信息安全手册：网络指南

网络设计和配置

网络文档

重要的是，网络文档的开发和准确描述网络的当前状态，因为这有助于解决网络问题以及应对网络安全事件并从中恢复。因此，网络文档应包括显示所有网络连接的高级网络图；显示所有关键服务器、高价值服务器、网络设备和网络安全设备的逻辑网络图；以及所有关键服务器、高价值服务器、网络设备和网络安全设备的设备设置。最后，由于恶意行为者可能会利用网络文档协助破坏网络，因此必须对其进行适当的保护。

网络文档的开发、实施和维护。

网络文档包括显示所有网络连接的高级网络图和显示所有关键服务器、高价值服务器、网络设备和网络安全设备的逻辑网络图。

网络文档包括所有关键服务器、高价值服务器、网络设备和网络安全设备的设备设置。

提供给第三方或在公开招标文件中发布的网络文档仅包含其他方承担合同服务所需的详细信息。

网络加密

虽然物理安全可以在一定程度上防止未经授权的物理访问网络基础设施，但仍可以通过其他方式（例如受感染的网络设备）未经授权访问未加密的数据。因此，即使在适当安全的区域内，通过网络基础设施传输的所有数据都必须加密。但请注意，某些协议没有加密等效协议。在这种情况下，如果切实可行，组织应考虑过渡到使用支持加密的替代协议。

通过网络基础设施传输的所有数据都经过加密。

网络分段和隔离

网络分段和隔离是防止恶意行为者在获得初始访问权限后轻易传播到整个网络的最有效控制措施之一。为了实现这一点，可以将网络划分为多个网络区域，以保护服务器、服务和数据。例如，用于管理关键服务器、高价值服务器和常规服务器的管理基础设施应相互隔离。此外，所有管理基础设施都应与网络上的其他资产隔离。

根据服务器、服务和数据的关键性，网络分为多个网络区域。

组织的网络与其服务提供商的网络是隔离的。

使用虚拟局域网

只要网络属于同一安全域，虚拟局域网 (VLAN) 就可用于实现网络分段和隔离。在这种情况下，如果发生数据泄露，其影响将小于数据泄露发生在两个不同分类的网络之间或组织网络与公共网络基础设施之间。如果组织选择在属于不同安全域（例如同一分类）的网络之间实施 VLAN 以进行风险管理，则将应用对网络设备的额外控制，例如不共享 VLAN 中继并在单独的物理网络接口上终止 VLAN。

就本主题的目的而言，多协议标签交换被视为等同于 VLAN 并受到相同的控制。

VLAN 不用于分离组织网络和公共网络基础设施之间的网络流量。

VLAN 不用于分离属于不同安全域的网络之间的网络流量。

管理 VLAN 的网络设备由最受信任的安全域进行管理。

管理属于不同安全域的 VLAN 的网络设备不共享 VLAN 中继。

管理 VLAN 的网络设备在单独的物理网络接口上终止属于不同安全域的 VLAN。

使用 Internet 协议版本 6

使用互联网协议版本 6 (IPv6) 会给网络带来额外的安全风险。因此，仅使用互联网协议版本 4 (IPv4) 的组织应禁用 IPv6。这将有助于最大限度地减少网络的攻击面，并确保 IPv6 不会被恶意行为者利用。

为了帮助从 IPv4 过渡到 IPv6，已经开发了许多隧道协议，以实现 IPv4 和 IPv6 之间的互操作性。在不需要此类功能的网络上禁用 IPv6 隧道协议将阻止恶意行为者通过将 IPv6 数据封装在 IPv4 数据包中来绕过传统的网络防御。

无状态地址自动配置是 IPv6 网络中无状态 Internet 协议 (IP) 地址配置的一种方法。值得注意的是，它降低了组织维护网络上 IP 地址分配有效日志的能力。因此，应避免使用无状态 IP 寻址。

