The following sections discuss the

The following sections discuss the key areas of the small enterprise network security design.

Network Foundation Protection

Small enterprise networks are built with routers, switches, and other network devices that keep the applications and services running. Therefore, properly securing these network devices is critical for continued operation.

The network infrastructure of a small enterprise can be protected by implementing the Cisco SAFE best practices for the following areas:

•Infrastructure device access

–Restrict management device access to authorized parties and for the authorized ports and protocols.

–Enforce Authentication, Authorization, and Accounting (AAA) with Terminal Access Controller Access Control System (TACACS+) or Remote Authentication Dial-In User Service (RADIUS) to authenticate access, authorize actions, and log all administrative access.

–Display legal notification banners.

–Ensure confidentiality by using secure protocols like Secure Shell (SSH) and HTTPS.

–Enforce idle and session time-outs and disable unused access lines.

•Routing infrastructure

–Restrict routing protocol membership by enabling Message-Digest 5 (MD5) neighbor authentication and disabling default interface membership.

–Enforce route filters to ensure that only legitimate networks are advertised and networks that are not supposed to be propagated are never advertised.

–Log status changes of neighbor sessions to identify connectivity problems and DoS attempts on routers.

•Device resiliency and survivability

–Disable unnecessary services and implement control plane policing (CoPP).

–Enable traffic storm control.

–Implement topological, system, and module redundancy for the resiliency and survivability of routers and switches and to ensure network availability.

–Keep local device statistics.

•Network telemetry

–Enable Network Time Protocol (NTP) time synchronization.

–Collect system status and event information with Simple Network Management Protocol (SNMP), Syslog, and TACACS+/RADIUS accounting.

–Monitor CPU and memory usage on critical systems.

–Enable NetFlow to monitor traffic patterns and flows.

•Network policy enforcement

–Implement access edge filtering.

–Enforce IP spoofing protection with access control lists (ACLs), Unicast Reverse Path Forwarding (uRPF), and IP Source Guard.

•Switching infrastructure

–Implement a hierarchical design, segmenting the LAN into multiple IP subnets or virtual LANs (VLANs) to reduce the size of broadcast domains.

–Protect the Spanning Tree Protocol (STP) domain with BPDU Guard and STP Root Guard.

–Use per-VLAN Spanning Tree to reduce the scope of possible damage.

–Disable VLAN dynamic trunk negotiation on user ports.

–Disable unused ports and put them into an unused VLAN.

–Implement Catalyst Infrastructure Security Features (CISF) including port security, dynamic ARP inspection, and DHCP snooping.

–Use a dedicated VLAN ID for all trunk ports.

–Explicitly configure trunking on infrastructure ports.

–Use all tagged mode for the native VLAN on trunks and drop untagged frames.

•Network management

–Ensure the secure management of all devices and hosts within the enterprise network.

–Authenticate, authorize, and keep record of all administrative access.

–If possible, implement a separate out-of-band (OOB) management network (hardware or VLAN based) to manage systems at the main site.

–Secure the OOB by enforcing access controls, using dedicated management interfaces or virtual routing and forwarding (VRF) tables.

–Provide secure in-band management access for systems residing at the remote sites by deploying firewalls and ACLs to enforce access controls, using Network Address Translation (NAT) to hide management addresses and using secure protocols like SSH and HTTPS.

–Ensure time synchronization by using NTP.

–Secure servers and other endpoint with endpoint protection software and operating system (OS) hardening best practices.

For more detailed information on the NFP best practices, refer to "Chapter 2, Network Foundation Protection" of the Cisco SAFE Reference Guide at: http://www.cisco.com/en/US/docs/solutions/Enterprise/Security/SAFE_RG/chap2.html.

Internet Perimeter Protection

The small enterprise network design assumes the existence of a centralized Internet connection at the headquarters or main site serving users at all locations. Common services include E-mail and Web browsing for employees, the hosting of a company's website accessible to clients and partners over the Internet, and secure remote access for mobile users and remote workers. Other services may also be provided using the same infrastructure.

