【愚公系列】《网络安全应急管理与技术实践》 007-网络安全应急技术与实践（网络层-网络架构）

🏆 作者简介，愚公搬代码 🏆《头衔》：华为云特约编辑，华为云云享专家，华为开发者专家，华为产品云测专家，CSDN博客专家，CSDN商业化专家，阿里云专家博主，阿里云签约作者，腾讯云优秀博主，腾讯云内容共创官，掘金优秀博主，51CTO博客专家等。 🏆《近期荣誉》：2022年度博客之星TOP2，2023年度博客之星TOP2，2022年华为云十佳博主，2023年华为云十佳博主等。

🏆《博客内容》：.NET、Java、Python、Go、Node、前端、IOS、Android、鸿蒙、Linux、物联网、网络安全、大数据、人工智能、U3D游戏、小程序等相关领域知识。

🏆🎉欢迎 👍点赞✍评论⭐收藏

🚀前言

网络架构安全是指在网络架构设计和实施过程中，通过采取合适的安全措施和技术手段来保护网络架构免受各种安全威胁和攻击的影响。网络架构安全涉及到网络设备的选择和配置、网络拓扑的设计、网络隔离和分割、访问控制和权限管理、数据加密和传输安全等方面。其目的是确保网络的可用性、完整性和保密性，防止未经授权的访问、信息泄露、数据篡改和服务中断等问题。

以下内容属于固定流程，来源于书本整理。

🚀一、网络架构安全防御措施检查

🔎1.网络架构安全

🦋1.1【检查重点】

(1)安全控制区域之间，如管理信息大区与生产控制大区网络之间的安全控制。

(2)检查是否单独划分安全域。

(3)网络设备安全性和可用性。

(4)检查办公区域内是否使用了无线设备，无线设备是否有连接控制规则

(5)检查网络拓扑结构图，查看其与当前运行的实际网络系统一致。

🦋1.2【检查方法】

(1)访谈网络管理员，询问管理信息大区与生产控制大区网络是否可以通信。

(2)检查管理信息大区与生产控制大区网络隔离装置是否只有单向通信功能。

(3)访谈安全管理员，询问管理信息大区内部网络与外部网络边界处是否部署安全防护设备。

(4)访谈网络管理员，询问子公司、驻点、外围终端等是否有统一的互联网出口。

(5)访谈网络管理员，询问是否单独划分安全域，独立子网承载，每个域的网络出口应唯一。

(6)检查网络设计或验收文档，查看是否有满足关键网络设备业务处理能力需要的设计或描述。

(7)检查汇聚层、核心层和互联网出口设备是否有双机热备。

(8)访谈网络管理员，询问网络中带宽控制情况以及带宽分配的原则。

(9)检查网络设计/验收文档，查看是否有主要网络设备业务处理能力、接入网络及核心网络的带宽满足业务高峰期的需要以及不存在带宽瓶颈等方面的设计或描述。

(10)按照对业务服务的重要次序来指定带宽分配优先级别，保证在网络发生拥堵的时候优先保护重要主机。

(11)访谈网络管理员，询问网络设备的路由控制策略有哪些，这些策略设计的目的是什么。

(12)检查边界和主要网络设备，查看是否配置路由控制策略以建立安全的访问路径。

(13)检查网络拓扑结构图，查看其与当前运行的实际网络系统是否一致。

(14)检查配置信息，查看是否包含设备名称、型号、P地址等信息，并提供网段划分、路由、安全策略等配置信息。

(15)检查网络设计或验收文档，查看是否有根据各部门的工作职能、重要性和所涉及信息的重要程度等因素、划分不同的子网或网段，并按照方便管理和控制的原则为各子网和网段分配地址段的设计或描述。

(16)访谈应用系统管理员，询问应用系统是否需要外网交互功能。

(17)访谈网络管理员，询问应用系统数据库的逻辑位置是否部署在安全设备之后，具备内网安全级别。

(18)访谈网络管理员，询问网络中带宽使用率超过80%时执行的带宽分配的原则。

(19)查看网络拓扑图，检查网络设备是否有备份设备。

(20)查看网络拓扑图，检查每一条关键通信线路是否都有双线通信。

🔎2.访问控制

🦋2.1【检查重点】

(1)检查是否开启设备日志，且使用日志服务器。

(2)检查边界网络设备是否有非法连接。

(3)检查边界网络设备是否实现对应用层HTTP、FTP、TELNET、SMTP、POP3 等协议命令级的控制。

🦋2.2【检查方法】

(1)检查是否开启设备日志审计功能或通过第三方审计设备统一管理

(2)检查是否对设备的运行状况、网络流量、用户行为等进行日志记录

(3)检查是否开启设备日志，且使用日志服务器。

(4)检查边界网络设备的访问控制策略，查看其是否根据会话状态信息对数据流进行控制，控制力度是否为端口级。

(5)检查边界网络设备，查看其是否对进出网络的信息内容进行过滤，实现对应用层HTTP、FTP、TELNET、SMTP、POP3 等协议命令级的控制。

(6)检查是否禁止以下服务:TCP\UDP\Smal\FingerHTTPHTTPS\BOOTIP Source RoutingVAPP-PROXY\CDP\FTP，这些服务均有高危漏洞。