除非正在使用，否则双栈网络设备中的 IPv6 功能是禁用的。

支持 IPv6 的网络安全设备用于 IPv6 和双栈网络。

除非明确要求，否则所有网络设备上的 IPv6 隧道都被禁用。

IPv6 隧道被外部连接网络边界的网络安全设备阻止。

动态分配的 IPv6 地址以状态方式使用动态主机配置协议版本 6 配置，租用数据存储在集中式事件日志记录设施中。

网络访问控制

如果恶意行为者减少了将未经授权的网络设备或其他信息技术 (IT) 设备物理连接到网络的机会，他们破坏此类网络的机会也会减少。网络访问控制不仅可以防止未经授权的物理访问网络，还可以防止人员粗心地将一个网络连接到另一个网络来桥接网络。此外，网络访问控制还可用于限制网络段之间的网络流量。

在网络上实施网络访问控制，以防止未经授权的网络设备和其他 IT 设备的连接。

实施网络访问控制以将网络段内和网络段之间的网络流量限制为仅限于业务目的所需的流量。

服务器之间的功能分离

在服务器之间实现功能分离可降低服务器受到恶意行为者攻击而对其他服务器造成安全风险的可能性。

服务器与其他服务器保持有效的功能分离，使它们能够独立运行。

服务器在网络和文件系统级别尽量减少与其他服务器的通信。

网络管理接口

为了帮助减少网络的攻击面，网络上的 IT 设备（如服务器）或构成网络基础设施的 IT 设备（如网络设备）不应将其网络管理接口直接暴露给互联网。在无法做到这一点的情况下，例如对于某些云服务和 Web 应用程序，需要实施额外的补偿控制，以保护薄弱或易受攻击的网络管理接口不被恶意行为者利用来远程破坏网络。理想情况下，网络上的 IT 设备或构成网络基础设施的 IT 设备应通过与更广泛的网络和互联网隔离的管理基础设施进行管理。

IT 设备的联网管理接口不直接暴露在互联网上。

网络管理流量

专门针对网络管理流量实施安全措施，可在恶意行为者找到机会连接网络时提供另一层防御。此外，这也使恶意行为者更难以枚举网络。

实施安全措施以防止未经授权访问网络管理流量。

简单网络管理协议的使用

简单网络管理协议 (SNMP) 可用于监控网络设备的状态。SNMP 的前两次迭代本质上是不安全的，因为它们使用了简单的身份验证方法。此外，强烈建议更改网络设备上的所有默认 SNMP 社区字符串，并将其访问权限限制为只读。

SNMP 版本 1 和 SNMP 版本 2 未在网络上使用。

网络设备上所有默认 SNMP 社区字符串都已更改，并且写访问权限被禁用。

使用基于网络的入侵检测和预防系统

基于网络的入侵检测系统 (NIDS) 或基于网络的入侵防御系统 (NIPS) 是识别和应对网络入侵的有效方法。此外，针对违反防火墙规则集中任何规则的网络流量生成事件日志和警报可以帮助识别由于防火墙故障或配置更改而进入网络的可疑或恶意网络流量。

NIDS 或 NIPS 部署在组织网络与其不管理的其他网络之间的网关中。

NIDS 或 NIPS 位于网关最外层防火墙内，配置为针对违反防火墙规则集中任何规则的网络流量生成事件日志和警报。

阻止匿名网络流量

恶意行为者可以使用来自匿名网络（例如 Tor 网络）的入站网络连接进行侦察和恶意软件传播，同时检测和归因风险极低。因此，应阻止此类网络流量。但是，组织可能会选择支持匿名连接到其网站，以满足出于隐私原因希望保持匿名的个人的需求。在这种情况下，建议记录和监控来自匿名网络的网络流量。此外，恶意软件可以使用匿名网络的出站网络连接进行命令和控制或数据泄露，因此应阻止此类连接。

来自匿名网络的入站网络连接被阻止。

到匿名网络的出站网络连接被阻止。

保护域名系统服务

保护性域名系统 (DNS) 服务可以有效地阻止组织用户或组织网络上的恶意行为者对已知恶意域名发出的请求 - 无论是作为初始入侵的一部分还是后续的命令和控制活动。保护性 DNS 服务捕获的 DNS 事件日志也可用于调查恶意行为者对网络的任何利用企图或成功入侵。

