解析企业网络安全威胁及防御技巧

核心提示： 不妨注意下图3中所示的例子，呼叫中心中的一台工作站通常情况下，解析企业网络安全威胁及防御技巧(3)，通过80号端口通信，到达数据中心中的一台服务器，在发生问题时，也才能顺藤摸瓜，这种通信在访问控制列表的范围内是准许的，因为这是到达服务器的合法通信

不妨注意下图3中所示的例子。呼叫中心中的一台工作站通常情况下，通过80号端口通信，到达数据中心中的一台服务器。这种通信在访问控制列表的范围内是准许的，因为这是到达服务器的合法通信。但是，从这个特殊工作站发出的合法通信超出了正常情况的400%。如此一来，服务器上的性能就会被降低，而网络内会充满大量不必要的数据包。

图3

在这种情况下，NetFlow是在分发层交换机上配置，而且管理员能够检测到不正常的情况。然后，管理员会配置一台主机的特定ACL，用以拒绝来自呼叫中心工作站的数据通信，如下图4所示。在更加复杂的环境中，用户甚至可以实施可远程激发的“黑洞”，并转发之，以减少这种事件。

图4

上图展示的是呼叫中心工作站应用程序中的一个缺陷。管理员能够执行详细的分析，并为机器打补丁，同时又可以防止服务的中断。

小技巧一则

要检测不正常的及恶意的网络活动，用户首先必须建立一个正常网络活动、数据通信模式及其它因素的概要视图。NetFlow以及其它的一些机制可以在单位的架构内部成功地确认和分类威胁，还有其它的一些不正常活动。在实施一个异常检测系统之前，用户必须执行通信分析，其目的是为了了解大体的通信速率和模式。在异常检测系统中，学习过程一般是通过有效时间实施的，这包括网络活动的峰值和谷底。本文将在后面的内容中详细讨论异常的检测问题。

用户还可以制定一种不同的图表来形象化地展示单位内部的经营风险。这些图表以设备角色为基础。如果用户想保护哪些关键系统，就可为其制定这种图表。例如，确认单位内部的一个关键系统，然后为其创建一个类似于下图5的分层图表。在下图5中的例子中，一个称为mydata的数据库是本公司的至关重要的应用程序或数据库资源。这个图表在中心位置展示了mydata数据库服务器：

图5

用户可以用这种图来审计设备角色和应当运行的服务类型。例如，用户可以决定在什么设备中运行Cisco NetFlow之类的服务，或者在何处强化安全策略。此外，用户还可以根据源和目标，看出架构内一个数据包的生命周期。下面展示一个例子：

图6

上图显示出，在销售部门的某用户访问互联网的站点时的数据包流动。用户根据结构图可以明确地知道，数据包要去的地方、安全、转发策略等。这只是一个简单的例子，不过，用户可以用这种概念来形象化地显示风险，并准备自己的隔离策略。

形象化地显示组织的结构和网络通信的情况有助于我们全面地分析网络安全风险，制定出有效的防御策略和相应的防范风险的措施。在发生问题时，也才能顺藤摸瓜，找到根源。