如何避免企业网络安全设备部署失败的解决方案

扩展型企业的概念给IT安全组合带来越来越严峻的问题,因为它们的敏感数据和有价值的数据经常会流出传统网络边界。为了保护企业不受多元化和低端低速可适应性的持久威胁,IT企业正在部署各种各样的新型网络安全设备:下一代防火墙、IDS与IPS设备、安全信息事件管理(SIEM)系统和高级威胁检测系统。理想情况下,这些系统将集中管理,遵循一个集中安全策略,隶属于一个普遍保护战略。

然而,在部署这些设备时,一些企业的常见错误会严重影响他们实现普遍保护的能力。本文将介绍在规划与部署新型网络安全设备时需要注意的问题,以及如何避免可能导致深度防御失败的相关问题。

不要迷信安全设备

一个最大的错误是假定安全设备本身是安全的。表面上这似乎很容易理解,但是一定要坚持这个立足点。所谓的"增强"操作系统到底有多安全?它的最新状态是怎样的?它运行的"超稳定"Web服务器又有多安全?

在开始任何工作之前,一定要创建一个测试计划,验证所有网络安全设备都是真正安全的。首先是从一些基础测试开始:您是否有在各个设备及其支持的网络、服务器和存储基础架构上按时升级、安装补丁和修复Bug?在根据一些记录当前已知漏洞信息的资料交换中心(如全国漏洞数据库)的数据进行检查,一定要定期升级和安装设备补丁。

然后,再转到一些更难处理的方面:定期评估多个设备配置的潜在弱点。加密系统和应用交付优化(ADO)设备的部署顺序不当也会造成数据泄露,即使各个设备本身能够正常工作。这个过程可以与定期执行的渗透测试一起进行。

评估网络安全设备的使用方式

对于任意安全设备而言,管理/控制通道最容易出现漏洞。所以,一定要注意您将要如何配置和修改安全设备--以及允许谁执行这些配置。如果您准备通过Web浏览器访问一个安全系统,那么安全设备将运行一个Web服务器,并且允许Web流量进出。这些流量是否有加密?它是否使用一个标准端口?所有设备是否都使用同一个端口(因此入侵者可以轻松猜测到)?它是通过一个普通网络连接(编内)还是独立管理网络连接(编外)进行访问?如果属于编内连接,那么任何通过这个接口发送流量的主机都可能攻击这个设备。如果它在一个管理网络上,那么至少您只需要担心网络上的其他设备。(如果它配置为使用串口连接和KVM,则更加好。)最佳场景是这样:如果不能直接访问设备,则保证所有配置变化都必须使用加密和多因子身份验证。而且,要紧密跟踪和控制设备管理的身份信息,保证只有授权用户才能获得管理权限。

应用标准渗透测试工具

如果您采用了前两个步骤,那么现在就有了很好的开始--但是工作还没做完。黑客、攻击和威胁载体仍然在不断地增长和发展,而且您必须定期测试系统,除了修复漏洞,还要保证它们能够抵挡已发现的攻击。

那么,攻击与漏洞有什么不同呢?攻击是一种专门攻破漏洞的有意行为。系统漏洞造成了攻击可能性,但是攻击的存在则增加了它的危害性--漏洞暴露从理论变为现实。

渗透测试工具和服务可以检查出网络安全设备是否容易受到攻击的破坏。一些开源工具和框架已经出现了很长时间,其中包括Network Mapper(Nmap)、Nikto、开放漏洞评估系统(Open Vulnerability Assessment System, OpenVAS)和Metasploit.当然 ,也有很多的商业工具,如McAfee(可以扫描软件组件)和Qualys的产品。

这些工具广泛用于标识网络设备处理网络流量的端口;记录它对于标准测试数据包的响应;以及通过使用OpenVAS和Metasploit测试它面对一些常见攻击的漏洞情况(更多出现在商业版本上)。

其他渗透测试工具则主要关注于Web服务器和应用,如OWASP Zed Attack Proxy(ZAP)和Arachni.通过使用标准工具和技术,确定安全设备的漏洞--例如,通过一个Web管理接口发起SQL注入攻击,您就可以更清晰地了解如何保护网络安全设备本身。

在部署网络安全设备时降低风险

没有任何东西是完美的,因此没有任何一个系统是毫无漏洞的。在部署和配置新网络安全设备时,如果没有应用恰当的预防措施,就可能给环境带来风险。采取正确的措施保护设备,将保护基础架构的其他部分,其中包括下面这些经常被忽视的常见防范措施:

修改默认密码和帐号名。

禁用不必要的服务和帐号。

保证按照制造商的要求更新底层操作系统和系统软件。

限制管理网络的管理接口访问;如果无法做到这一点,则要在上游设备(交换机和路由器)使用ACL,限制发起管理会话的来源。

由于攻击也在进化,所以要定期检查渗透测试。要保持OpenVAS和Metasploit等工具的更新,而且它们可以使用的攻击库也在稳步增长。

基线是什么呢?制定一个普遍保护策略只是开始。要保护现在漫无边际增长的设备和数据,您需要三样东西:一个普适保护策略、实现策略的工具与技术及保证这些工具与技术能够实现最大保护效果的政策与流程。所有政策与流程既要考虑网络安全设备本身(个体与整体)的漏洞,也要考虑专门针对这些漏洞且不断发展变化的攻击与威胁载体。

上就是避免企业网络安全设备部署失败的解决方案,谢谢阅读,希望能帮到大家,请继续关注,我们会努力分享更多优秀的文章。

(0)

相关推荐

  • 阿里云企业邮箱邮件发送失败怎么回事?