在选择保护性 DNS 服务时，有许多商业产品可供选择。此外，澳大利亚信号局 (ASD) 还为各级政府提供免费的保护性 DNS 服务。

使用保护性 DNS 服务来阻止对已知恶意域名的访问。

首次使用前使用受信任的固件刷新网络设备

在首次使用网络设备之前，用通过可信方式从供应商处获得的可信固件刷写网络设备，有助于降低网络供应链风险，例如因网络供应链拦截攻击或供应商开发环境或源代码存储库受损而导致的恶意固件的引入。

网络设备在首次使用前会刷入可信固件。

网络设备的默认帐户和凭据

网络设备可以预先配置默认帐户和凭据。例如，无线接入点的帐户名为“admin”，密码为“admin”。确保更改默认帐户或凭据有助于降低网络设备被恶意行为者利用的可能性。

网络设备的默认帐户或凭据（包括任何预配置帐户）均已更改。

禁用网络设备上未使用的物理端口

如果恶意行为者能够物理访问网络设备，则禁用网络设备上未使用的物理端口可以减少他们连接到网络的机会。

网络设备上未使用的物理端口已被禁用。

定期重启网络设备

实施至少每月重启网络设备的措施有助于维护网络设备性能，以及消除可能已经破坏网络设备但未能获得持久性的恶意行为者。

网络设备至少每月重启一次。

无线网络

本节介绍适用于无线网络的控制，并扩展先前的网络设计和配置部分。

选择无线设备

使用已通过 Wi-Fi 联盟认证计划认证的无线设备（例如无线接入点、无线适配器和无线网卡），可以为组织提供保证，确保它们符合无线标准，并保证能够与无线网络上的其他无线设备互操作。

所有无线设备均经过 Wi-Fi 联盟认证。

公共无线网络

当一个组织提供公共无线网络供公众使用时，将公共无线网络连接到任何其他组织网络或与任何其他组织网络共享基础设施，都可能为恶意行为者创建一个入口点，使他们能够以组织网络为目标窃取数据或破坏服务。

供公众使用的公共无线网络与所有其他组织网络隔离。

无线接入点的管理界面

管理界面允许用户修改无线接入点的配置和安全设置。通常，默认情况下，无线接入点允许用户通过固定网络连接或无线网络连接访问管理界面。为了帮助减少无线接入点的攻击面，应禁用无线网络连接的管理界面。

无线接入点上的管理接口不适用于无线网络连接。

默认设置

一些无线接入点的默认设置很弱。因此，在将无线接入点部署到网络中之前，强化其设置非常重要。此外，一些无线接入点带有默认服务集标识符 (SSID)。由于默认 SSID 通常会记录在互联网上，因此更改无线接入点的默认 SSID 非常重要。

更改默认 SSID 时，重要的是不要让新的 SSID 引起人们对组织无线网络的过度关注。这样一来，无线网络的 SSID 就不应该与组织、其场所位置或无线网络的功能轻易关联起来。

降低无线网络知名度的常用方法是禁用 SSID 广播。虽然这可以确保不会使用信标帧公开广播无线网络的存在，但 SSID 仍然会在探测请求、探测响应、关联请求和重新关联请求中广播。因此，通过捕获这些请求和响应，很容易确定无线网络的 SSID。通过禁用 SSID 广播，组织将使用户更难连接到无线网络。此外，恶意行为者可以配置恶意无线接入点，以广播与合法无线网络使用的隐藏 SSID 相同的 SSID，从而欺骗用户或设备自动连接到恶意无线接入点。通过这样做，恶意行为者可以窃取身份验证凭据，以便访问合法无线网络。

无线接入点的设置已强化。无线接入点的默认 SSID 已更改。非公共无线网络的 SSID 不容易与组织、其场所位置或无线网络的功能相关联。无线接入点上未禁用 SSID 广播。

媒体访问控制地址过滤

连接到无线网络的设备通常具有唯一的媒体访问控制 (MAC) 地址。使用 MAC 地址过滤可以防止恶意设备连接到无线网络。但是，恶意行为者可能能够确定合法设备的 MAC 地址并使用此信息访问无线网络。因此，MAC 地址过滤会带来管理开销，而没有任何实际的安全优势。

