《网络基础设施安全指南》——网络架设计

《网络基础设施安全指南》——网络架构设计

1.网络架构设计

安全的网络设计要实现多层防护以应对威胁和保护网络中的资源。在安全网络设计中，网络边界和内部设备都需要遵循安全最佳实践和零信任原则。

1.1 安装边界和内部防护设备

NSA建议根据安全最佳实践在网络边界配置和安装安全设备：

• 安装边界路由器来建立与外部网络的连接，比如网络服务提供商（ISP）
• 实现多层下一代防火墙来限制入流量、出流量，并检查所有异构网络区域的内部活动。每层应该使用不同厂商的产品来保护内部网络
• 将公开可访问的系统和外部代理放置在一个或多个DMZ（非军事区）子网中的防火墙层，在DMZ子网中，访问可以由外部设备、DMZ设备和内部系统控制
• 实现网络监控解决方案来记录来追踪入和出流量，比如网络入侵检测系统、流量检查器或全包抓取设备
• 部署多个远程日志服务器来记录与设备相关的活动
• 在核心区域内实现冗余设备来确保可用性，可以通过负载均衡来增加网络吞吐量和减少延迟

1.2 对网络系统进行聚类

网络中类似的系统应该进行逻辑聚类以更好地保护系统。

NSA建议将网络中相似的系统隔离为不同的子网或VLAN（虚拟本地区域网络）或通过防火墙或路由器物理隔离为不同的子网。工作站、服务器、打印机、通信系统等应该彼此隔离。

1.3 移除后门连接

后门网络连接是位于不同网络区域的2个或多个设备的连接，一般拥有不同类型的数据和安全要求。

NSA建议移除所有后门网络连接，尤其是在用多个网络接口连接设备时间要非常注意。对设备的所有网络接口进行验证，确保具有相同的安全等级，中继设备要能够提供不同网络区域的逻辑和物理隔离。

1.4 使用严格的边界访问控制

NSA建议认真考虑允许哪些连接，并创建带有白名单的规则集。使用该方法只需要一条规则就可以拒绝多种类型的连接，而不需要对每个拦截的连接创建一条规则。如果需要动态应用额外的边界规则来预防漏洞利用，NSA建议使用入侵防御系统（IPS）。

NSA还建议对这些规则集进行记录日志，至少应该包含所有拒绝或丢弃的网络流量，以及对关键设备成功或失败的管理员访问。

1.5 实现网络访问控制方案

NSA建议实现网络访问控制解决方案来识别和认证连接到网络中的唯一的设备。可以在交换机上实现端口安全机制来检测非授权的设备对网络的连接。

1.6 限制和加密VPN

NSA建议限制VPN网关对UDP 500、4500端口、EP和其他端口的访问。如果可以的话，限制接收到已知的VPN节点IP地址的流量。