（思維導圖）

歡迎關注微信公眾號【廈門微思網絡】。www.xmws.cn專業IT認證培訓19周年
主要課程：思科、華為、紅帽、ORACLE、VMware、CISP、PMP等認證培訓及考證

企業網絡安全威脅概覽

企業存在來自內部和外部的安全威脅，企業網絡的安全威脅來源大致可以分為以下幾部分：

• 外部威脅：來自企業網絡外部的安全威脅，如DDoS攻擊，病毒、木馬、蠕蟲等網絡入侵，網絡掃描，垃圾郵件，釣魚郵件，針對Web服務器的攻擊等；

• 內部威脅：網絡結構不可靠，網絡未隔離，終端存在漏洞，員工行為不受控，信息安全違規操作，信息泄露，惡意員工，權限管理混亂，非法接入等。

為了有針對性地防范企業網絡安全威脅，企業工程師會根據威脅來源將網絡劃分為不同區域，企業網絡不同區域的安全威脅及防范措施：

• 通信網絡架構：具備高可靠性保障業務的正常運行；部署VPN等措施保障數據傳輸的機密性與完整性；

• 邊界區域：部署AntiDDoS方案應對DoS攻擊；部署防火墻設備起到網絡隔離及流量控制的目的；IPS設備則用于防范外網的病毒、入侵等威脅；

• 計算環境：對終端進行安全加固，防范漏洞帶來的威脅；部署IPS設備應對外網的入侵行為；部署終端IPS或殺毒軟件應對病毒入侵；

• 管理中心：通過堡壘機管控管理員的權限，降低惡意操作帶來的影響，監控運維操作，做到運維過程可回溯；iMaster-NCE管控員工權限，降低信息泄露的風險，同時防范非法接入。

上述網絡方案中部署了如下網絡設備：
路由器、交換機、防火墻、IPS設備、AntiDDoS設備、UMA堡壘機、iMaster-NCE

2

通信網絡安全需求與方案

需求1?-?網絡架構可靠性?

• 三級等保的要求：應提供通信線路、關鍵網絡設備和關鍵計算設備的硬件冗余，保證系統的可用性。

• 防火墻雙機熱備。

需求2?–?區域隔離

通常在出口處部署防火墻，防火墻通過將所連接的不同網絡分隔在不同安全區域隔離內外網，而通過在防火墻上部署地址轉換技術，可以在一定程度上隱藏內網IP地址，保護內部網絡。

部署防火墻：

• 安全區域

• 地址轉換技術

需求3?-?信息保密性

企業有出差員工，或者大型企業有多個分支機構。出差員工和企業總部，企業分支和企業總部之間在不安全的Internet上進行數據傳輸時，可能存在數據被竊取或篡改的風險，原因在于：?

• 企業數據傳輸本身未加密或加密程度不夠；?

• 中間人攻擊（Man-in-the-Middle?Attack）?

信息保密性安全方案
由于Internet的開放性，導致企業和其分支機構在Internet上傳輸數據的安全性無法保證，可以使用VPN技術在Internet上構建安全可靠的傳輸隧道或者專線。

3

區域邊界安全威脅與防護

威脅1 - DDoS攻擊

DDoS攻擊是指攻擊者通過控制大量僵尸主機，向攻擊目標發送大量攻擊報文，導致被攻擊目標所在網絡的鏈路擁塞，系統資源耗盡，從而無法向正常用戶提供服務。

DDoS攻擊種類

根據攻擊報文類型的不同，可以分為TCP Flood、UDP Flood、ICMP Flood、HTTP Flood和GRE Flood等。

DDoS攻擊安全防范?
通過在企業網絡出口部署防火墻或者專業AntiDDoS設備，阻斷來自外部的DDoS攻擊。對于需要防范大流量DDoS攻擊的場景，也可以選擇專業的AntiDDoS設備。