MAC 地址过滤不用于限制哪些设备可以连接到无线网络。

静态寻址

为访问无线网络的设备分配静态 IP 地址可以防止连接到无线网络的恶意设备被分配可路由的 IP 地址。但是，恶意行为者可能能够确定合法设备的 IP 地址，并利用此信息访问无线网络。因此，将设备配置为使用静态 IP 地址会增加管理开销，而没有任何实际的安全优势。

静态寻址不用于在无线网络上分配 IP 地址。

无线网络流量的机密性和完整性

由于无线网络通常可以从安全空间边界之外访问，因此所有无线网络流量都需要适当的加密保护。为此，建议使用 Wi-Fi 保护访问 3 (WPA3)，因为它提供与其前身 Wi-Fi 保护访问 2 (WPA2) 相同或更高的安全性。WPA3 还禁止使用各种过时且不安全的密码套件。

WPA3-Enterprise 支持三种企业操作模式：仅企业模式、过渡模式和 192 位模式。优先使用 WPA3-Enterprise 192 位模式，因为此模式可确保不使用已知弱点的算法。但是，如果使用任何其他 WPA3-Enterprise 模式，则应禁用身份验证和密钥管理套件 00-0F-AC:1（如果此选项可用）。

WPA3-Enterprise 192 位模式用于保护所有无线网络流量的机密性和完整性。

802.1X 身份验证

WPA3-Enterprise 使用 802.1X 身份验证，这需要使用可扩展身份验证协议 (EAP)。WPA2 和 WPA3 支持多种 EAP 方法。

可扩展身份验证协议-传输层安全性 (EAP-TLS) 被视为最安全的 EAP 方法之一，并受到广泛支持。它使用公钥基础设施，通过使用 X.509 证书来保护设备与远程访问拨入用户服务 (RADIUS) 服务器之间的通信。虽然 EAP-TLS 提供了强大的相互身份验证，但它要求组织建立公钥基础设施。这涉及部署自己的证书颁发机构并为每个访问其无线网络的设备颁发证书，或从商业证书颁发机构获取证书。虽然这会带来额外的成本和管理开销，但安全优势却非常显著。

使用 EAP-TLS 的 802.1X 身份验证（使用 X.509 证书）用于相互身份验证；在请求者和身份验证服务器上禁用所有其他 EAP 方法。

如果 EAP-TLS 实施可用，则使用用户身份保密性。

802.1X 身份验证实现评估

802.1X 身份验证的安全性取决于四个主要元素及其相互作用。这四个元素包括请求者、身份验证器、无线接入点和身份验证服务器。为了确保这些元素得到正确实施，他们应该完成评估。

经过评估的请求者、认证者、无线接入点和认证服务器用于无线网络中。

生成并颁发用于身份验证的证书

当向设备颁发证书以访问无线网络时，组织应意识到证书可能被恶意代码窃取。一旦被盗用，证书可能会被其他设备使用，从而未经授权访问无线网络。组织还应意识到，如果只向设备颁发证书，用户采取的任何行动都只能归因于特定设备。

当向用户颁发证书以访问无线网络时，证书可以采用存储在设备上的证书或存储在智能卡上的证书形式。虽然在智能卡上颁发证书可以提高安全性，但成本较高。但是，用户更有可能注意到智能卡丢失并提醒他们的安全团队，然后安全团队可以撤销他们的凭证，这可以最大限度地减少恶意行为者访问无线网络的时间。此外，为了降低被盗智能卡被用于未经授权访问无线网络的可能性，可以通过在智能卡上使用个人识别码来实现多因素身份验证。当智能卡授予用户任何形式的管理访问权限时，这一点尤为重要。

证书是使用评估的证书颁发机构或硬件安全模块生成的。

访问无线网络的设备和用户需要证书。

证书受逻辑和物理访问控制、加密和用户身份验证的保护。

缓存 802.1X 身份验证结果

使用 802.1X 身份验证时，在成功验证设备后会生成一个称为成对主密钥 (PMK) 的共享密钥。然后，此 PMK 能够被缓存，以协助在无线接入点之间快速漫游。当设备漫游离开已验证的无线接入点时，如果它们漫游回来，则无需执行完整的重新身份验证，只要缓存的 PMK 仍然有效。为了进一步协助漫游，可以将无线接入点配置为预先验证设备可能漫游到的邻近无线接入点。虽然要求设备每次在无线接入点之间漫游时都进行完整身份验证是理想的，但如果组织有快速漫游的业务需求，可以选择使用 PMK 缓存和预身份验证。如果使用 PMK 缓存，则 PMK 缓存周期不应设置为大于 1440 分钟（24 小时）。

