網路安全架構規劃策略

隨著剛剛過去一輪比特幣病毒的清洗，網路安全問題再次給我當頭棒喝。對於企業來說，保障資料安全，維持業務穩定是重中之重。那麼如何採取有效的措施來保障我們的資料安全，保障我們的系統不會被外來的入侵者破壞呢？下面就以個人工作經歷中一些體會來談一談常用的安全架構策略。

對於幾乎所有的網際網路企業來說，保障自身對外提供的服務可行之外，還需要考慮安全級別的問題。對於不同的安全優先順序，可以採用不同程度的安全策略。

網路安全控制

現在通用的網站架構基本上都是通過防火牆或者路由上NAT對映，對外部提供服務。對外部提供應用服務的應用是最敏感的區域，這裡是所有攻擊的入口。對於入口的限制要非常謹慎，能留窗戶（訪問許可權）的地方絕對不能留門（控制許可權）。

1、對於提供必要的服務外，應該將其它的服務埠和應用對外關閉或禁用。如提供web服務的站點，就只對外開放80埠，提供郵件服務那就只開放smtp和pop3的一系列埠。

2、防火牆是我們阻擋外部威脅一道重要屏障，在不影響業務的前提下儘可能將安全策略調整到最高階別。根據應用，在防火牆上只開放特定的埠，其他的協議和埠一律拒絕。

3、在使用防火牆進行NAT轉換時，應使用埠對映而非IP對映，這樣可以避免一些安全隱患。

4、對於需要遠端管理的伺服器，管理埠一定不能暴露在公網中，一般的通用方法是通過VPN跳到防火牆的信任區域對其進行管理。

5、為了在辦公區域方便管理遠端伺服器，可以將辦公區域的出口IP新增到防火牆的信任區域中，而本地辦公網路需要進行嚴格的接入限制，如mac認證，域認證等。

6、防火牆的遠端管理不能暴露在公網環境。

服務安全控制

對於服務安全方面主要在於對外應用的漏洞防範，保障資料安全等方面。

1、對於服務使用的使用者進行嚴格限制，不使用系統的最高管理許可權去管理服務。

2、對於服務進行安全方面的優化，如預設修改預設的密碼，刪除不必要的配置項和可能系統自帶的含有隱患的資料資訊等。

3、對服務和應用進行定期的漏洞掃描，即使更新補丁，修復漏洞。

4、應用在完成功能測試之後，還應進行安全方面的測試，避免未知漏洞。

操作安全控制

1、禁止主機之間不必要的信任關係。

2、如果是linux系統，禁止root登入。

3、對登入使用者的操作進行監控，對於不正常的登入動作（多次密碼錯誤）傳送報警。

 本文轉自 酥心糖 51CTO部落格，原文連結:http://blog.51cto.com/tryingstuff/1930928