世界可能正在與“前所未見”的冠狀病毒大流行作斗爭(zhēng)，但 IT 也有自己的問題需要處理。由于大量員工在家工作，安全級(jí)別明顯下降。結(jié)果是網(wǎng)絡(luò)攻擊異常增加。我們的調(diào)查表明，在短短兩個(gè)月內(nèi)，發(fā)生的攻擊次數(shù)超過了 2019 年全年的次數(shù)。

網(wǎng)絡(luò)攻擊者盯上了在家工作的商務(wù)人士

黑客從未如此活躍。但是，攻擊者盯上這些額外機(jī)會(huì)的關(guān)鍵原因是什么？這是我們對(duì)此事的看法。在冠狀病毒封鎖之前，大多數(shù)人在辦公室工作。雖然現(xiàn)在在辦公室工作聽起來很原始，但從安全角度來看，這是一種更安全、更好的方式。

組織部署了大量安全參數(shù)——硬件和安全應(yīng)用程序——來保護(hù)他們的網(wǎng)絡(luò)。我們組織中超過 60% 的用戶沒有在他們的個(gè)人筆記本電腦/計(jì)算機(jī)上安裝防病毒軟件或防火墻。相當(dāng)多的 10% 有安全應(yīng)用程序，但許可證已過期。當(dāng)允許在家工作時(shí)，組織允許公眾訪問他們的網(wǎng)絡(luò)，以便在家工作的員工可以訪問它。由于他們?cè)L問該網(wǎng)絡(luò)的工作站很容易受到攻擊，因此網(wǎng)絡(luò)攻擊者可以輕松闖入。

如何保護(hù)您的網(wǎng)絡(luò)？簡(jiǎn)而言之

有多種方法可以保護(hù)您的網(wǎng)絡(luò)，我們將專門縮小對(duì)防火墻的討論范圍。如果你的防火墻安全性很強(qiáng)，你可以取消其他不太相關(guān)的安全應(yīng)用程序，盡管我們也不建議這樣做。

防火墻是抵御網(wǎng)絡(luò)釣魚攻擊最有效的方法，黑客通過這種攻擊引誘用戶進(jìn)入欺騙性網(wǎng)站，并誘使他們輸入信用卡詳細(xì)信息或銀行 ID 等機(jī)密詳細(xì)信息。

黑客還可能偽裝成一家合法企業(yè)，并要求您下載該應(yīng)用程序或點(diǎn)擊一個(gè)鏈接。就在您這樣做時(shí)，一個(gè)秘密代碼會(huì)下載到您的本地系統(tǒng)上，該系統(tǒng)會(huì)定期向所有者發(fā)送信息。通過網(wǎng)絡(luò)釣魚，黑客誘使用戶單擊鏈接并將惡意代碼下載到他們的系統(tǒng)上。通過這個(gè)開放，他們可以竊取機(jī)密信息并直接對(duì)網(wǎng)絡(luò)進(jìn)行更多攻擊。

現(xiàn)在是安裝防火墻的最佳時(shí)機(jī)

現(xiàn)在是在您的系統(tǒng)和客戶系統(tǒng)上配置防火墻的最佳時(shí)機(jī)。我們經(jīng)常這樣做。我們的系統(tǒng)是這樣編程的，我們知道我們的哪些客戶沒有防火墻系統(tǒng)，我們的下一步是安裝防火墻。防火墻系統(tǒng)充當(dāng)惡意流量的屏障，只允許合法訪問者訪問您的系統(tǒng)。因此，讓我們繼續(xù)前進(jìn)，不用多說。

如何選擇防火墻

安裝防火墻不是一件難事，您或多或少會(huì)一次性掌握它。但在你選擇一個(gè)之前，你需要考慮以下幾點(diǎn)

1. 配置防火墻
2. 安全訪問防火墻
3. 定義網(wǎng)絡(luò)及其架構(gòu)
4. 上線前測(cè)試防火墻

在配置防火墻之前，您需要幫助選擇適合您業(yè)務(wù)的防火墻。選擇過程可能很棘手，選擇因組織規(guī)模及其基礎(chǔ)設(shè)施而異。

無(wú)論您的組織有多大（或多小），防火墻都必須具備以下條件

1.Web 或流量過濾

防火墻必須能夠阻止不需要的流量進(jìn)入網(wǎng)絡(luò)。簡(jiǎn)而言之，它應(yīng)該足夠強(qiáng)大，能夠過濾掉來自真正合法訪問者的不需要的和惡意的流量。雖然是自動(dòng)的，但防火墻系統(tǒng)依賴于您創(chuàng)建自己的規(guī)則。因此，作為管理員，您的工作是定義允許和限制訪問您網(wǎng)站內(nèi)容的規(guī)則。

2.虛擬專用網(wǎng)絡(luò) (VPN)

VPN 或虛擬專用網(wǎng)絡(luò)是必不可少的。如果您的防火墻沒有，那可就沒有用了。虛擬專用網(wǎng)絡(luò)允許您擁有自己的專用網(wǎng)絡(luò)。您可以選擇允許通過 VPN 連接的人。