The following sections discuss the key areas of the small enterprise network security design.

Network Foundation Protection

Small enterprise networks are built with routers, switches, and other network devices that keep the applications and services running. Therefore, properly securing these network devices is critical for continued operation.

The network infrastructure of a small enterprise can be protected by implementing the Cisco SAFE best practices for the following areas:

•Infrastructure device access

–Restrict management device access to authorized parties and for the authorized ports and protocols.

–Enforce Authentication, Authorization, and Accounting (AAA) with Terminal Access Controller Access Control System (TACACS+) or Remote Authentication Dial-In User Service (RADIUS) to authenticate access, authorize actions, and log all administrative access.

–Display legal notification banners.

–Ensure confidentiality by using secure protocols like Secure Shell (SSH) and HTTPS.

–Enforce idle and session time-outs and disable unused access lines.

•Routing infrastructure

–Restrict routing protocol membership by enabling Message-Digest 5 (MD5) neighbor authentication and disabling default interface membership.

–Enforce route filters to ensure that only legitimate networks are advertised and networks that are not supposed to be propagated are never advertised.

–Log status changes of neighbor sessions to identify connectivity problems and DoS attempts on routers.

•Device resiliency and survivability

–Disable unnecessary services and implement control plane policing (CoPP).

–Enable traffic storm control.

–Implement topological, system, and module redundancy for the resiliency and survivability of routers and switches and to ensure network availability.

–Keep local device statistics.

•Network telemetry

–Enable Network Time Protocol (NTP) time synchronization.

–Collect system status and event information with Simple Network Management Protocol (SNMP), Syslog, and TACACS+/RADIUS accounting.

–Monitor CPU and memory usage on critical systems.

–Enable NetFlow to monitor traffic patterns and flows.

•Network policy enforcement

–Implement access edge filtering.

–Enforce IP spoofing protection with access control lists (ACLs), Unicast Reverse Path Forwarding (uRPF), and IP Source Guard.

•Switching infrastructure

–Implement a hierarchical design, segmenting the LAN into multiple IP subnets or virtual LANs (VLANs) to reduce the size of broadcast domains.

–Protect the Spanning Tree Protocol (STP) domain with BPDU Guard and STP Root Guard.

–Use per-VLAN Spanning Tree to reduce the scope of possible damage.

–Disable VLAN dynamic trunk negotiation on user ports.

–Disable unused ports and put them into an unused VLAN.

–Implement Catalyst Infrastructure Security Features (CISF) including port security, dynamic ARP inspection, and DHCP snooping.

–Use a dedicated VLAN ID for all trunk ports.

–Explicitly configure trunking on infrastructure ports.

–Use all tagged mode for the native VLAN on trunks and drop untagged frames.

•Network management

–Ensure the secure management of all devices and hosts within the enterprise network.

–Authenticate, authorize, and keep record of all administrative access.

–If possible, implement a separate out-of-band (OOB) management network (hardware or VLAN based) to manage systems at the main site.

–Secure the OOB by enforcing access controls, using dedicated management interfaces or virtual routing and forwarding (VRF) tables.

–Provide secure in-band management access for systems residing at the remote sites by deploying firewalls and ACLs to enforce access controls, using Network Address Translation (NAT) to hide management addresses and using secure protocols like SSH and HTTPS.

–Ensure time synchronization by using NTP.

–Secure servers and other endpoint with endpoint protection software and operating system (OS) hardening best practices.

For more detailed information on the NFP best practices, refer to "Chapter 2, Network Foundation Protection" of the Cisco SAFE Reference Guide at: http://www.cisco.com/en/US/docs/solutions/Enterprise/Security/SAFE_RG/chap2.html.