PMK 缓存周期未设置为大于 1440 分钟（24 小时）。

快速基本服务集转换

WPA3 标准指定了对快速基本服务集转换 (FT) (802.11r) 的支持。FT 是一项旨在提高用户移动性和对抗因需要对每个无线接入点进行身份验证而导致的延迟的功能。但是，FT 要求身份验证器请求密钥并将其发送给安全域内的其他身份验证器。如果任何这些密钥被拦截，所有安全属性都将丢失。因此，必须适当保护通信。因此，除非可以确认身份验证器到身份验证器的通信由提供机密性、完整性和相互身份验证的适当的 ASD 批准的加密协议保护，否则应禁用 FT。

除非认证器到认证器通信由 ASD 认可的加密协议保护，否则 FT（802.11r）的使用是被禁用的。

远程身份验证拨入用户服务身份验证

与 802.1X 身份验证过程不同的是 RADIUS 身份验证过程，该过程发生在身份验证器和 RADIUS 服务器之间。RADIUS 是一种身份验证、授权和记账协议，旨在调解网络访问。但是，RADIUS 不够安全，不能在没有保护的情况下使用。为了保护身份验证器和 RADIUS 服务器之间传递的凭证，通信应该用额外的加密层封装，例如 Internet 协议安全上的 RADIUS 或传输层安全上的 RADIUS。

身份验证器和 RADIUS 服务器之间的通信使用 Internet 协议安全上的 RADIUS 或传输层安全上的 RADIUS 封装了额外的加密层。

无线网络之间的干扰

当无线网络部署在近距离时，干扰可能会影响其可用性，尤其是在常用的 802.11b/g (2.4 GHz) 默认信道 1 和 11 上运行时。通过使用频率分离充分分离无线网络有助于降低这种安全风险。这可以通过使用配置为在重叠频率最少的信道上运行的无线网络来实现，例如使用 802.11b/g (2.4 GHz) 信道和 802.11n (5 GHz) 信道。但需要注意的是，如果实施 2.4 GHz 和 5 GHz 信道的混合，并非所有设备都与 802.11n 兼容并能够连接到 5 GHz 信道。

无线网络实现了与其他无线网络的足够的频率分离。

保护无线网络上的管理帧

通过使用廉价的商业硬件利用不受保护的管理帧，可以实施有效的拒绝服务攻击。802.11 标准不提供对管理帧的保护，因此无法防范欺骗或拒绝服务攻击。但是，802.11w 修正案专门针对无线网络上管理帧的保护，应该为 WPA2 启用。请注意，在 WPA3 中，此功能已内置于标准中。

无线接入点可使用 802.11w 修正案来保护管理帧。

无线网络覆盖范围

与其部署少量高功率广播的无线接入点，不如部署大量使用较少广播功率的无线接入点，以实现无线网络所需的覆盖范围。这样做的好处是，如果无线接入点无法使用，服务仍能连续。在这种情况下，可以增加附近无线接入点的输出功率，以弥补覆盖范围的差距，直到无法使用的无线接入点被替换。

除了最小化无线接入点的输出功率以减少无线网络的覆盖范围外，还可以对组织的设施使用射频 (RF) 屏蔽。虽然成本高昂，但这会将无线通信限制在组织控制范围内。组织设施上的 RF 屏蔽还有一个额外的好处，即防止无线网络在无线网络运行的设施外部受到干扰。

