Wes Noonan, “Hardening Network Infrastructures”的作者,回顾了在Windows和网络上保护数据的步骤,这些步骤适用于不同情况的网络周边环境。 一个常见的安全性误区是将网络和应用作为互不作用的单独实体。它们可能有各自的维护人员,各自的安全性政策,以及各自的程序等等。健壮的Windows服务器会在保护这些服务器上的数据的整体性上做得更多,但是,我们还必须强化网络本身的基础结构。
让我们从下面五个步骤开始。 1.执行访问控制表(ACL) 如果有人可以进入了你的网络,那么他们就可以访问你的Windows系统。因此,我们必须在网络设备上……
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
Wes Noonan, "Hardening Network Infrastructures"的作者,回顾了在Windows和网络上保护数据的步骤,这些步骤适用于不同情况的网络周边环境。
一个常见的安全性误区是将网络和应用作为互不作用的单独实体。它们可能有各自的维护人员,各自的安全性政策,以及各自的程序等等。健壮的Windows服务器会在保护这些服务器上的数据的整体性上做得更多,但是,我们还必须强化网络本身的基础结构。让我们从下面五个步骤开始。
1.执行访问控制表(ACL)
如果有人可以进入了你的网络,那么他们就可以访问你的Windows系统。因此,我们必须在网络设备上实现严格的ACL,并只对需要访问的用户授予访问权限。比如,在Houston的用户是否需要访问New York的系统?如果不是,在这些系统上传输的流量就不是必不可少的。
2.执行基于网络访问控制(NBAC)
过去将系统连接到网络是很麻烦的:我们必须编译网络驱动程序,分配地址并物理地连接系统以便实现它们之间的通信。虽然,这能够够使得非授权的系统很难连接到网络上,但是这也将导致出现过多的管理开销。然而,诸如星形网络和Dynamic Host Configuration Protocol (DHCP)的技术都可以极其简单地实现将系统连接到网络上。对于这种方法,我一开始也感到非常高兴。但是,马上我意识到现在是任何人都可以连接到网络上。事实上,我的客户中接近90%都有一些活跃网络我可以很容易地进入并获得网络权限,即使它们有一些书面政策声明禁止非授权的连接。
NBAC试图提供一个强制性机制来支持这些书面政策。通过NBAC,我们需要定义什么是授权用户,并确保连接的系统运行了正确的补丁和软件版本。如果没有,它们将被隔离直到系统打上补丁或更新。
3.限制远程连接
实现一个VPN可能会有风险。它是同时允许用户和病毒的网络访问。不要允许VPN访问整个网络,而是通过实现网络ACL来限制远程用户仅可访问所需的服务器和资源。比如,使用VPN来连接Citrix或Terminal Server群以确保允许通过VPN的流量仅限于到Citrix服务器的Citrix流量;如果远程客户端系统感染了病毒,它也不会感染我们的网络。
4.限制和保证无线连接安全
如果处于在防火墙之后,无线LAN连接会在网络边界形成一个特别大的漏洞。这样,这个无线LAN连接必须如其它的远程连接一样对待:在防火墙之外就阻止它们,并要求使用一个VPN连接来获取内部的受保护资源的访问权限。
5.实现IPsec
在网络上实现IPsec是一个有效保护数据在传输过程中不受危害的方式。但是它并不是万能的。比如,如果一台机器受到Slammer的感染,IPsec将只保证在传输之前Slammer流量是加密的。但是,当与其他的加强方法一起使用时,IPsec可以作为一个保护内部流量不受窃取的有效方法。
总结
由于网络边界去除(de-perimeterization)技术,因此我们就可以不再专门依靠网络边界来保护系统和数据。完全删除边界并不是一个解决方法,加强边界也不是。当网络边界失效或被规避了,我们必须加强Windows系统和网络基础结构来保护数据。
关于作者
Wesley J. Noonan在计算机行业有12年多的工作经历,他专注于基于Windows的网络和网络基础结构安全设计和实现。他是Collective Technologies, LLC (www.colltech.com)的高级网络咨询师。最近,Wes为Osborne/McGraw-Hill撰写了"Hardening Network Infrastructures",并且之前他还为QUE Publishing的"The CISSP training guide"撰写了一章关于网络安全和设计的内容。
作者
翻译
TechTarget中国特约技术编辑,某高校计算机科学专业教师和网络实验室负责人,曾任职某网络国际厂商,关注数据中心、开发运维、数据库及软件开发技术。有多本关于思科数据中心和虚拟化技术的译著,如《思科绿色数据中心建设与管理》和《基于IP的能源管理》等。
相关推荐
-
实体零售业态数字化转型之路
传统零售正在经历数字化转型以对抗电商,在这一转型途中,选择一个可提高业务敏捷性、降低成本又保证安全和可靠性的解决方案是非常重要的。
-
锐捷网络“三大基石”铸就服务型政府“新网络”
锐捷网络长期服务于我国各级电子政务外网建设工作,其安全域解决方案、政务云数据中心解决方案、互联网出口解决方案、IT运维管理解决方案在国家信息中心、大连、青海、扬州、江西、贵州等地的应用广受用户好评。
-
网宿2013年营收增长47.89% 市场占有率居专业CDN行业首位
网宿2013年公司营业收入为12.05亿元,较去年同期增长47.89%,市场占有率居专业CDN行业首位。
-
降低分支网络运营难度 新型SDN WAN优化和安全应用崭露头角
SDN有几个适用于分支网络运营的优势。首先,使用集中的SDN控制器允许IT组织把在数据中心内创建的策略推送到分支位置。