Internet Perimeter Protection

The small enterprise network design assumes the existence of a centralized Internet connection at the headquarters or main site serving users at all locations. Common services include E-mail and Web browsing for employees, the hosting of a company's website accessible to clients and partners over the Internet, and secure remote access for mobile users and remote workers. Other services may also be provided using the same infrastructure.

0/5000

จาก: -

เป็น: -

ผลลัพธ์ (ไทย) 1: [สำเนา]

คัดลอก!

ส่วนต่อไปนี้กล่าวถึงเรื่องหลักของการออกแบบความปลอดภัยเครือข่ายขององค์กรขนาดเล็กเครือข่ายมูลนิธิป้องกันเครือข่ายขององค์กรขนาดเล็กที่สร้าง ด้วยเราเตอร์ สวิตซ์ และอุปกรณ์เครือข่ายที่ทำให้โปรแกรมประยุกต์และบริการที่ทำงาน ดังนั้น การรักษาความปลอดภัยอุปกรณ์เครือข่ายเหล่านี้อย่างถูกต้องนั้นสำคัญสำหรับการดำเนินการอย่างต่อเนื่องโครงสร้างเครือข่ายขององค์กรขนาดเล็กสามารถป้องกันได้ ด้วยการใช้การปฏิบัติที่ปลอดภัย Cisco สำหรับพื้นที่ต่อไปนี้:•Infrastructure ด้วย-จำกัดการจัดการอุปกรณ์เข้าไป ยังบุคคลที่ได้รับอนุญาต และ การอนุญาตพอร์ตและโปรโต-ตรวจสอบ ตรวจสอบ และการบัญชี (AAA) กับเทอร์มินัลการเข้าควบคุมเข้าควบคุมระบบ (TACACS +) หรือระยะไกลรับรองความถูกต้องเรียกเลขหมายในผู้ใช้บริการ (RADIUS) เพื่อเข้าถึงการรับรองความถูกต้อง อนุมัติการดำเนินการบังคับใช้ และเข้าถึงการจัดการทั้งหมด– แสดงป้ายแจ้งตามกฎหมาย-ให้การรักษาความลับโดยทางโปรโตคอล HTTPS และทาง Shell (SSH)-บังคับใช้ไม่ได้ใช้ และหมดเวลาของเซสชันและปิดใช้งานไม่ได้ใช้เข้าถึงรายการโครงสร้างพื้นฐาน •Routing-จำกัดการเป็นสมาชิกโพรโทคอสายงานการผลิต โดยเปิดใช้งานการรับรองความถูกต้องใกล้เคียง 5 ข้อย่อย (MD5) และปิดการใช้งานของสมาชิกอินเทอร์เฟซเริ่มต้น-บังคับใช้กรองในกระบวนการผลิตเพื่อให้แน่ใจว่า โฆษณาเครือข่ายที่ถูกต้องตามกฎหมายเท่านั้น และไม่เคยโฆษณาเครือข่ายที่ไม่ควรจะเผยแพร่-ล็อกการเปลี่ยนแปลงสถานะของเซสชันของเพื่อนบ้านเพื่อวิเคราะห์ปัญหาการเชื่อมต่อและความพยายามของ DoS บนเราเตอร์ความ •Device และดัน-ปิดการใช้งานบริการที่ไม่จำเป็น และใช้ควบคุมเครื่องบินมากกว่าการรักษา (CoPP)– เปิดใช้งานตัวควบคุมจราจรพายุ– ใช้ topological ระบบ และโมดูลการสำรองสำหรับความดัน ของเราเตอร์และสวิตช์ และ เพื่อตรวจสอบความพร้อมใช้งานเครือข่าย-เก็บสถิติอุปกรณ์ภายในเครื่องมาตร •Network– เปิดใช้งานการซิงโครไนส์เวลาเครือข่ายเวลา Protocol (NTP)-รวบรวมข้อมูลสถานะและเหตุการณ์ของระบบอย่างเครือข่ายบริหารโพรโทคอล (SNMP), Syslog และ TACACS + /mts RADIUS บัญชี-ตรวจสอบการใช้ CPU และหน่วยความจำในระบบที่สำคัญ– เปิดใช้ NetFlow เพื่อตรวจสอบปริมาณการใช้รูปแบบและขั้นตอนบังคับใช้นโยบาย •Network– นำเข้าขอบกรอง-บังคับใช้ IP หลอกป้องกันกับ access control list (Acl), ระบุย้อนกลับเส้นทางส่งต่อ (uRPF), และการรักษาแหล่ง IPโครงสร้างพื้นฐาน •Switching-ดำเนินการออกแบบลำดับชั้น ขั้น LAN เป็นเครือข่ายย่อยหลาย IP หรือ Lan เสมือน (VLANs) เพื่อลดขนาดของโดเมนที่ออกอากาศ-ป้องกันรัฐภูมิโพรโทคอล (STP) โด BPDU ยามและยามราก STP-ใช้ต่อ VLAN Spanning ทรีเพื่อลดขอบเขตของความเสียหายได้-ปิดการใช้งาน VLAN แบบไดนามิกลำเจรจาผู้ใช้พอร์ต-ปิดพอร์ตที่ไม่ได้ใช้ และวางพวกเขาใน VLAN ยังไม่ได้ใช้– ใช้ Catalyst โครงสร้างพื้นฐานความปลอดภัยลักษณะ (CISF) รวมไป ถึงพอร์ตความปลอดภัย ตรวจสอบ ARP แบบไดนามิก DHCP สอดแนม– ใช้การทุ่มเท VLAN ID สำหรับพอร์ตลำตัวทั้งหมด-ชัดเจนกำหนด trunking พอร์ตโครงสร้างพื้นฐาน-โหมดติดแท็กทั้งหมดใช้ใน VLAN ดั้งเดิมในกางเกง และวางเฟรม untaggedจัดการ •Network– ให้การบริหารทางอุปกรณ์และโฮสต์ภายในเครือข่ายขององค์กรทั้งหมด-ตรวจสอบ อนุมัติ และเก็บของทั้งหมดเข้า– ใช้แยกออกของวง (OOB) จัดการเครือข่าย (ฮาร์ดแวร์หรือ VLAN ตาม) ถ้าเป็นไปได้ จัดการระบบในเว็บไซต์หลัก-OOB ปลอดภัย ด้วยการเข้าควบคุมบังคับ ใช้เฉพาะอินเทอร์เฟซการจัดการ หรือเสมือนสาย และส่งต่อตาราง (VRF)-ให้เข้าทางในวงจัดการระบบแห่งเว็บไซต์ระยะไกลโดยใช้ไฟร์วอลล์และ ACLs เพื่อบังคับใช้ควบคุมการเข้า ใช้การแปลที่อยู่เครือข่าย (NAT) ซ่อนอยู่การจัดการ และการใช้ทางโปรโตคอล HTTPS และ SSH-ให้ตรงเวลา โดยใช้ NTP-ปลอดภัยเซิร์ฟเวอร์และอื่น ๆ ปลายทางปลายทางป้องกันซอฟต์แวร์และระบบปฏิบัติการ (OS) แนวทางปฏิบัติที่เข้มงวดกว่าสำหรับรายละเอียดเพิ่มเติมในปฏิบัติ NFP หมายถึง "บทที่ 2 เครือข่ายมูลนิธิป้องกัน" ของคู่มืออ้างอิงปลอดภัย Cisco ที่: http://www.cisco.com/en/US/docs/solutions/Enterprise/Security/SAFE_RG/chap2.htmlป้องกันในขอบเขตของอินเทอร์เน็ตการออกแบบเครือข่ายขององค์กรขนาดเล็กสันนิษฐานการดำรงอยู่ของการเชื่อมต่ออินเทอร์เน็ตส่วนกลางที่สำนักงานใหญ่หรือเว็บไซต์หลักผู้ใช้บริการทุก บริการทั่วไปรวมถึงอีเมลและการเรียกดูเว็บสำหรับพนักงาน โฮสต์ของเว็บไซต์ของบริษัทสามารถเข้าถึงลูกค้าและคู่ค้าผ่านอินเตอร์เน็ต และการเข้าถึงระยะไกลที่ปลอดภัยสำหรับผู้ใช้โมบายและผู้ปฏิบัติงานระยะไกล รวมทั้งอาจให้บริการอื่น ๆ สามารถใช้โครงสร้างพื้นฐานเดียวกัน