不是部署少量以高功率广播的无线接入点，而是部署大量使用较少广播功率的无线接入点，以实现无线网络所需的覆盖范围。

通过在使用机密或绝密无线网络的设施上实施射频屏蔽，可以限制组织控制区域之外的无线通信的有效范围。

在线服务的服务连续性

基于云的在线服务托管

使用云服务提供商可以让组织构建高度弹性的在线服务，因为云服务提供商提供了更多的计算资源、带宽和多个独立的物理站点。组织可以尝试使用自己的基础设施来实现相同的结果，但是，这样做可能需要大量的前期成本，并且仍然可能导致动态扩展能力有限，无法满足真正的需求激增。在发生拒绝服务攻击的情况下，基于云的托管还可以提供与自托管或其他云托管服务的隔离，确保其他系统（如电子邮件）不受影响。

云服务提供商用于托管在线服务。

在线服务的容量和可用性规划和监控

重要的是，组织与其云服务提供商之间的连接必须满足带宽、延迟和可用性的要求。为此，组织及其云服务提供商应讨论资源在需求真正激增时动态扩展的能力，包括可以开展的任何授权活动，以验证为支持此类要求而实施的措施，特别是在存在高可用性要求的情况下。例如，组织及其云服务提供商可以讨论是否将使用专用通信链路或互联网连接，以及在主通信链路不可用时，任何辅助通信链路是否将提供足够的容量来维持运营要求。

此外，还应执行容量和可用性监控，以管理工作负载并监控在线服务的运行状况。这可以通过持续实时监控延迟、抖动、数据包丢失、吞吐量和可用性等指标来实现。此外，当性能未达到服务水平协议目标时，应向云服务提供商提供反馈。为了协助实现这一点，可以通过集成到安全监控工具中的网络遥测来执行异常检测。

作为在线服务容量和可用性规划的一部分，将讨论和验证云服务提供商根据真正的需求激增而动态扩展资源的能力。

当在线服务存在高可用性要求时，服务架构为在可用区域之间自动转换。

对在线服务的容量和可用性进行持续实时监控。

使用内容传送网络

与基于云的托管类似，使用内容分发网络 (CDN) 可以让组织利用 CDN 提供的大带宽、地理分散的托管位置、流量清理和其他控制来创建高度弹性的在线服务。

在提供静态带宽密集型媒体（如图像、声音或视频文件）时，使用 CDN 尤其有效。但是，CDN 提供的服务不仅仅包括基本的内容托管，还包括 Web 响应缓存、负载平衡、Web 应用程序安全和拒绝服务攻击缓解。

在使用 CDN 时，应谨慎配置，以确保组织的 Web 服务器（称为源服务器）的 IP 地址不会被恶意行为者识别，因为了解源服务器 IP 地址可能会导致绕过 CDN 提供的保护。此外，应应用适当的控制，仅允许源服务器、CDN 和授权管理网络之间的通信。

当网站托管存在高可用性要求时，会使用缓存网站的 CDN。

如果使用 CDN，则应避免泄露组织控制下的 Web 服务器（称为原始服务器）的 IP 地址，并且对原始服务器的访问仅限于 CDN 和授权管理网络。

拒绝服务攻击缓解策略

拒绝服务攻击旨在破坏或降低在线服务（例如网站、电子邮件和域名系统服务）的性能。为了实现此目标，恶意行为者可能会使用多种方法来拒绝合法用户访问在线服务。这包括使用多台计算机将大量不必要的网络流量导向在线服务以试图消耗所有可用的网络带宽，使用多台计算机将定制的网络流量导向在线服务以试图消耗所有处理资源，或者劫持在线服务以试图将合法用户从这些服务重定向到恶意行为者控制的其他服务。

由于组织通常无法避免遭受拒绝服务攻击，因此他们应与云服务提供商讨论任何可供他们使用的拒绝服务攻击检测和监控服务。例如，根据组织定义的通知阈值提供带外和实时警报的报告仪表板。此外，组织还应与云服务提供商讨论他们可以实施哪些缓解策略来做好准备并减少遭受拒绝服务攻击的影响。最后，在云服务提供商的明确同意下，组织可以尝试测试已实施的任何拒绝服务攻击缓解策略的有效性。

总体而言，在拒绝服务攻击发生之前做好准备，例如识别关键的在线服务并实施预防性拒绝服务攻击缓解策略，是迄今为止最好的方法，因为一旦拒绝服务攻击开始就很难应对，并且该阶段的努力不太可能有效。

与云服务提供商讨论拒绝服务攻击缓解策略，具体如下：