0


系统安全 - 内网安全与防护措施

文章目录

在这里插入图片描述

导图

在这里插入图片描述


内网的“最小权限原则”及其实施

“最小权限原则”是一种核心的安全策略,旨在尽量减少潜在攻击者的行动空间和权限,即便黑客进入内网,仍能通过权限隔离限制其访问范围。该原则通过网络划分资源隔离实现:

  • 水平划分:通过 VLAN(虚拟局域网)将不同身份和角色(如正式员工、外包员工、访客)的用户隔离在不同的子网中。这种划分能有效阻止无关用户访问敏感资源。
  • 垂直划分:内网与外网的隔离,确保外部用户不能直接访问内网资源。路由器在此过程中发挥关键作用,允许内网设备访问外网,但阻止外网访问特定的内网设备。

在这里插入图片描述

通过这两种划分,内网中的设备和用户能够在有限范围内访问,避免了内网资源被不相关的设备或用户滥用。


有线和无线网络的安全挑战

无线网络

  • 加密和认证:无线网络中数据通过射频技术传输,数据容易被“广播”出去。因此,WPA2 等加密协议可确保无线数据的安全性,尽管它们在认证方面仍有不足。企业可以采用“强制门户”来增加认证层级,例如,用户需要通过公司邮箱和密码进行身份验证。
  • 伪造热点的劫持:通过伪造已知网络 ID,黑客可以利用自动连网功能欺骗设备连入伪造热点。避免的方法是在内网中进行未知热点的扫描,及时发现并处理可能的攻击源。

在这里插入图片描述

有线网络

  • ARP 和 DNS 劫持:虽然有线网络本质上更为安全,因其物理连接无法轻易被突破,但 ARP 和 DNS 协议存在的漏洞使得黑客可以通过伪造包来误导流量。防范手段包括网络隔离及定期检测异常流量路径,及时发现并阻止劫持攻击。在这里插入图片描述

DDoS 攻击的理解与应对

DDoS(分布式拒绝服务攻击)通过大量“肉鸡”设备向目标服务器发起海量请求,消耗其网络带宽,使其无法为正常用户提供服务。传统的 DoS 攻击可以通过漏洞或资源耗尽使服务瘫痪,DDoS 则进一步通过分布式控制,使得防御变得更加困难。

  • 带宽扩容:由于 DDoS 攻击的流量往往超出普通防御能力,云服务商提供带宽扩容服务,例如购买 40G 的防 DDoS 带宽保护。这样可以在一定范围内抵抗流量激增,维持服务的正常运行。

尽管目前没有完美的防护措施,但通过实时监控网络流量并采取带宽扩展方案,可以显著缓解 DDoS 对企业的威胁。


小结

  • 最小权限原则通过水平和垂直划分确保内网的访问权限有限。
  • 无线网络通过 WPA2 加密协议和强制门户认证提供基础安全,防范伪造热点和劫持。
  • 有线网络需要防范 ARP 和 DNS 劫持,定期监测异常流量路径。
  • DDoS 攻击难以完全阻止,但通过扩容带宽等手段可以减轻其影响。

在这里插入图片描述


本文转载自: https://blog.csdn.net/yangshangwei/article/details/142683114
版权归原作者 小小工匠 所有, 如有侵权,请联系我们删除。

“系统安全 - 内网安全与防护措施”的评论:

还没有评论