การแปล กรุณารอสักครู่..

ผลลัพธ์ (ไทย) 2:[สำเนา]

คัดลอก!

ส่วนต่อไปนี้หารือเกี่ยวกับประเด็นสำคัญขององค์กรขนาดเล็กการออกแบบความปลอดภัยเครือข่าย. คุ้มครองเครือข่ายมูลนิธิเครือข่ายองค์กรขนาดเล็กที่สร้างขึ้นด้วยเราเตอร์สวิตช์และอุปกรณ์เครือข่ายอื่น ๆ ที่ให้บริการการใช้งานและการทำงาน ดังนั้นการรักษาความปลอดภัยอย่างถูกต้องเหล่านี้อุปกรณ์เครือข่ายเป็นสิ่งสำคัญสำหรับการดำเนินงานอย่างต่อเนื่อง. โครงสร้างพื้นฐานเครือข่ายขององค์กรขนาดเล็กสามารถป้องกันได้โดยการใช้ Cisco ปลอดภัยปฏิบัติที่ดีที่สุดสำหรับพื้นที่ต่อไปนี้: •การเข้าถึงอุปกรณ์โครงสร้างพื้นฐานการเข้าถึงอุปกรณ์การจัดการ -Restrict ให้กับบุคคลผู้มีอำนาจและเป็น พอร์ตและโปรโตคอลที่ได้รับอนุญาต. -Enforce การตรวจสอบ, การอนุมัติและการบัญชี (AAA) กับสถานีควบคุมการเข้าถึงระบบควบคุมการเข้าถึง (TACACS +) หรือตรวจสอบระยะไกลแบบ Dial-ผู้ใช้บริการ (RADIUS) ในการตรวจสอบการเข้าถึงอนุญาตให้กระทำการเข้าถึงและเข้าสู่ระบบการบริหารทั้งหมดจอแสดงผลป้ายแจ้งเตือนตามกฎหมาย. การรักษาความลับ -Ensure โดยใช้โปรโตคอลที่ปลอดภัยเช่นเชลล์ที่ปลอดภัย (SSH) และ HTTPS. -Enforce ไม่ได้ใช้งานและระยะเวลาในเวลานอกและปิดสายการเข้าถึงที่ไม่ได้ใช้. •เส้นทางโครงสร้างพื้นฐาน-Restrict เส้นทางสมาชิกโปรโตคอลด้วยการทำให้ข้อความสำคัญ 5 (MD5) การตรวจสอบเพื่อนบ้านและปิดการใช้งานอินเตอร์เฟซที่สมาชิกเริ่มต้น. กรองเส้นทาง -Enforce เพื่อให้แน่ใจว่าเครือข่ายที่ถูกต้องเพียง แต่มีการโฆษณาและเครือข่ายที่ไม่ควรจะได้รับการขยายพันธุ์ที่ไม่เคยโฆษณา. การเปลี่ยนแปลงสถานะของการประชุม -log เพื่อนบ้านเพื่อแจ้งปัญหาการเชื่อมต่อและพยายาม DoS เกี่ยวกับเราเตอร์. •ความยืดหยุ่นอุปกรณ์และโอกาสรอดบริการที่ไม่จำเป็น -Disable และดำเนินการรักษาควบคุมเครื่องบิน (Copp). การเปิดใช้งานการควบคุมการจราจรพายุ. -Implement ทอพอโลยีระบบและความซ้ำซ้อนโมดูลสำหรับความยืดหยุ่นและความอยู่รอดของเราเตอร์และสวิทช์และเพื่อให้แน่ใจความพร้อมเครือข่าย . -Keep สถิติอุปกรณ์ภายใน. • telemetry เครือข่ายเปิดใช้งานNetwork Time Protocol (NTP) การประสานเวลา. สถานะของระบบ -Collect เหตุการณ์และข้อมูลที่มีการจัดการเครือข่าย Protocol (SNMP) Syslog และ TACACS + / บัญชี RADIUS. -Monitor ซีพียูและหน่วยความจำ การใช้งานในระบบที่สำคัญ. เปิดใช้งาน NetFlow ในการตรวจสอบรูปแบบการจราจรและกระแส. •เครือข่ายการบังคับใช้นโยบายขอบเข้าถึง -Implement กรอง. -Enforce IP ป้องกันการปลอมแปลงที่มีรายการการควบคุมการเข้าถึง (ACLs) Unicast เส้นทางย้อนกลับการส่งต่อ (uRPF) และไอพีที่มารักษาความปลอดภัย . •การสลับโครงสร้างพื้นฐาน-Implement การออกแบบลำดับชั้นแบ่งกลุ่ม LAN เข้าไปในเครือข่ายย่อยหลาย IP หรือระบบ LAN เสมือน (VLANs) เพื่อลดขนาดของโดเมนออกอากาศ. ปกป้องทอดต้นไม้ Protocol (STP) โดเมน BPDU Guard และเอสทีพีรากดินแดน. - ใช้ต่อ VLAN Spanning ต้นไม้เพื่อลดขอบเขตของความเสียหายที่เป็นไปได้. -Disable VLAN การเจรจาต่อรองลำต้นแบบไดนามิกในพอร์ตใช้. พอร์ตที่ไม่ได้ใช้ -Disable และทำให้พวกเขาเป็นที่ไม่ได้ใช้ VLAN. -Implement Catalyst โครงสร้างพื้นฐานคุณลักษณะด้านความปลอดภัย (CISF) รวมทั้งการรักษาความปลอดภัยพอร์ตแบบไดนามิก การตรวจสอบ ARP และ DHCP สอดแนม. ใช้งานรหัส VLAN เฉพาะสำหรับพอร์ตลำต้นทั้งหมด. -Explicitly กำหนดค่าเดินสายไฟบนพอร์ตโครงสร้างพื้นฐาน. ใช้งานโหมดการติดแท็กทั้งหมดสำหรับ VLAN พื้นเมืองบนลำต้นและวางกรอบติดแท็ก. •การจัดการเครือข่าย-Ensure การจัดการความปลอดภัย ของอุปกรณ์ทั้งหมดและไพร่พลที่อยู่ในเครือข่ายขององค์กร. -Authenticate อนุมัติและเก็บบันทึกของการเข้าถึงการบริหารทั้งหมด. ถ้าเป็นไปได้ดำเนินการแยกออกจากวง (OOB) เครือข่ายการจัดการ (ฮาร์ดแวร์หรือ VLAN ตาม) ในการจัดการระบบ เว็บไซต์หลัก. -Secure OOB โดยการบังคับใช้การควบคุมการเข้าถึงการใช้อินเตอร์เฟซการจัดการเฉพาะหรือเส้นทางเสมือนจริงและการส่งต่อ (VRF) ตาราง. -Provide รักษาความปลอดภัยในวงการจัดการการเข้าถึงสำหรับระบบที่อาศัยอยู่ที่ไซต์ระยะไกลโดยใช้ไฟร์วอลล์และ ACLs ในการบังคับใช้การเข้าถึง การควบคุมโดยใช้การแปลที่อยู่เครือข่าย (NAT) ที่จะซ่อนอยู่การจัดการและการใช้โปรโตคอลการรักษาความปลอดภัยเช่น SSH และ HTTPS. ประสานเวลา -Ensure โดยใช้ NTP. เซิร์ฟเวอร์ -Secure และปลายทางอื่น ๆ ที่มีซอฟต์แวร์ป้องกันปลายทางและระบบปฏิบัติการ (OS) แข็งปฏิบัติที่ดีที่สุดสำหรับข้อมูลรายละเอียดเพิ่มเติมเกี่ยวกับการปฏิบัติที่ดีที่สุด NFP โปรดดู "บทที่ 2 การป้องกันเครือข่ายมูลนิธิ" ของซิสโก้ SAFE คู่มืออ้างอิงที่: http://www.cisco.com/en/US/docs/solutions/Enterprise/Security/ SAFE_RG / chap2.html. อินเทอร์เน็ตปริมณฑลคุ้มครององค์กรขนาดเล็กการออกแบบเครือข่ายถือว่าการดำรงอยู่ของการเชื่อมต่ออินเทอร์เน็ตจากส่วนกลางที่สำนักงานใหญ่หรือเว็บไซต์หลักของผู้ใช้ที่ให้บริการในสถานที่ทั้งหมด บริการทั่วไปรวมถึง E-mail และการท่องเว็บสำหรับพนักงานโฮสติ้งของเว็บไซต์ของ บริษัท ที่สามารถเข้าถึงลูกค้าและคู่ค้าผ่านทางอินเทอร์เน็ตและปลอดภัยการเข้าถึงระยะไกลสำหรับผู้ใช้โทรศัพท์มือถือและคนไกล บริการอื่น ๆ นอกจากนี้ยังอาจจะให้โดยใช้โครงสร้างพื้นฐานเดียวกัน

