6、网络安全与路由器管理详解

网络安全与路由器管理详解

1. 深度防御概念

在当今动态的网络环境中，仅保护网络边界已远远不够。随着企业内部网、外部网、远程用户以及无线技术的广泛应用，确定网络边界的实际位置变得愈发困难。攻击者现在有了更多潜在的访问点和丰富的工具来尝试突破网络。

为了应对这一挑战，最佳解决方案是实施深度防御概念，构建多层防御体系，各层相互弥补可能存在的弱点。深度防御的关键在于所有组件协同工作，单个组件的故障并不一定意味着攻击成功，因为攻击可以在多个不同点被缓解。

网络中的任何事物，包括网络本身，都可能成为潜在攻击的目标。深度防御由多个组件组成，具体如下表所示：
| 术语 | 定义 |
| — | — |
| 安全策略 | 组织安全实施的核心。定义了网络上允许的人员/事物、系统的保护方式以及各项功能的责任人。安全策略是一份策略文档，不包含具体的技术信息。 |
| 有效使用AAA | 确保只有授权用户能够访问网络资源，并提供用于趋势分析的计费信息。 |
| VPN广域网连接 | 确保不同位置和网络段之间的安全连接。 |
| 网络分段 | 按资产价值和类型分离资源，为高价值资源提供多层安全保护。包括使用RFC 1918地址和NAT/PAT。 |
| 动态边界安全 | 需要使用防火墙和带有基于网络的IPS的路由器进行动态配置。这种组合使边界能够检测和响应攻击。 |
| 基于主机的防御 | 最后一道防线。如果攻击者能够突破网络并到达目标，基于主机的IDS/IPS将终止其行动。基于异常的IDS/IPS可以防止未知攻击，因为它会对任何偏离允许基线的行为做出反应。 |
| 有效监控 | 监控各种网络设备的日志输出对于发现网