強大的網絡基礎設施安全性是高效業務通信、高效團隊和安全運營的先決條件。如果沒有適當的措施，網絡基礎設施可能會成為一個可利用的弱點，導致數據泄露、用戶體驗差、代價高昂的挫折和長期的品牌損害。本文是對網絡基礎設施安全性的介紹。繼續閱讀以了解保護公司網絡設備和軟件的好處和方法。

什么是網絡基礎設施安全？

網絡基礎設施安全是一組保護網絡底層硬件和軟件的措施和流程。每個網絡設置都需要獨特的防御措施組合，但大多數公司依賴：

• 嚴格的訪問控制和身份驗證協議。
• 防火墻。
• 虛擬專用網絡。
• 行為分析。
• 數據加密（靜態、傳輸中和使用中）。
• 入侵檢測系統。

每個運行網絡的設備和系統都是入侵者的潛在入口點。網絡基礎設施安全旨在拒絕未經授權的訪問，并防止攻擊者修改、刪除、控制或竊取網絡資源。

這一網絡安全分支保護所有負責網絡通信的設備，包括：

• 路由器。
• 開關和電纜。
• 專用服務器。
• LAN cards.
• 負載均衡器。
• 域名系統 (DNS)。
• 端點（員工工作站、筆記本電腦、移動設備、平板電腦、打印機等）。

網絡基礎設施安全還保護網絡軟件，包括：

• 網絡運營和管理系統。
• 網絡安全應用程序。
• 網絡設備上的操作系統。
• 網絡服務（T-1 線路、IP 尋址、衛星、DSL、無線協議等）。

雖然網絡基礎設施主要容易受到外部攻擊（拒絕服務攻擊、未經授權的訪問、垃圾郵件、勒索軟件、中間人攻擊、惡意軟件等），但公司還需要考慮內部威脅。內部危險最常見的例子是：

• 故意刪除或修改數據。
• 設備盜竊或破壞。
• 數據泄露（無論是惡意的還是無意的）。
• 意外下載惡意內容。

網絡基礎設施安全如何工作？

網絡基礎設施安全需要一種結合最佳實踐和持續流程的整體方法，以確保底層基礎設施始終保持安全。公司部署的安全措施取決于：

• 相關法律義務。
• 行業特定法規。
• 獨特的網絡和安全要求。

您可以運行網絡安全審計以更好地了解網絡的弱點和需求。對于更詳細的分析，您可以依靠漏洞評估或組織滲透測試。一旦公司了解其網絡需求，組織就可以執行下面解釋的部分（或全部）最佳實踐。此外，公司還可以依賴一些通用標準，例如數據加密、強密碼、頂級設施安全和數據備份。

網絡資源的分割和隔離

網絡分段是使用單獨的防火墻、訪問控制和安全協議將網絡分成更小的部分的過程。這種策略允許管理員根據安全問題、總體風險和系統關鍵性將基礎設施資源（應用程序、服務器、路由器等）分組到子網中。

雖然網絡分段無法阻止攻擊，但該過程可以減少成功破壞的影響。分段阻止入侵者：

• 跨網絡系統和設備傳播惡意文件或包。
• 從單個受感染主機訪問敏感數據。
• 通過網絡基礎設施橫向移動。
• 發起全網網絡攻擊。

除了分割之外，公司還應該根據角色和功能來分割網絡資源。隔離使管理員能夠將關鍵網段與 Internet 和其他內部不太重要的子網分開。

基礎設施攻擊面的限制

網絡基礎設施的攻擊面是入侵者可以攻擊并導致安全事件的網絡元素的總和。常見的攻擊面元素有：

• 服務器。
• 網絡應用。
• 蜜蜂。
• 路由器。
• 端點設備。
• 網絡管理員。

公司可以依靠以下策略來減少基礎設施的攻擊面：

• 卸載并刪除所有未使用的網絡設備、應用程序和服務。
• 監控所有第三方組件和服務的漏洞。
• 使用最新的補丁和更新使網絡軟件保持最新狀態。
• 對網絡服務器、應用程序、數據庫等實施最小權限原則。
• 隔離所有關鍵系統和應用程序。
• 實施多因素身份驗證系統。

