网络安全边界你该知道的！

企业网络安全关键在找准安全边界（攻击点）：边界的左边是攻击者（脚本小子、骇客、APT攻击），边界的右边是网络资产、信息资产。企业网络安全建设则在安全边界处设防，尽可能做到安全边界不被攻破。

然而随着业务增多、技术演变、模式调整等因素，安全边界越来越多，也越来越模糊。但我们仍然要梳理出企业网络所有的安全边界，并全部加以防护，毕竟网络安全遵循短板效应，挂一漏万。

1.简单的企业网络架构

如下用于发现安全边界的企业网络架构demo图：

2.发现网络安全边界

从“大安全”的角度，企业网络安全分被攻击和“被”发起攻击，所以企业既要保证自身网络安全，还要保证不被利用起来攻击其他企业网络

2.1DNS服务

①没有托管DNS解析服务，自搭的DNS服务解析内外网域名，注意内外网区分

②DNS服务软件漏洞

②DNS被用来放大攻击他人网络

2.2CDN服务

①CDN的DNS服务失效，导致自己业务无法访问

②CDN回原流量(cdn请求业务服务器)未加密，被嗅探

③CDN边缘服务器存在漏洞，泄露内存数据

④同一CDN服务器的其他公司业务存在漏洞（边缘节点不隔离）

2.3业务服务器

①采用多网关负载均衡 防止DDOS攻击、CC攻击

②网关/防火墙采用最少端口原则，仅允许入方向的80、443端口，不允许出方向的流量，防止外带泄露数据

③对提供web服务进行安全评估，全站https

（大部分企业对外业务为web形式）

2.4云托管服务器

云服务器提供了类似防火墙的功能，但云服务器内部网络隔离安全仍需验证。

2.5邮件服务

①伪造发件人攻击

以前的邮局递信都是在各邮局分部放置一个邮筒，只要贴上邮票任何人都能以任何身份向任何人寄信。

互联网邮件服务分为寄信服务和收信服务。下面是邮件发送接收过程简述

1、用户A使用密码登录163邮箱后，撰写邮件发送到好友B的qq邮箱；

2、163邮箱服务器的寄信服务将邮件递送到qq邮箱服务器，此过程不需要提供密码；

3、用户B登录qq邮箱后，通过qq邮箱收信服务，收到来自A的邮件；

其实互联网邮件与邮局递信流程上并未改变，只是163邮箱，qq邮箱等代替了邮局分部，都存在身份认证的问题。

比如恶意用户C，伪造邮件递送到qq邮箱服务器发送给用户B，且声称自己是用户A，此过程是可行的，只需要找到QQ邮箱的SMTP服务器地址即可

有两类伪造情况：伪造发件人ceo@qq.com，发邮件到hr@qq.com；另一种是伪造ceo@qq.com发邮件到cfo@163.com。都存在社工攻击场景

配置DNS的SPF(宣称本域发件服务器的ip地址)，DKIM(宣称本域公钥)策略，接收域进行验证

②携带恶意附件，客户端防毒，邮件网关杀毒

配置DNS的SPF(宣称本域发件服务器的ip地址)，DKIM(宣称本域公钥)策略，接收域进行验证

②携带恶意附件，客户端防毒，邮件网关杀毒

③密码爆破，邮件中包含服务器信息、架构信息、商务信息

④邮件客户端漏洞：foxmail，outlook，web方式，企业邮箱

2.6访客wifi

①设置WAP2密码，禁止访问内部网络

②保护WiFi物理安全，保证不被重置密码，更新固件等

③限制WiFi强度，不需要扩散很远

④检测伪造的相同SSID的WiFi，防范钓鱼

⑤禁止私搭WiFi接入点

2.7VPN

①账号及权限设置，不同权限访问不同的内部网络

②证书方式登陆，防止爆破

③VPN软件安全

【免责声明】：部分内容、图片来源于互联网，如有侵权请联系删除，QQ：228866015