SYN Flood攻擊是通過偽造一個源地址的SYN報文，發送給受害主機，受害主機回復SYN+ACK報文給這些地址后，不會收到ACK報文，導致受害主機保持了大量的半連接，直到超時。這些半連接可以耗盡主機資源，使受害主機無法建立正常TCP連接，從而達到攻擊的目的。

威脅2?-?單包攻擊

單包攻擊不像DDoS攻擊通過使網絡擁塞，或消耗系統資源的方式進行攻擊，而是通過發送有缺陷的報文，使主機或服務器在處理這類報文時系統崩潰，或發送特殊控制報文、掃描類報文探測網絡結構，為真正的攻擊做準備。

單包攻擊常見有：

• IP Scan：利用IP地址掃描工具探測目標地址，確定目標系統是否存活。

• 掃描型攻擊

• Smurf攻擊：發送ICMP請求，該請求包的目標地址設置為受害網絡的廣播地址，源地址為服務器地址。該網絡的所有主機都回應此ICMP請求，回應報文全部發往服務器，導致服務器不能正常提供服務。

• 畸形報文攻擊

• Tracert報文攻擊：攻擊者利用TTL為0時返回的ICMP超時報文，和到達目的地址時返回的ICMP端口不可達報文來發現報文到達目的地所經過的路徑，它可以窺探網絡的結構。

• 特殊報文控制類攻擊

單包攻擊與DDoS都屬于DoS攻擊。

單包攻擊安全防范?
防火墻具有單包攻擊防范功能，可以對掃描類攻擊、畸形報文攻擊和特殊報文控制類攻擊進行有效防范。?
不同單包攻擊的原理不同，防火墻采用的防范原理也不同。以下對地址掃描攻擊原理和其防范原理進行介紹。
Rate：同一源IP每秒發往不同目的地址的ICMP報文數量。

威脅3?–?用戶行為不受控

用內容安全過濾：

• URL（Uniform Resource Locator）過濾可以對員工訪問的URL進行控制，允許或禁止用戶訪問某些網頁資源，達到規范上網行為的目的；

• DNS過濾在域名解析階段進行控制，防止員工隨意訪問非法或惡意的網站，帶來病毒、木馬和蠕蟲等威脅攻擊；

• 文件過濾通過阻斷特定類型的文件傳輸，可以降低內部網絡執行惡意代碼和感染病毒的風險，還可以防止員工將公司機密文件泄漏到互聯網；

• 內容過濾包括文件內容過濾和應用內容過濾。文件內容過濾是對用戶上傳和下載的文件內容中包含的關鍵字進行過濾。管理員可以控制對哪些應用傳輸的文件以及哪種類型的文件進行文件內容過濾。應用內容過濾是對應用協議中包含的關鍵字進行過濾。針對不同應用，設備過濾的內容不同；

• 郵件過濾：通過檢查發件人和收件人的郵箱地址、附件大小和附件個數來實現過濾；

• 應用行為控制功能用來對用戶的HTTP行為和FTP行為（如上傳、下載）進行精確的控制。

威脅4?-?外部網絡入侵行為

外部網絡入侵有：

• 病毒：一種可感染或附著在應用程序或文件中的惡意代碼，一般通過郵件或文件共享等協議進行傳播，威脅用戶主機和網絡的安全。病毒能夠自我復制，但需要通過打開受感染的文件，啟用宏等手動操作才能激活。

• SQL注入：SQL注入攻擊指的是通過構建特殊的輸入作為參數傳入Web應用程序，而這些輸入大都是SQL語法里的一些組合，通過破壞SQL語句的原始邏輯，進而執行攻擊者所希望的操作。SQL注入漏洞屬于高危型Web漏洞。

• DDoS攻擊：DDoS攻擊通過發出海量數據包，造成目標設備負載過高，最終導致網絡帶寬或是設備資源耗盡。

入侵防御安全防范

防火墻的入侵防御功能對所有通過的報文進行檢測分析，并實時決定允許通過或阻斷。也可使用IPS設備對網絡入侵行為進行防御。?
防火墻/IPS設備通常部署在網絡出口處，抵擋來自互聯網的威脅。?
防火墻/IPS設備上具備入侵防御功能模塊，該模塊通過將流經防火墻/IPS設備的流量與加載的簽名庫做對比并根據危險程度進行相應處理，簽名庫是簽名的集合。?
簽名：用來描述網絡中存在的該入侵行為的特征，及設備需要對其采取的動作。?