在開始減少基礎設施的暴露之前，您應該首先映射攻擊面。網絡管理員應維護所有網絡資產、版本和聯鎖的最新列表（Censys 和 Shodan 是用于攻擊面映射的兩個出色工具）。

刪除不必要的點對點通信

允許未經過濾的點對點通信（例如工作站到工作站或路由器到路由器）會造成嚴重的基礎設施弱點。如果入侵者破壞了主機，橫向通信使攻擊者能夠在網絡中立足并獲得額外的資源。

為了應對這種威脅，公司可以：

• 限制與拒絕來自對等主機的數據包流的基于主機的防火墻的通信。
• 實施 VLAN 訪問控制列表 (VACL)，這是一個額外的過濾器，用于控制對 VLAN 的訪問。

保護基礎設施設備

加固設備對于網絡基礎設施安全至關重要。管理員可以實施以下部分（或全部）實踐來強化設備：

• 禁用用于管理網絡基礎設施（ Telnet、FTP等）的未加密遠程管理協議。
• 使用 SNMPv3（或更新版本）進行網絡管理。
• 禁用路由器和交換機上不必要的服務，例如發現協議、源路由、HTTP、SNMP、引導協議等。
• 建立和維護一個可靠的日志監控系統。
• 限制基礎設施設備的管理權限。
• 保護對控制臺和虛擬終端線路的訪問。
• 限制對路由器、服務器和交換機的物理訪問。
• 控制遠程管理的訪問列表。
• 備份所有配置并離線存儲。
• 確保所有網絡設備都有最新的操作系統補丁。

帶外管理 (OoB)

OoB 管理允許管理員使用備用通信路徑來遠程管理網絡設備。公司可以物理或虛擬（或通過兩者的混合）實施 OoB：

• 投資額外的物理硬件可能會很昂貴，但這種方法通常是更安全的選擇。
• 虛擬實施成本較低，但需要進行重大配置更改和設置后管理。

設置 OoB 管理時的良好做法是：

• 將標準網絡流量與管理流量分開。
• 確保設備上的管理流量僅來自 OoB。
• 對所有管理通道應用加密。
• 加密對基礎設施設備（例如終端或撥入服務器）的所有遠程訪問。
• 通過安全通道從專用的、完全修補的主機管理所有管理功能。

使用 OoB 管理網絡基礎設施通過限制訪問和將用戶與網絡管理流量分開來增強安全性。OoB 還有助于安全監控并防止入侵者發現配置更改。

硬件和軟件完整性驗證

非法硬件和軟件可能對網絡基礎設施構成嚴重風險。灰色市場產品會帶來威脅，因為它們可能沒有通過質量標準測試。為了正確驗證網絡基礎設施中的硬件和軟件，公司應該：

• 僅從授權供應商和經銷商處購買。
• 定義并執行用于驗證和監控網絡硬件和軟件的常規流程。
• 保持對供應鏈的直接和嚴格控制。
• 在安裝前后檢查所有設備是否有篡改跡象。
• 驗證來自多個可靠來源的序列號。
• 僅從官方網站下載更新和補丁。
• 培訓員工以提高對灰色市場設備的認識。

來自二級市場的產品也存在購買假冒、被盜、篡改或二手設備的風險。

網絡基礎設施安全的重要性

網絡基礎設施是新手和經驗豐富的黑客的共同目標，因為網絡設備通常存在許多漏洞。通常的弱點是：

• 具有眾多入口點的大型攻擊面。
• 社會工程攻擊的許多目標。
• 員工對網絡威脅缺乏認識。
• 由于不斷變化的需求和設置而導致的各種安全漏洞。
• 設備保護不佳（尤其是在小型和家庭辦公室）。
• 許多未加密的和遺留的協議。
• 不更改供應商默認設置、強化設備或執行定期修補的管理員。

這些弱點使網絡基礎設施成為惡意行為者的首選目標，旨在使用受感染的設備來監控、修改和拒絕進出公司的流量。一旦攻擊者獲得了網絡基礎設施的控制權，入侵者就無能為力了。最常見的目標是追蹤敏感數據、收集情報、在盡可能多的設備上安裝勒索軟件以及破壞資源。

