网络安全最佳实践

机密性，完整性和可用性

---

确实，网络攻击类型的列表很长。但是，正如您将在本主题中了解到的那样，可以使用许多最佳实践来保护网络。

网络安全包括保护信息和信息系统免遭未经授权的访问，使用，披露，破坏，修改或破坏。

大多数组织遵循CIA信息安全三合会：

• 机密性 -只有授权的个人，实体或流程可以访问敏感信息。可能需要使用诸如AES的加密加密算法来加密和解密数据。
• 完整性 -指保护数据免遭未经授权的更改。它要求使用加密散列算法，例如SHA。
• 可用性 -授权用户必须对重要资源和数据具有不间断的访问权限。它需要实现冗余服务，网关和链接。

纵深防御方法

---

为了确保公共和专用网络之间的安全通信，您必须保护设备，包括路由器，交换机，服务器和主机。大多数组织对安全采用深度防御方法。这也称为分层方法。它需要网络设备和服务一起工作的组合。考虑图中的网络。

防范网络攻击

实施了多种安全设备和服务，以保护组织的用户和资产免受TCP / IP威胁。

• VPN-路由器用于为企业站点提供安全的VPN服务，并使用安全的加密隧道为远程用户提供远程访问支持。
• ASA防火墙 -此专用设备提供状态防火墙服务。它确保内部流量可以传出并返回，但是外部流量无法启动与内部主机的连接。
• **IPS-入侵防御系统（IPS）**监视传入和传出的流量，以查找恶意软件，网络攻击特征等。如果发现威胁，则可以立即将其阻止。
• ESA / WSA-电子邮件安全设备（ESA）过滤垃圾邮件和可疑电子邮件。Web安全设备过滤已知和可疑的Internet恶意软件站点。
• AAA服务器 -此服务器包含一个安全的数据库，该数据库具有授权访问和管理网络设备的人员。网络设备使用此数据库对管理用户进行身份验证。

包括路由器和交换机在内的所有网络设备都经过了加固，这意味着它们已经过安全保护，可以防止威胁行为者获得访问权限并篡改设备。

接下来，您必须保护数据跨各种链接传播的安全性。这可能包括内部流量，但更重要的是保护从组织外部传播到分支站点，远程办公站点和合作伙伴站点的数据。

防火墙

---

防火墙是在网络之间实施访问控制策略的一个或一组系统。

所有防火墙都有一些共同的属性：

• 防火墙可以抵抗网络攻击。
• 防火墙是内部公司网络与外部网络之间的唯一转接点，因为所有流量都流经防火墙。
• 防火墙实施访问控制策略。

在网络中使用防火墙有几个好处：

• 它们可防止敏感主机，资源和应用程序暴露给不受信任的用户。
• 它们清除了协议流，从而防止了协议缺陷的利用。
• 它们阻止来自服务器和客户端的恶意数据。
• 它们通过将大多数网络访问控制卸载到网络中的一些防火墙来降低安全管理的复杂性。

防火墙还存在一些限制：

• 错误配置的防火墙可能会对网络造成严重后果，例如成为单点故障。
• 来自许多应用程序的数据无法安全地通过防火墙。
• 用户可能会主动搜索防火墙周围的方法以接收受阻材料，从而使网络容易受到攻击。
• 网络性能可能会降低。
• 可以通过隧道传输或隐藏未经授权的流量，以便通过防火墙将其显示为合法流量。

入侵防御系统（IPS）

---

为了防御快速发展的攻击，您可能需要经济高效的检测和防御系统，例如入侵检测系统（IDS）或更具扩展性的入侵防御系统（IPS）。网络体系结构将这些解决方案集成到网络的入口和出口点。

如图所示，IDS和IPS技术具有几个特征。IDS和IPS技术都部署为传感器。IDS或IPS传感器可以采用几种不同的设备形式：

• 配置有Cisco IOS IPS软件的路由器
• 专为提供专用IDS或IPS服务而设计的设备
• 安装在自适应安全设备（ASA），交换机或路由器中的网络模块

该图显示了IPS如何处理拒绝的流量。

1. 威胁参与者发送发往目标笔记本电脑的数据包。
2. IPS拦截流量并针对已知威胁和配置的策略对其进行评估。
3. IPS将日志消息发送到管理控制台。
4. IPS丢弃数据包。

IDS和IPS技术使用签名来检测网络流量中的模式。签名是IDS或IPS用于检测恶意活动的一组规则。签名可用于检测严重的安全漏洞，检测常见的网络攻击以及收集信息。IDS和IPS技术可以检测原子签名模式（单数据包）或复合签名模式（多数据包）。

内容安全设备

---

内容安全设备包括对组织用户的电子邮件和Web浏览的细粒度控制。

思科电子邮件安全工具（ESA）

思科电子邮件安全设备（ESA）是专用于监视简单邮件传输协议（SMTP）的设备。Cisco Talos的实时源不断更新Cisco ESA，该源通过使用全球数据库监视系统来检测并关联威胁和解决方案。思科ESA每三到五分钟提取一次威胁情报数据。

在图中，威胁参与者发送了网络钓鱼电子邮件。

• 威胁参与者向网络上的重要主机发送网络钓鱼攻击。
• 防火墙将所有电子邮件转发到ESA。
• ESA对电子邮件进行分析，记录并丢弃。

思科Web安全设备（WSA）

思科Web安全设备（WSA）是一种针对基于Web的威胁的缓解技术。它可以帮助组织应对保护和控制Web流量的挑战。思科WSA结合了高级恶意软件防护，应用程序可见性和控制，可接受的使用策略控制以及报告。

思科WSA可以完全控制用户访问互联网的方式。根据组织的要求，可以允许某些功能和应用程序，例如聊天，消息传递，视频和音频，受时间和带宽限制的限制或阻止。WSA可以对URL进行黑名单，URL过滤，恶意软件扫描，URL分类，Web应用程序过滤以及Web流量的加密和解密。

在图中，公司用户尝试连接到已知的黑名单站点。

1. 用户尝试连接到网站。
2. 防火墙将网站请求转发到WSA。
3. WSA评估URL并确定它是已知的列入黑名单的站点。WSA丢弃该数据包，并向用户发送访问拒绝消息。