在大流行期間做的第一件事就是建立一個(gè) VPN 并指導(dǎo)員工安裝一個(gè)應(yīng)用程序，通過該應(yīng)用程序可以安裝我們的內(nèi)部網(wǎng)絡(luò)。我們一直對(duì)連接的用戶數(shù)量保持警惕，并全天候關(guān)注 24/7，因此除了我們自己的人之外沒有其他人可以連接。當(dāng)通過 VPN 連接時(shí)，黑客既無(wú)法提取數(shù)據(jù)也無(wú)法跟蹤用戶的互聯(lián)網(wǎng)活動(dòng)，因?yàn)?VPN 隱藏了在線足跡。

3.惡意軟件和病毒攔截

大多數(shù)防火墻都足夠強(qiáng)大，可以從您的系統(tǒng)中過濾掉惡意軟件和病毒。我們數(shù)據(jù)中心的幾乎所有專用服務(wù)器都有承擔(dān)此功能的防火墻。如果在任何時(shí)候，系統(tǒng)被病毒入侵，防火墻將同時(shí)斷開系統(tǒng)與網(wǎng)絡(luò)的連接，并在威脅對(duì)您的系統(tǒng)造成任何損害之前將其轉(zhuǎn)移到胸部。

4.入侵防御系統(tǒng) (IPS)

入侵防御系統(tǒng)對(duì)于我們這樣的數(shù)據(jù)中心運(yùn)營(yíng)商來說，更是一種必需品。

IDS——入侵檢測(cè)系統(tǒng)

IPS 持續(xù)監(jiān)控網(wǎng)絡(luò)并在意外入侵時(shí)向其管理員發(fā)出警報(bào)。然后管理員可以采取適當(dāng)?shù)拇胧﹣肀Ｗo(hù)該系統(tǒng)。

5.深度數(shù)據(jù)包檢測(cè)

可以執(zhí)行深度數(shù)據(jù)包檢測(cè) (DPI) 的防火墻應(yīng)用程序并不多。DPI 是防火墻檢查通過網(wǎng)絡(luò)的數(shù)據(jù)包的一項(xiàng)功能。基于預(yù)定義的規(guī)則，防火墻然后可以允許數(shù)據(jù)包通過或當(dāng)場(chǎng)阻止它。

接下來是最緊迫的問題 – 如何在您的服務(wù)器上安裝防火墻？

安裝防火墻主要包括以下四個(gè)步驟

第 1 步：確定誰(shuí)可以訪問防火墻，誰(shuí)不能

理想情況下，除了少數(shù)人之外，您不應(yīng)該允許任何人訪問您公司的防火墻。與您共享登錄憑據(jù)的人越多，您的系統(tǒng)被濫用的可能性就越大。因此，最好的辦法是只允許選定的人進(jìn)行管理員訪問。因此，最好的辦法是創(chuàng)建具有有限權(quán)限的用戶，然后使用強(qiáng)隨機(jī)密碼安全登錄。

第 2 步：定義網(wǎng)絡(luò)架構(gòu)

設(shè)置訪問控制后，您應(yīng)該在網(wǎng)絡(luò)上創(chuàng)建多個(gè)數(shù)據(jù)層。這樣做將幫助您逐層挖掘數(shù)據(jù)。然后，您可以在單獨(dú)的數(shù)據(jù)層上定義單獨(dú)的規(guī)則。這使您可以更自由地穿越防火墻，同時(shí)還可以保護(hù)您的網(wǎng)絡(luò)基礎(chǔ)設(shè)施。數(shù)據(jù)層越多，網(wǎng)絡(luò)就越安全。這雖然有益，但代價(jià)是增加了資源的復(fù)雜性。

第 3 步：配置防火墻設(shè)置

這是最關(guān)鍵的一步，您需要配置和設(shè)置規(guī)則來控制專用服務(wù)器上的傳入和傳出流量。

以下是您在服務(wù)器上定義規(guī)則時(shí)可能會(huì)發(fā)現(xiàn)的選項(xiàng)

1. 全部允許- 此設(shè)置將在您的服務(wù)器上啟用所有類型的活動(dòng)。
2. 全部拒絕- 此設(shè)置將限制任何類型的流量進(jìn)入您的服務(wù)器。
3. 自定義或定義規(guī)則——可能是網(wǎng)絡(luò)管理員啟用的最多也是唯一的設(shè)置。它允許用戶自定義和制定他們自己的規(guī)則，決定他們想要在他們的服務(wù)器上允許和禁止什么類型的流量。

第 4 步：測(cè)試

無(wú)論設(shè)置看起來多么令人信服，在測(cè)試之前永遠(yuǎn)不要讓防火墻上線。驗(yàn)證您定義的規(guī)則是否有效。如果防火墻確實(shí)阻止了流量，請(qǐng)驗(yàn)證它阻止的是正確的流量而不是合法的訪問者。

始終在客戶的專用服務(wù)器上安裝防火墻

防火墻有硬件和應(yīng)用程序變體。你應(yīng)該選擇哪一個(gè)？我們建議同時(shí)部署兩者。您永遠(yuǎn)無(wú)法獲得足夠的安全性，因?yàn)榭倳?huì)存在潛在的漏洞。安裝高質(zhì)量的網(wǎng)絡(luò)防火墻可以保護(hù)您的系統(tǒng)。