網絡基礎設施安全的類型

在保護網絡軟件和設備時，公司可以依賴多種方法。最常見的網絡基礎設施安全類型是：

• 訪問控制：虛擬或物理防止未經授權的用戶、應用程序和設備訪問網絡硬件和軟件。
• 虛擬專用網絡：虛擬專用網絡對兩個網絡端點之間的連接進行加密，從而在 Internet 上創建安全的通信路徑。
• 應用程序安全性：管理員安裝的特定于應用程序的措施以鎖定潛在的弱點。
• 防火墻：允許（或阻止）流量進入或離開網絡的把關設備或程序。
• 防病毒程序：這些解決方案監控、識別和消除基于軟件的威脅。除了病毒，防病毒程序還可以防止廣告軟件、鍵盤記錄程序、間諜軟件、URL 威脅、垃圾郵件和網絡釣魚攻擊。
• 行為分析：?BA 工具自動分析網絡活動并檢測可疑行為。
• 無線安全：專門用于阻止入侵者進入無線網絡的系統。
• 入侵檢測系統 (IDS)：這些系統監視、記錄和報告網絡內的任何潛在危險活動。
• 入侵防御系統 (IPS)：除了監控和報告惡意活動外，IPS 還可以通過腳本響應計劃自動響應威脅。

雖然您可能不需要上面列出的所有安全措施，但公司應該依靠多種方法來擴大其網絡基礎設施防御。

網絡基礎設施安全的好處

網絡基礎設施安全的主要好處是公司可以可靠地控制和保護運行網絡的底層硬件和軟件。但是，提高網絡基礎設施的安全性還具有其他優勢：

• 更好的網絡性能：可靠的基礎架構可增加正常運行時間并提高網絡性能。公司還享有更快的上市時間、更可預測的擴展和一致的應用程序性能。
• 安全 BYOD：?隨著公司希望利用依賴員工自有設備的好處，自帶設備越來越受歡迎。高級別的網絡基礎設施安全確保公司能夠實時識別任何與 BYOD 相關的問題或威脅。這同樣適用于員工帶到工作場所的所有個人設備。
• 快速識別使用不當的資產：網絡資產可能在一個地方不必要地使用，但在另一個地方卻非常需要。適當的基礎設施監控可以快速識別此問題并重定向資源，而不是浪費金錢來彌補這種不平衡。
• 有限的爆炸半徑：如果入侵者破壞了網絡基礎設施，安全協議會立即通知防御團隊。惡意行為者造成破壞的時間更少，網絡將阻止任何橫向移動的嘗試。
• 改進帶寬使用：強大的網絡基礎設施安全性導致對網絡帶寬容量的可靠管理。公司通過快速識別流量特征來節省資金，包括隨時使用多少帶寬以及用于什么目的。

網絡基礎設施安全的挑戰

除了初始投資外，改善網絡基礎設施的保護沒有明顯的缺點。但是，在提高網絡基礎設施安全性時，您應該了解幾個挑戰：

• 如果有多個不同的子網和業務站點，集中流量可能會很困難。在這種情況下，網絡可見性、監控和管理也可能具有挑戰性。
• 刪除重復數據對于網絡基礎設施安全的有效性至關重要。如果解決方案處理過多的重復數據，則防御措施在檢測威脅方面可能會變得不那么有效。
• 如果一家公司依賴多個網絡安全提供商，確保系統將正確的數據發送到正確的工具可能會很復雜。

除了這些困難之外，維持高水平基礎設施安全的最大挑戰是粗心或不知情的員工。與大多數安全工作一樣，人員是最薄弱的環節，因此請確保您的員工：

• 了解網絡安全最佳實踐。
• 了解保持網絡基礎設施安全的重要性。
• 了解公司如何保護網絡設備和軟件。
• 知道如果他們檢測到可疑活動該怎么辦。

任何具有網絡安全意識的組織都必須這樣做

強大的基礎架構可降低運營成本、提高生產力，并使敏感數據遠離入侵者。雖然沒有任何安全策略可以阻止 100% 的攻擊嘗試，但網絡基礎設施安全可以最大限度地減少網絡攻擊后的后果，并確保您盡快恢復運營。