审阅安全记录

  审阅你的路由器记录***通过其内建的防火墙功能***是查出安全事件的最有效的方法,无论是查出正在实施的攻击还是未来攻击的征候都非常有效。利用出网的记录,你还能够查出试图建立外部连线的特洛伊木马程式和间谍软体程式。用心的安全管理员在病毒传播者作出反应之前能够查出“红色程式码”和“Nimda”病毒的攻击。

  此外,一般来说,路由器位于你的网路的边缘,并且允许你看到进出你的网路全部通讯的状况。

声明声明:本网页内容为用户发布,旨在传播知识,不代表本网认同其观点,若有侵权等问题请及时与本网联系,我们将在第一时间删除处理。E-MAIL:11247931@qq.com
河南13岁女孩喝农药中毒,是百草枯还是敌草快? 晚上失眠,死活睡不着的时候,你会做什么? 在失眠的时候,你都会做什么? 厘米秀飞船宠物在宠物工作时为什么不能切换其他的宠物进行升级和喂食... 喝中药胃很难受为什么不会想? 一喝中药胃就难受为什么啊 喝中药二十天了胃难受什么原因 戒不掉手淫怎么办,现在脑子里经常全是欲望 我经常手淫想戒但怎么也戒不掉该怎么办 但我每当想手淫的时候怎么也控制不住? 治疗慢性浅表性胃炎有哪些中成药有哪些? 浅表性胃炎吃什么药效果好? 浅表性胃炎 吃啥药? 企业内网安全的保障如何做到呢? 慢性浅表性胃炎吃什么药最好 请教:如何部署企业的网络安全方案 浅表性胃炎用什么药好?康复新液可以吗? 保证企业内网安全应该怎么做? 浅表性胃炎吃什么药好的快? 国庆放假怎么保证网络安全? 治疗浅表性胃炎的药有哪些? 浅表性胃炎吃什么药效果最好?? 企业内网怎么保证安全? 浅表性胃炎吃什么药? 浅表性胃炎,吃什么药? 如何保证网络安全? 浅表性胃炎吃什么药最好 企业网络安全该怎么做? 如何才能保障企业内网安全? 如何解决企业远程办公网络安全问题? 治浅表性胃炎有什么最好的药? 企业如何应对网络安全风险? 浅表性胃炎疼的时候该吃什么药 浅表性胃炎的治疗药物 浅表性胃炎吃什么中药 治疗浅表性胃炎最好的药是什么? 治疗浅表性胃炎什么药好 浅表性胃炎吃什么药 浅表性胃炎 希望大夫帮帮我 如何在苹果电脑上找到丢失的手机 LOL大师兄是谁?Doublelift为什么叫大师兄 LOL彭亦亮是lol里的中国人人吗 LOL世界第一薇恩是Imp还是Double lift? 英雄联盟Faker退役后,LOL电竞第一人是谁? lol大师兄怎么火的 lol职业比赛大师兄是谁 如何快速提高自己LOL的水平?你有什么小窍门? lol世界第一届冠军是哪个战队 lol微笑是谁 lol职业选手千杀最新排名_英雄联盟职业选手谁杀人最多 很多电竞老名将依然在电竞圈逐梦,大家认识哪些?