设计安全高效网络的17个关键策略

随着越来越多的业务流程走向数字化，拥有一个强大可靠的网络能够处理日益增长的日常流量对于维持生产力和服务至关重要。同时，网络攻击者永远不会停滞不前，每家组织都是潜在的目标。

技术领导者及其团队比以往任何时候更知道设计一种网络架构的重要性，以便提供可靠的服务，并防御未经授权的访问。《福布斯》杂志技术委员会的17位专家成员在本文中分享并解释了组建和维护安全高效网络的一些关键策略，这是当今数字化工作场所的必备知识。

1. 清点盘查所有网络资产

技术人员在设计网络时很少拥有一个全新的环境。相反，他们面对的是必须更新改造的现有基础设施。首先为所有网络资产列一份最新的清单，并绘图以勾勒网络当前的状态和未来的预期状态。完成这项工作后，在进行任何更改之前备份所有当前配置。

2. 寻求决策者的意见

一种安全高效的网络架构需要听取业务决策者的意见，包括需要完成的内容以及在任何特定的网段中必须使用的资源。一旦为整个组织确立了目标，应采用软件定义的网络分割。使用硬件和代理实施整个架构成本太高、难度太大，而且无法轻易扩展。

3. 实施最小权限

实施最小权限原则对于设计安全高效的网络架构至关重要。这包括将用户和系统的访问权限限制在执行其任务所需的最低级别，从而减小安全漏洞和跨网段未经授权访问的潜在影响。

4. 采用零信任模式

在设计安全的网络架构时，应采用零信任模式。这意味着在授予网段访问权限之前，要对每个用户和设备进行验证，无论其位置在哪里。基于需要知道的标准采用严格的访问控制机制进行分段，确保了严格的安全性和高效的流量管理，最大限度地降低了风险，并优化了性能。

5. 遵循“纵深防御”原则

一个关键原则名为“纵深防御”。这意味着不依赖单一的技术、政策或流程来保护网络的任何部分。使用这种方法，你假定保护网络一部分的任何一层（防火墙、密码或IP白名单）都可能被攻陷。然后，你设计结合多种毫不相关的方法以减轻威胁的防护措施。

6. 分割网络

设计安全高效的网络架构的一个关键原则是实施可靠的网络分段。这将网络划分为单独的区域，每个区域都有独特的访问控制机制，缩小攻击面，并遏制潜在漏洞。

7. 融入BFT原则

将拜占庭容错（BFT）原则融入到网络设计中。BFT是指在存在故障或恶意组件/部件的情况下，确保系统的可靠性和安全性。比如说，如果你引入冗余机制，并将网络划分为不同的节点，每个节点都有独立的验证机制，网络就可以抵御并隔离攻击或故障事件。

8. 自动加密数据

尽可能对敏感数据和内容采取加密保护，无论数据和内容在什么环境中。为此可以自动加密所有的敏感数据、内容和文档，并以数字方式将它们分配给适当的组、角色及/或个人，从创建或摄取这类内容开始入手，并在整个生命周期中持续进行。

9. 创建VLAN

创建虚拟局域网（VLAN）是设计安全高效的网络基础设施的最佳实践。比如说，安全摄像头、VoIP耳机、测试环境、公共会议室和Wi-
Fi都应该在VLAN上隔离开来。如果操作得当，这让你可以隔离和修复特定内部网络上的恶意尝试和攻击。

10. 限制人为错误的影响

软件很脆弱，人类难免犯错，所以个人系统和用户受攻击不可避免。安全网络设计旨在设计的系统确保恶意软件和人为错误的影响在时间和空间上受限制。试想：如果节点X受到了威胁，节点Y和你的网络部件该如何配置以防止攻击不会扩散开来？

11. 建立访客网络

建立一个与主网络隔离的访客网络。任何不属于贵公司的设备（比如公司已制定自带设备策略）只能连接到访客网络。你无法控制不属于贵公司的设备访问的网站或网站上的内容，你永远不知道这些设备上存在什么威胁。拥有访客网络可以隔离BYOD策略带来的任何威胁。

12. 竭力隔离流量

网络设计者需要全面了解预期的流量、业务目的和威胁。他们应该设计隔离流量的网络，便于监测点和控制点发现和管理异常流量。尽管微分割和入侵检测等技术模糊了隔离线，但坚持采用控制点仍然是安全网络设计的关键原则。

13. 尽量减少“跳数”

尽量减少数据包需要经过的“跳数”（hop）很重要，因为每一跳都会加大数据丢失的可能性。除了防御方法（比如外部密钥管理）和主动方法（比如加密灵活性）外，防止风险的最佳方法是部署多个安全层，以防止攻击者在网络中横向移动时访问和提取关键数据。

