網絡安全架構規劃策略

隨著剛剛過去一輪比特幣病毒的清洗，網絡安全問題再次給我當頭棒喝。對于企業來說，保障數據安全，維持業務穩定是重中之重。那么如何采取有效的措施來保障我們的數據安全，保障我們的系統不會被外來的***者破壞呢？下面就以個人工作經歷中一些體會來談一談常用的安全架構策略。

對于幾乎所有的互聯網企業來說，保障自身對外提供的服務可行之外，還需要考慮安全級別的問題。對于不同的安全優先級，可以采用不同程度的安全策略。

網絡安全控制

現在通用的網站架構基本上都是通過防火墻或者路由上NAT映射，對外部提供服務。對外部提供應用服務的應用是最敏感的區域，這里是所有***的入口。對于入口的限制要非常謹慎，能留窗戶（訪問權限）的地方絕對不能留門（控制權限）。

1、對于提供必要的服務外，應該將其它的服務端口和應用對外關閉或禁用。如提供web服務的站點，就只對外開放80端口，提供郵件服務那就只開放smtp和pop3的一系列端口。

2、防火墻是我們阻擋外部威脅一道重要屏障，在不影響業務的前提下盡可能將安全策略調整到最高級別。根據應用，在防火墻上只開放特定的端口，其他的協議和端口一律拒絕。

3、在使用防火墻進行NAT轉換時，應使用端口映射而非IP映射，這樣可以避免一些安全隱患。

4、對于需要遠程管理的服務器，管理端口一定不能暴露在公網中，一般的通用方法是通過×××跳到防火墻的信任區域對其進行管理。

5、為了在辦公區域方便管理遠程服務器，可以將辦公區域的出口IP添加到防火墻的信任區域中，而本地辦公網絡需要進行嚴格的接入限制，如mac認證，域認證等。

6、防火墻的遠程管理不能暴露在公網環境。

服務安全控制

對于服務安全方面主要在于對外應用的漏洞防范，保障數據安全等方面。

1、對于服務使用的用戶進行嚴格限制，不使用系統的最高管理權限去管理服務。

2、對于服務進行安全方面的優化，如默認修改默認的密碼，刪除不必要的配置項和可能系統自帶的含有隱患的數據信息等。

3、對服務和應用進行定期的漏洞掃描，即使更新補丁，修復漏洞。

4、應用在完成功能測試之后，還應進行安全方面的測試，避免未知漏洞。

操作安全控制

1、禁止主機之間不必要的信任關系。

2、如果是linux系統，禁止root登錄。

3、對登錄用戶的操作進行監控，對于不正常的登錄動作（多次密碼錯誤）發送報警。