解析企业网络安全威胁及防御技巧

核心提示： 异常检测工具的使用；使用基于流量的分析，进行网络探测；使用入侵检测和入侵防御系统；分析网络组件的日志（即不同网络设备的系统日志、应用程序日志、简单网络管理协议（SNMP）等等）完整的可见性是确认和分类安全威胁的关键要求，解析企业网络安全威胁及防御技巧(2)，下面笔者将阐释如何实现完整的网络

异常检测工具的使用；

使用基于流量的分析，进行网络探测；

使用入侵检测和入侵防御系统；

分析网络组件的日志（即不同网络设备的系统日志、应用程序日志、简单网络管理协议（SNMP）等等）

完整的可见性是确认和分类安全威胁的关键要求。下面笔者将阐释如何实现完整的网络可见性，并讨论实现这种可见性的技巧。

网络可见性

在筹划网络和人员的过程中，为便于成功地确认安全威胁，首要的一步是获取完整的网络可见性。用户不能保护无法查看或检测的组件。用户可以通过网络设备上的现有特性获取这种水平的网络可见性。此外，用户还应当创建策略性网络图表，用以清楚地列示数据的流量，并使安全机制可以确认、分类、减轻威胁。网络安全威胁是一场持续的战争。在防御敌人时，用户必须知道自己的地域，才能实施防御机制。下图2形象地展示了某大型公司的机构设置：

图2

在上图中，标识了以下的一些部分：

1、互联网边缘：企业的总公司通过冗余链接连接到了互联网。在此配置了两台思科适应性安全产品（ASA），其目的是为了保护整个架构。

2、站到站的VPN：总公司通过IPsec站到站的VPN通道连接到两个子公司。

3、终端用户：总公司在不同的四层楼上有其销售、财务、工程、市场部门。

4、呼叫中心：5层楼上有一个拥有100多个代理的呼叫中心

5、数据中心：数据中心包括电子商务、电子邮件、数据库和其它的应用程序服务器

用户可以创建这种类型的图表，这不仅有助于理解组织的体系结构，而且还可以从策略上确认在架构内的什么地方可以实施探测系统（如NetFlow等），并可以确认瓶颈的位置。注意，在这里，访问层、分发层和核心层都被清楚地定义了。