    阿里云企业邮箱邮件发送失败怎么回事? 企业邮箱WebMail发送邮件失败,可参考以下现象进行排查: 问题现象1.登录在webmail测试向外部邮箱发信失败,提示:"发件人地址错误",如图: 问题现象2.客户端软件中设置邮箱时,服务器参数均正确,但是验证失败或发信失败,如图: 或者如图: 以上情况与邮箱域名的解析状态有关,即若邮箱域名显示"解析未生效"时,邮箱功能不可用会出现如上错误信息 请作以下检查: 1.邮箱域名的mx解析,有无正确设置指向万网邮箱服务器,详见[企

  • Windows10系统下语言包安装失败的解决方案

    Windows10系统下语言包安装失败的解决方案.Windows10正式版系统已经发布挺长时间了,但是语言包的安装还是一个很大的难题.很多朋友都反馈Windows10语言包不会安装或者安装会失败,这该怎么办呢?为了帮助这些Win10爱好者,小编特意整理了一篇Win10语言包的安装教程,具体内容请看下文. 具体方法如下: 1.下载好多国语言包以后,我只提取了中文语言包把它解压出来备用; 2.通过组合键WIN+R把运行工具调出来,再在运行中输入lpksetup这个命令,再点击一下OK; 3.出来的英

  • 虚拟环境中企业网络安全模式分类

    企业IT组织的工作往往是围绕计算.网络.存储和安全领域的维护和支持.这些队伍的进一步专业化是由影响力和技能领域所带动的,带着责任和资源,转变成业务.建筑和工程的角色. 这些组织结构是分层的,也是标准化和流程驱动的,在环境变得高度虚拟化时,它不能与所需要的敏捷方法相契合.当一个系统管理员要负责所有虚拟化功能时,技术领域就显得综合而且抽象. 尽管这些结构和IT类整合迫使新的运营模式的出现,而我们保护虚拟环境的方法并没有和新的运营模式一起进化. 保护工作负载的最先进模式 当团队考虑虚拟环境中企业网络安

  • 三星s5系统更新怎么显示设备注册失败?

    1.检查手机显示的时间和日期是否正确.通过FOTA方式升级手机固件时,手机需要设置为当前时间. 2.确定手机有足够的电量以及足够的存储空间(需要至少1GB 的USB存储器). 3.检查手机上网是否正常(WLAN或移动数据,由于升级固件时会消耗较多流量,建议通过WLAN上网方式升级). 4.如果浏览网页正常,建议换个时间段尝试. 5.如果依然无法通过FOTA方式升级手机固件,建议备份手机中数据(联系人,短信,图片等),然后恢复出厂设置(设定-重置/隐私权/个人-恢复出厂设置).

  • Win7安装Visual Studio2015 失败的解决方案

    具备WP/iOS/Android全平台开发能力的Visual Studio 2015开发工具的推出,Visual Studio 2015的变动,也许不仅仅会让开发者和程序员们感到惊讶.特别是其对WP/iOS/Android平台的全兼容能力,尤其引人瞩目. 安装之前先要看看自己的系统支不支持,具体的可以看:httPS://www.visualstudio.com/en-us/visual-studio-2015-system-requirements-vs.aspx,整个的安装过程和Visual

  • Windows7上安装vs2015失败的解决方案

    具备WP/iOS/Android全平台开发能力的Visual Studio 2015开发工具的推出,Visual Studio 2015的变动,也许不仅仅会让开发者和程序员们感到惊讶.特别是其对WP/iOS/Android平台的全兼容能力,尤其引人瞩目. 安装之前先要看看自己的系统支不支持,具体的可以看:httPS://www.visualstudio.com/en-us/visual-studio-2015-system-requirements-vs.aspx,整个的安装过程和Visual

  • 无线认证提示"设备所有权密码"的解决方案

    问题描述 用户来电表示XP系统,在无线认证的时候提示:输入设备所有权密码,问如何解决。 解决方案 方案一: 在地址栏中输入 http://x.x.x.1 (无线路由IP)打开路由器管理界面,然后查看左侧类似“WPS一键安全设定”的选项或者QSS密码,里面就有一个“当前PIN码”的八位数字,这个就是所谓的“设备所有权密码”,输入之后wifi会出现提示输入网络密码,然后按照提示输入保存,即可正常上网。 方案二: 在控制面板中卸载intel自带的wifi软件,如果是intel5100下载安装(知识编号

  • windows7中U盘无法停止通用卷设备的五种解决方案

    平常在使用完U盘以后都得小心翼翼的检查是否相关程序已经关闭,免得在安全删除U盘时,大家又会遇到那个熟悉得不能再熟悉的讨厌的提示“无法停止‘通用卷’设备,请稍候再停止该设备。” 从网络上整理了一共5种解决方案,有简单也有稍微繁琐的,不过只要是能最终解决问题,过程有时候真的不那么重要,但不过来反过来一想,过程也是一个学习的经历,不能说这个方法不管用,下次就没必要使用了,每一个人的电脑环境不同,产生问题及其解决方案也会不同,成长自己,帮助他人也未尝不可。 第一种方法: 往往我们在把U盘的文件或者数据取

  • 皮皮播放器"网络连接失败"错误解决方案

    最近用皮皮播放器看电视遇到这样一个错误提示“网络连接失败”小编找到了解决方法在此分享一下! 防火墙问题。请检测您的网络是否正常或防火墙设置。 具体方法: 请在您的防火墙设置里面允许安装目录下的 jfcachemgr.exe、kmliveupdata.exe、pipiplayer.exe访问网络。 (1) 确定您的网络正常,如果网络断开,或太慢(如:只能上QQ,但是打开网页很慢),在点播动作提交之后由于长时间得不到响应,会弹出这个提示。 (2) 检查您的防火墙设置,是否把皮