但面對內(nèi)部威脅、有針對性的攻擊，以及利用社交網(wǎng)絡獲取對企業(yè)網(wǎng)絡的物理訪問，有線網(wǎng)絡的安全也應該是重點。

 

下面是幫助企業(yè)提高有線網(wǎng)絡安全的8種方法，無論你是小型企業(yè)還是大型企業(yè)。

 

1.執(zhí)行審計和繪圖

 

如果你還沒有這樣做，你現(xiàn)在應該開始對網(wǎng)絡進行審計和繪圖。你應該始終清晰地了解整個網(wǎng)絡的基礎設施，例如供應商/型號、位置，以及防火墻、路由器、交換機、以太網(wǎng)布線和端點以及無線接入點的基本配置。你還需要知道哪些服務器、計算機、打印機和任何其他設備連接到網(wǎng)絡上、何時被連接，以及其在整個網(wǎng)絡的連接路徑。

 

在審計和繪圖的過程中，你可能會發(fā)現(xiàn)特定的安全漏洞，以及提高安全、性能和可靠性的方法。也許你還會發(fā)現(xiàn)未正確配置的防火墻或者物理安全威脅。

 

如果你的網(wǎng)絡只有幾個網(wǎng)絡組件以及十幾個工作組，你可能只需要手動執(zhí)行審計，在紙上繪出視覺地圖即可。而對于較大型網(wǎng)絡，你會發(fā)現(xiàn)審計和繪圖過程非常有用。你可以掃描網(wǎng)絡，并生成網(wǎng)絡視圖或示意圖。

 

2. 保持網(wǎng)絡更新

 

在完成基本的網(wǎng)絡審計和繪圖后，應該檢查所有網(wǎng)絡基礎設施組件的固件或軟件更新。同時，確保這些組件沒有使用默認密碼，檢查任何不安全的配置，并調(diào)查你沒有使用的其他安全功能或特性。

 

接下來，看看所有連接到網(wǎng)絡的計算機和設備。確保基本安全性，例如OS和驅(qū)動程序更新、個人防火墻處于活動狀態(tài)、防病毒正在運行，并設置密碼。

 

3. 物理地保護網(wǎng)絡

 

雖然物理網(wǎng)絡安全常常被忽視，但這與面向互聯(lián)網(wǎng)的防火墻一樣重要。正如你需要抵御黑客攻擊、僵尸網(wǎng)絡以及病毒，你也需要抵御本地的威脅。

 

如果你的網(wǎng)絡以及所在的建筑物的物理安全沒有保障，附近的黑客或者甚至是員工都可以利用你的網(wǎng)絡。例如，他們插入一個無線路由器到開放以太網(wǎng)端口，便能夠無線訪問到你的網(wǎng)絡。但如果以太網(wǎng)端口不可見或者斷開，這種情況就不會發(fā)生。

 

確保你部署了一個建筑物安全計劃，以阻止和防止外部人員進入。然后，確保網(wǎng)絡基礎設施組件所在的所有配線柜和/或其他位置的安全性，使用門鎖和機柜鎖。確保以太網(wǎng)電纜不可見，并且不容易接觸;無線接入點也是如此。斷開未使用的以太網(wǎng)端口，特別是在建筑物的公共區(qū)域。

 

4.考慮MAC地址過濾

 

有線網(wǎng)絡的一個主要安全問題是缺乏快速簡便的身份驗證和/或加密方法;人們可以隨意插入并使用網(wǎng)絡。而在無線網(wǎng)絡方面，你至少需要WPA2-Personal。

 

雖然MAC地址過濾可能被攻擊者繞過，但它至少可以作為第一道安全防線。它不能完全阻止攻擊者，但它可以幫助你防止員工制造嚴重的安全漏洞，例如允許訪客插入到專用網(wǎng)絡。它還可以讓你更好地控制哪些設備可以連接到網(wǎng)絡。但不要讓它給你安全的錯覺，并保持MAC地址的更新。

 

5.部署VLAN來隔離流量

 

如果你正在使用尚未被分割成多個虛擬局域網(wǎng)的小型網(wǎng)絡，可以考慮進行改變。你可以利用VLAN來分組跨多個虛擬網(wǎng)絡的以太網(wǎng)端口、無線接入點以及用戶。

 

你可以使用VLAN按流量類型(一般接入、VoIP、SAN、DMZ)，或者按照性能或設計原因和/或用戶類型(員工、管理層和訪客)，以及安全原因來分隔網(wǎng)絡。當配置為動態(tài)分配時，VLAN特別有用。例如，你可以在網(wǎng)絡任何位置或通過Wi-Fi插入你的筆記本，并自動分配VLAN。這可以通過MAC地址標記來實現(xiàn)，更安全的方法是使用802.1X身份驗證。

 

為了使用VLAN，你的路由器和交換機必須支持它：在產(chǎn)品規(guī)范中查看是否有IEEE 802.1Q支持。對于無線接入點，你可能想要同時支持VLAN標簽和多個SSID的接入點。通過多個SSID，你能夠提供多個虛擬WLAN。

 

6.使用802.1X進行身份驗證

 

有線網(wǎng)絡方面的身份驗證和加密經(jīng)常被忽略，因為這涉及很高的復雜性。IT通常會加密無線連接，但也不要忘記或忽略有線連接。本地攻擊者可能插入到你的網(wǎng)絡，而沒有什么能夠阻止他們發(fā)送或接受信息。

 

雖然不熟802.1X身份驗證不會加密以太網(wǎng)流量，至少可以阻止他們在使用登陸憑證前發(fā)送或訪問任何資源。并且，你也可以在無線網(wǎng)絡利用這種身份驗證，通過AES加密部署企業(yè)級WPA2安全，這比使用WPA2的個人級加密有更多好處。

 

802.1X身份驗證的另一大好處是動態(tài)分配用戶到VLAN的能力。

 

為了部署802.1X身份驗證，你首先需要一個遠程身份驗證撥入用戶服務(RADIUS)服務器，它基本上是作為用戶數(shù)據(jù)庫，也是授權(quán)/拒絕網(wǎng)絡接入的組件。如果你有Windows Server，那么你就已經(jīng)有了一個RADIUS服務器：網(wǎng)絡政策服務器(NPS)角色;或者在舊的Windows Server版本中，就是互聯(lián)網(wǎng)驗證服務(IAS)角色。如果你還沒有服務器，你可以考慮獨立的RADIUS服務器。

 

7. 使用VPN來加密所選電腦或服務器

 

如果你真的希望保護網(wǎng)絡流量，可以考慮使用加密。請記住，即使你使用了VLAN和802.1X身份驗證，仍然有人可以在網(wǎng)絡( VLAN)上竊聽以捕獲未加密的流量，其中可能包括密碼、電子郵件和文件。

 

雖然您可以加密所有流量，首先請分析你的網(wǎng)絡。你應該加密你認為還沒有加密的最重要的通信，例如通過SSL/HTTPS。你可以通過客戶端上的標準VPN來傳輸敏感流量，這可僅用于敏感通信或用于所有通信。

 

8.加密整個網(wǎng)絡

 

你還可以加密整個網(wǎng)絡。一種選擇是IPsec。Windows Server可以作為IPsec服務器，Windows還支持客戶端功能。然而，加密過程可能給網(wǎng)絡帶來很大的負擔;有效的傳輸率可能會大幅度下降。網(wǎng)絡供應商還提供了專有網(wǎng)絡加密解決方案，很多采用2層網(wǎng)絡方法，而不是3層網(wǎng)絡(例如IPsec)來幫助減少延遲性和開銷。