4

計算環境安全威脅與防護

終端軟件漏洞
企業內網終端軟件存在漏洞，往往給攻擊者可乘之機，不管是從外網或是內網進行的網絡攻擊，內網終端感染病毒后，借助內網設備之間的信任關系，病毒通過橫向擴散，最終往往造成內網大量終端設備感染。?

CVE（Common Vulnerabilities and Exposures）是一個披露漏洞的平臺，它會提供編號作為漏洞對應的字符串式特征。?

終端軟件漏洞應對方式：
?

• 對企業網絡終端設備的系統軟件和應用軟件及時打補丁，并且安裝防病毒軟件。

• 使用NAC（Network Admission Control）方案，對企業網絡自有的終端和外來接入的終端進行安全性檢查，阻止不符合要求的終端接入網絡。

• 使用漏洞掃描工具掃描企業網絡，對信息安全進行風險評估。檢測網絡中的設備存在的漏洞并及時進行修復。

• 進行滲透測試，使用專業人士對企業網絡系統安全性進行評估，并給出針對性的改進措施。?

5

管理中心安全需求與方案?

需求1?–?管理員權限管控

某些情況下，企業員工因為利益或不滿，會實施危害企業信息安全的行為。比如盜取企業機密數據，破壞企業網絡基礎實施等。

管理員權限管控安全方案
對于可能發生的企業員工的信息安全風險行為，可以從技術和管理兩方面進行應對。?

技術方面：

• 更嚴密的權限管理，比如UMA

• 更可靠的備份機制

管理方面：?

• 在企業內部經常進行信息安全案例宣傳，提高員工安全意識；

• 對于高安全需求的區域，可以使用門禁系統；

• 關注員工工作生活狀態，及時進行心理輔導，防止員工因心理問題造成的信息安全風險行為。

需求2 - 上網權限管控

除了從企業外部網絡帶來的安全風險，企業內網安全隱患也日益增加。企業內可能會有外來人員，如果出現非法接入和非授權訪問時，也會存在導致業務系統遭受破壞、關鍵信息資產泄露的風險。

• 惡意人員接入網絡之后，會進行破壞，或盜取信息的活動；

• 接入網絡的終端，如果攜帶有病毒，有可能導致病毒在企業內網傳播。

應對非法接入，可以從技術和管理兩方面入手：

• 使用網絡準入控制方案；

• 對于出入企業的人員進行嚴格的行政管理。

上網權限管控方案

對于非法接入的應對措施，華為提供NAC方案，可以對接入用戶進行安全控制，實現只有合法的用戶、安全的終端才可以接入網絡。

NAC具有以下功能：

• 身份認證：對接入網絡的用戶身份進行合法性認證，只有合法的用戶才能接入企業網絡；

• 訪問控制：根據用戶身份、接入時間、接入地點、終端類型、接入方式精細匹配用戶，控制用戶能夠訪問的資源；

• 對終端進行安全性檢查，只有“健康的、安全的”用戶終端才可以接入網絡。

可以通過管理手段，規范員工進入企業內部，嚴格控制外來人員的進入。

• 外來訪問人員必須要提前登記，并出示有效證件才能進入；

• 使用安保人員和設備控制外來人員及車輛的進入；

• 對企業內部重要區域，可使用門禁系統，限制不符合權限的人員進入；

• 禁止在計算機等設備上私自插入U盤等存儲設備。

創建訪客網絡供外來訪問人員進行接入，與企業辦公網絡隔離，消除安全風險。

總結

以上是生活随笔為你收集整理的常见网络安全威胁及防范的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。