网络安全边界你该知道的！

企业网络安全的关键在于找到安全边界(攻击点):攻击者(脚本男孩，黑客，APT攻击)，网络资产和信息资产在边界的右侧。企业网络安全建设在安全边界设防，尽量防止安全边界被打破。

然而，随着业务的增加、技术演变、模式调整等因素，安全界限越来越模糊。然而，我们仍然需要梳理企业网络的所有安全界限，并进行保护。毕竟，网络安全遵循短板效应，漏一万。

1.企业网络架构简单

企业网络架构用于发现安全边界demo

2.发现网络安全边界

从大安全的角度来看，企业网络安全分为攻击和攻击。因此，企业不仅要保证自身的网络安全，还要保证不被用来攻击其他企业网络

2.1DNS服务

①没有托管DNS分析服务，自建DNS服务分析内外网域名，注意内外网区分

②DNS服务软件漏洞

②DNS它被用来放大攻击他人的网络

2.2CDN服务

①CDN的DNS服务失败，导致无法访问自己的业务

②CDN回原流量(cdn请求业务服务器)未加密，被嗅探

③CDN边缘服务器漏洞泄露内存数据

④同一CDN其他服务器公司的业务存在漏洞(边缘节点不隔离)

2.3业务服务器

①多网关负关负载均衡DDOS攻击、CC攻击

②网关/防火墙采用最低端口原则，只允许80、443端口进入方向，不允许流出方向，防止数据泄露

③对提供web全站服务安全评估http

(大多数企业对外业务为web形式）

2.4云托管服务器

云服务器提供类似防火墙的功能，但云服务器内部网络隔离安全仍需验证。

2.5邮件服务

①伪造发件人攻击

以前邮局的信都是在邮局的各个部门放一个邮箱，任何人都可以以任何身份给任何人寄信。

互联网邮件服务分为邮件服务和收信服务。以下是邮件发送和接收过程的简要描述

1、用户A用密码登录163邮箱后，写邮件发给好友B的qq邮箱；

2.邮箱服务器的邮件服务将邮件发送到163qq邮箱服务器不需要提供密码；

3、用户B登录qq邮箱后，通过qq邮箱收信服务，收到来源A的邮件；

事实上，互联网邮件和邮局递信流程并没有改变，只有163个邮箱，qq邮箱取代邮局分支机构，存在身份认证问题。

例如恶意用户C，伪造邮件送到qq邮箱服务器发送给用户B，并声称自己是用户A，这个过程是可行的，只需要找到QQ邮箱的SMTP服务器地址即可

伪造发件人有两种类型ceo@qq.com，发邮件到hr@qq.com；另一种是伪造ceo@qq.com发邮件到cfo@163.com。都有社工攻击场景

配置DNS的SPF(宣称本域发件服务器ip地址)，DKIM(宣称本域公钥)战略，验证接收域

②携带恶意附件，客户防毒，邮件网关杀毒

配置DNS的SPF(宣称本域发件服务器ip地址)，DKIM(宣称本域公钥)战略，验证接收域

②携带恶意附件，客户端防毒，邮件网关杀毒

③电子邮件包含服务器信息、架构信息和业务信息

④邮件客户端漏洞：foxmail，outlook，web方式，企业邮箱

2.6访客wifi

①设置WAP禁止访问内部网络的密码

②保护WiFi物理安全，保证密码不重置，固件更新等

③限制WiFi强度，不需要扩散很长时间

④检测伪造相同SSID的WiFi，防范钓鱼

⑤禁止私搭WiFi接入点

2.7VPN

①帐户和权限设置，不同的权限访问不同的内部网络

②登录证书，防止爆破

③VPN软件安全