(7)检查网络边界设备是否在会话处于非活跃一定时间或会话结束后终止网络连接。

(8)查看是否设置网络最大流量数及网络连接数

(9)检查终端私自外连情况。

(10)检查重要服务器是否采用IP+MAC+端口绑定。

(11)检查是否只允许合法的网管网段或网管维护主机地址作为源地址发起对设备的远程登录连接，如TELNET、SSH、HTTP、SNMP、Syslog远程登录等。

(12)检查对非法P的限制。

(13)除此之外所有以设备端口P地址为目的地址数据包都被拒收

(14)检查安全策略是否严格限制具有拨号访问权限的用户数量。

🔎3.安全审计

🦋3.1【检查重点】

(1)检查边界和关键网络设备的安全审计策略和事件审计记录。

(2)重要策略开启信息流日志必须保存六个月。

(3)验证安全审计的保护情况与要求是否一致。

🦋3.2【检查方法】

(1)检查边界和关键网络设备的安全审计策略，查看其是否包含网络设备运行状况、网络流量、用户行为等。

(2)针对重要策略开启信息流日志，将日志转发至SYSLOG 服务器日志必须保存六个月以上。

(3)检查边界和主要网络设备的事件审计记录，查看是否包括事件的日期和时间、用户、事件类型、事件成功情况，及其他与审计相关的信息。

(4)检查边界和主要网络设备，查看是否为授权用户浏览和分析审计数据提供专门的审计工具，并能根据需要生成审计报表。

(5)测试边界和主要网络设备，可通过以某个非审计用户登录系统，非审计用户不能查看审计记录;以审计用户登录系统，审计用户不能删除、修改、覆盖审计记录，验证安全审计的保护情况与要求是否一致。

🔎4.安全区域边界

🦋4.1【检查重点】

检查安全区域边界设备，测试其是否能够对非授权设备私自接入内部网络的行为进行检查，并准确确定位置，对其进行有效阻断。

🦋4.2【检查方法】

(1)检查安全区域边界设备的非法外联和非授权接入策略，查看是否设置了对非法连接到内网和非法连接到外网的行为进行监控并有效地阻断的配置。

(2)测试安全区域边界设备，测试是否能够对非授权设备私自接入内部网络的行为进行检查，并准确确定位置，对其进行有效阻断。

(3)测试安全区域边界设备，测试是否能够确定非法外联设备的位置，并对其进行有效阻断。

(4)检查是否有部署网络准入系统、终端控制系统、身份认证域控系统、可信计算访问系统等能够胜任维护网络边界完整性的技术手段，并检查是否有效。

🔎5.入侵防范

🦋5.1【检查重点】

(1)检查网络入侵防范措施有哪些

(2)检查网络入侵防范设备有效性

🦋5.2【检查方法】

(1)访谈安全管理员，询问网络入侵防范措施有哪些，是否有专门设备对网络入侵进行防范;询问网络入侵防范规则库的升级方式。

(2)检查网络入侵防范设备，查看是否能检测以下攻击行为;端口扫播强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击、网络蠕虫攻击等。

(3)数据中心网络与骨干网的边界处应部署防火墙和IDS(或IPS)，用于数据中心与骨干网之间、数据中心内各VLAN之间的隔离和访问控制，以及对访问流量的监控。

(4)检查网络入侵防范设备的入侵时间记录，查看记录中是否包括入侵的源 IP、攻击的类型、攻击的目的、攻击的时间等。

(5)检查网络入侵防范设备的规则库版本，查看其规则库是否及时更新。

(6)测试网络入侵防范设备，验证其检查策略是否有效。

(7)测试网络入侵防范设备，验证其报警策略是否有效。

🔎6.恶意代码防范

🦋6.1【检查重点】

(1)检查在网络边界及核心业务网段处是否有相应的防恶意代码措施。

(2)检查防恶意代码产品恶意代码库是否为最新版本，询问恶意代码库的更新策略。

🦋6.2【检查方法】

(1)检查在网络边界及核心业务网段处是否有相应的防恶意代码措施。

(2)检查防恶意代码产品，查看其运行是否正常，恶意代码库是否为最新版本，询问恶意代码库的更新策略。