14. 了解联网资产的行为

你需要了解联网资产的行为以及它们所处的环境。它们连接到什么设备？什么时候连接？实现所需功能的基本通信是什么？自动化和人工智能有助于为设备活动确立一个基准，这对于定义只允许获得批准的通信、阻止其他一切通信的分段策略至关重要。

15. 隔离生产网络与非生产网络

要实现适当的网络隔离，最关键的设计原则之一是将生产网络与非生产（即办公）网络完全隔离开来。这是防止勒索软件攻击从非生产网络扩散到关键生产网络的重要防御措施，这些类型的攻击通常针对非生产网络（通过电子邮件）。

16. 采取多步骤的方法设置防火墙

设计一个防火墙规则，并部署规则，只有日志功能（没有阻塞）。在进入完全阻塞之前，根据需要调整规则。确保考虑到在月末、季度末或年末运行的非典型流程，在每周的正常工作时间内通常不会发现这些流程。

17. 隔离各个IIoT流程

在生产制造环境中，建议将生产流程及其相关的工业物联网（IIoT）设备托管在隐蔽的网络上，这些网络被严密地屏蔽和保护起来。确保在不同的网络上隔离每个流程及其相关的IIoT设备。当需要访问流程或其IIoT设备时，部署安全的单一入口点平台。

接下来我将给各位同学划分一张学习计划表！

学习计划

那么问题又来了，作为萌新小白，我应该先学什么，再学什么？
既然你都问的这么直白了，我就告诉你，零基础应该从什么开始学起：

阶段一：初级网络安全工程师

接下来我将给大家安排一个为期1个月的网络安全初级计划，当你学完后，你基本可以从事一份网络安全相关的工作，比如渗透测试、Web渗透、安全服务、安全分析等岗位；其中，如果你等保模块学的好，还可以从事等保工程师。

综合薪资区间6k~15k

1、网络安全理论知识（2天）
①了解行业相关背景，前景，确定发展方向。
②学习网络安全相关法律法规。
③网络安全运营的概念。
④等保简介、等保规定、流程和规范。（非常重要）

2、渗透测试基础（1周）
①渗透测试的流程、分类、标准
②信息收集技术：主动/被动信息搜集、Nmap工具、Google Hacking
③漏洞扫描、漏洞利用、原理，利用方法、工具（MSF）、绕过IDS和反病毒侦察
④主机攻防演练：MS17-010、MS08-067、MS10-046、MS12-20等

3、操作系统基础（1周）
①Windows系统常见功能和命令
②Kali Linux系统常见功能和命令
③操作系统安全（系统入侵排查/系统加固基础）

4、计算机网络基础（1周）
①计算机网络基础、协议和架构
②网络通信原理、OSI模型、数据转发流程
③常见协议解析（HTTP、TCP/IP、ARP等）
④网络攻击技术与网络安全防御技术
⑤Web漏洞原理与防御：主动/被动攻击、DDOS攻击、CVE漏洞复现

5、数据库基础操作（2天）
①数据库基础
②SQL语言基础
③数据库安全加固

6、Web渗透（1周）
①HTML、CSS和JavaScript简介
②OWASP Top10
③Web漏洞扫描工具
④Web渗透工具：Nmap、BurpSuite、SQLMap、其他（菜刀、漏扫等）

那么，到此为止，已经耗时1个月左右。你已经成功成为了一名“脚本小子”。那么你还想接着往下探索吗？

阶段二：中级or高级网络安全工程师（看自己能力）

综合薪资区间15k~30k

7、脚本编程学习（4周）
在网络安全领域。是否具备编程能力是“脚本小子”和真正网络安全工程师的本质区别。在实际的渗透测试过程中，面对复杂多变的网络环境，当常用工具不能满足实际需求的时候，往往需要对现有工具进行扩展，或者编写符合我们要求的工具、自动化脚本，这个时候就需要具备一定的编程能力。在分秒必争的CTF竞赛中，想要高效地使用自制的脚本工具来实现各种目的，更是需要拥有编程能力。

零基础入门的同学，我建议选择脚本语言Python/PHP/Go/Java中的一种，对常用库进行编程学习
搭建开发环境和选择IDE，PHP环境推荐Wamp和XAMPP，IDE强烈推荐Sublime；

Python编程学习，学习内容包含：语法、正则、文件、网络、多线程等常用库，推荐《Python核心编程》，没必要看完

用Python编写漏洞的exp,然后写一个简单的网络爬虫

PHP基本语法学习并书写一个简单的博客系统

熟悉MVC架构，并试着学习一个PHP框架或者Python框架 (可选)

了解Bootstrap的布局或者CSS。