网络架构分析概要

个人认为，网络架构分析能力是每一位网络安全工程师必备的基本能力，所以简单做一下分享，共同进步，一起学习。
所谓网络架构分析，指的是以人工方式对网络设备配置情况、安全设备部署位置等进行分析，发现整体网络架构中存在的安全隐患。建议配置检查方面辅以工具，比起人工一项一项检查，设备检查效率要高，而且能让你很快了解设备配置现状，当然了，设备类型、厂商、型号这些要匹配，最大可能保证结果准确性，而且要通过访谈确定结果。
下面我们展开讲一讲
一、第一步我们当然是检查网络拓扑图，网络拓扑图是否清晰，是否体现组织全部重要资产，是否划分了安全域，安全域划分是否合理，重要设备、链路是否冗余，网段划分是否明确，是否有边界安全设备，区域与区域之间如何做的隔离，是否有入侵检测防御设备，这些是我们首先必须要明确的，否则看拓扑图的意义在哪里呢
二、我们应该对整体网络架构做个大致分析，1）二层还是三层网络架构；2）区域如何划分，不同部门如何做访问控制，互联网出口是否部署抗D，应用层是否有web防护措施；3）网络可靠性方面，重要设备、通信链路冗余，避免单点故障；4）是否通过审计平台控制关键网络设备的登录，进行统一运维操作授权，是否实现三权分立，是否通过网络准入控制终端接入，从用户源头保障内部的安全性。
三、网络建设规范性，就是指网络设计层次是否分明，拓扑标注是否清晰，是否与实际相符，已有设备是否都体现在拓扑图上。设备名称标注是否详细，能否通过设备标注迅速定位到设备位置。IP地址规划是否合理，是否具有唯一性、连续性、可扩展性。
四、网络可靠性方面，主要从设备冗余、链路冗余两方面进行评估，备份是保证业务连续性重要手段之一，接口故障或者网络流量突然增大的情况下，就体现了冗余的价值，可以分担负载、故障恢复。
五、边界安全方面需要重视，建议部署出口防火墙保护内部网络。各安全域之间应通过防火墙进行网络隔离，不同部门可以划分VLAN进行逻辑隔离，再有就是办公网对内网的隔离，建议通过无线控制器隔离内网，尽量减少入侵途径。再有一点，互联网出口部署什么设备要根据需求而定，理论上讲，在互联网的出口处串联过多设备会增大网络延迟，影响网络性能，比如遭受攻击的事件较多就可以考虑选择IPS及WAF，遭受蠕虫和病毒攻击的事件较多可以选择防病毒网关。
六、网络流量分析。主要关注三个方面，第一，流量监控设备，定期评估评估网络带宽和流量负载，避免带宽瓶颈，影响网络效能。第二，是否划分业务种类为时延敏感型和非时延敏感型，对于非时延敏感型业务，可通过专用的带宽控制器做限速。第三，通过QoS保证时延敏感型业务以及关键业务的优先处理，强大的QoS能力不仅能针对具体用户数据流进行不同优先级的服务，还可阻止在大流量情况下或在流量攻击的情况下保证设备业务运行的安全可靠。
七、网络通信安全方面。1）关键位置是否有入侵检测；2）是否采用证书认证方式部署VPN。
八、设备配置安全方面，建议对核心、接入、网络区域边界的关键设备进行配置检查，比如交换机、路由器、防火墙这些，从账号口令、权限管理、日志审计、端口及服务、远程管理、协议层面等方面进行分析。
九、设备集中管理，通过网管软件对全网设备进行统一管控，应具有审计、告警、设备运行状态监控基本功能。
十、网络安全管理。我们需要重点关注这几个方面：是否部署堡垒机等设备对设备运维帐号、权限以及日志进行集中管理；是否采用SSH或HTTPS等加密协议的方式对设备进行远程登录管理；是否根据业务需要适当采用双因素认证的方式进行身份鉴别等。

欢迎留言讨论~共同提高，有新的想法随时更新。