越來越多的企事業(yè)單位開始重視信息安全,企業(yè)的技術(shù)資料、客戶信息等一旦發(fā)生信息泄露,會(huì)給企業(yè)帶來不可估計(jì)的損失。即使是網(wǎng)絡(luò)環(huán)境比較簡(jiǎn)單的中小企業(yè),也一樣會(huì)受到網(wǎng)絡(luò)安全的威脅。如果不注重網(wǎng)絡(luò)安全,往往會(huì)導(dǎo)致企業(yè)的重大損失。本文中,我將從網(wǎng)絡(luò)安全的角度,來論述如何保障公司內(nèi)網(wǎng)的網(wǎng)絡(luò)信息安全。主要涉及到如下四點(diǎn):
合理的網(wǎng)絡(luò)架構(gòu)
了解內(nèi)網(wǎng)的終端
管控到外網(wǎng)的訪問
管控來自外網(wǎng)的訪問
1. 合理的網(wǎng)絡(luò)架構(gòu)
合理的網(wǎng)絡(luò)架構(gòu)是網(wǎng)絡(luò)安全的基礎(chǔ),一些重要的內(nèi)容應(yīng)當(dāng)在物理架構(gòu)上保證安全。比如把有線和無(wú)線區(qū)分不同的VLAN,無(wú)線不允許訪問內(nèi)網(wǎng)。
2. 了解內(nèi)網(wǎng)的終端
網(wǎng)絡(luò)管理人員應(yīng)當(dāng)非常了解內(nèi)網(wǎng)的終端,管理內(nèi)網(wǎng)的IP-MAC列表,杜絕未經(jīng)許可的接入。比如,實(shí)時(shí)查看在線終端列表,配置IP-MAC綁定,開啟新設(shè)備告警并且在發(fā)現(xiàn)新設(shè)備時(shí)進(jìn)行人工干預(yù)。如果網(wǎng)管人員都不清楚內(nèi)網(wǎng)有多少終端,那網(wǎng)絡(luò)安全又從何談起呢?
3. 管控到外網(wǎng)的訪問
不加管控的外網(wǎng)訪問不但會(huì)占用大量的帶寬資源,而且會(huì)帶來不必要的安全威脅。如果內(nèi)網(wǎng)的不安全主機(jī)訪問了外網(wǎng)的惡意站點(diǎn),往往感染病毒從而威脅到內(nèi)網(wǎng)。所以我建議應(yīng)當(dāng)對(duì)內(nèi)網(wǎng)到外網(wǎng)訪問進(jìn)行有效管控,屏蔽一切不安全的外網(wǎng)訪問行為。如圖:
4. 管控來自外網(wǎng)的訪問
很多企業(yè)都會(huì)有一些資源通過端口映射發(fā)布到互聯(lián)網(wǎng)上,一旦這些端口存在安全漏洞就會(huì)招來攻擊。比如猖獗的勒索軟件病毒,一般就是因?yàn)橛成淞?389(RDP)、136-138(網(wǎng)絡(luò)共享)等端口導(dǎo)致的。要管控來自外網(wǎng)的訪問,可以采用以下方式:
不進(jìn)行端口映射,外網(wǎng)的訪問首先需要撥入虛擬局域網(wǎng)。
用防火墻策略屏蔽來自國(guó)外的IP。
啟用入侵防御檢測(cè),一旦檢測(cè)到攻擊行為時(shí)自動(dòng)阻止。
如下圖:
綜上所述,企事業(yè)的網(wǎng)絡(luò)安全需要從多方面入手,合理部署配置,有效管控,及時(shí)升級(jí),這樣才可以長(zhǎng)治久安。
