人們有時候會忘記安全的根本,只是去追求某些耀人眼目的新技術,結果卻發(fā)現(xiàn)最終一無所得。而在如今的經(jīng)濟環(huán)境下,有限的安全預算也容不得你置企業(yè)風險最高的區(qū)域于不顧而去追求什么新技術。當然,這些高風險區(qū)域并非對所有人都相同,而且會時常發(fā)生變化。不良分子總是會充分利用這些高風險區(qū)域實施攻擊,而我們今天所看到的一些很流行的攻擊也早已不是我們幾年前所看到的攻擊類型了。寫作本文的目的,就是要看一看有哪些安全解決方案可以覆蓋到目前最廣的區(qū)域,可以防御各種新型威脅的。從很多方面來看,這些解決方案都是些不假思索就能想到的辦法,但是你卻會驚訝地發(fā)現(xiàn),有如此多的企業(yè)(無論是大企業(yè)還是小企業(yè))卻并沒有將它們安放在應該放置的地方。很多時候它們只是一種擺設而已。
下面給出的基本安全方案,如果結合得當,將能夠有效地制止針對企業(yè)的數(shù)據(jù)、網(wǎng)絡和用戶的攻擊,會比當今市場上任何安全技術的結合都要好。盡管市場上還有其他很多非常有用的安全解決方案,但如果要選出最有效和現(xiàn)成可用的方案,那么我的選擇還是這。
防火墻
這塊十多年來網(wǎng)絡防御的基石,如今對于穩(wěn)固的基礎安全來說,仍然十分需要。如果沒有防火墻屏蔽有害的流量,那么企業(yè)保護自己網(wǎng)絡資產(chǎn)的工作就會成倍增加。防火墻必須部署在企業(yè)的外部邊界上,但是它也可以安置在企業(yè)網(wǎng)絡的內部,保護各網(wǎng)絡段的數(shù)據(jù)安全。在企業(yè)內部部署防火墻還是一種相對新鮮但卻很好的實踐。之所以會出現(xiàn)這種實踐,主要是因為可以區(qū)分可信任流量和有害流量的任何有形的、可靠的網(wǎng)絡邊界正在消失的緣故。舊有的所謂清晰的互聯(lián)網(wǎng)邊界的概念在現(xiàn)代網(wǎng)絡中已不復存在。最新的變化是,防火墻正變得越來越智能,顆粒度也更細,能夠在數(shù)據(jù)流中進行定義。如今,防火墻基于應用類型甚至應用的某個功能來控制數(shù)據(jù)流已很平常。舉例來說,防火墻可以根據(jù)來電號碼屏蔽一個SIP語音呼叫。
安全路由器
(FW、IPS、QoS、VPN)--路由器在大多數(shù)網(wǎng)絡中幾乎到處都有。按照慣例,它們只是被用來作為監(jiān)控流量的交通警察而已。但是現(xiàn)代的路由器能夠做的事情比這多多了。路由器具備了完備的安全功能,有時候甚至要比防火墻的功能還全。今天的大多數(shù)路由器都具備了健壯的防火墻功能,還有一些有用的IDS/IPS功能,健壯的QoS和流量管理工具,當然還有很強大的VPN數(shù)據(jù)加密功能。這樣的功能列表還可以列出很多。現(xiàn)代的路由器完全有能力為你的網(wǎng)絡增加安全性。而利用現(xiàn)代的VPN技術,它可以相當簡單地為企業(yè)WAN上的所有數(shù)據(jù)流進行加密,卻不必為此增加人手。有些人還可充分利用到它的一些非典型用途,比如防火墻功能和IPS功能。打開路由器,你就能看到安全狀況改善了很多。