การแปล กรุณารอสักครู่..

ผลลัพธ์ (ไทย) 3:[สำเนา]

คัดลอก!

ส่วนต่อไปนี้กล่าวถึงกุญแจสำคัญของการออกแบบการรักษาความปลอดภัยเครือข่ายขององค์กรขนาดเล็ก เครือข่ายมูลนิธิคุ้มครอง

ขนาดองค์กรเครือข่ายถูกสร้างขึ้นด้วยเราเตอร์ , สวิทช์และอุปกรณ์เครือข่ายอื่น ๆที่ให้โปรแกรมและบริการวิ่ง ดังนั้น อย่างถูกต้อง การรักษาความปลอดภัยอุปกรณ์เครือข่ายเหล่านี้เป็นสิ่งสำคัญสำหรับการดำเนินการต่อไป

โครงสร้างพื้นฐานของเครือข่ายขององค์กรขนาดเล็กสามารถป้องกันโดยการใช้ cisco ปลอดภัยปฏิบัติที่ดีที่สุดสำหรับพื้นที่ต่อไปนี้ :

-

- จำกัดการเข้าถึงโครงสร้างพื้นฐานของอุปกรณ์การจัดการอุปกรณ์การเข้าถึงอนุญาตบุคคลและให้อนุญาตพอร์ตและโปรโตคอล

และบังคับใช้การตรวจสอบการอนุญาตและบัญชี ( AAA ) กับสถานีควบคุมการเข้าถึงระบบการควบคุมการเข้าถึง ( tacacs ) หรือโทรตรวจสอบระยะไกลในการให้บริการผู้ใช้ ( รัศมี ) เพื่อตรวจสอบการอนุญาตให้กระทำ และเข้าสู่ระบบการเข้าถึงการบริหาร

–แสดงกฎหมายประกาศแบนเนอร์

) มั่นใจการรักษาความลับ โดยใช้โปรโตคอลการรักษาความปลอดภัยเช่น shell ( ssh ) และ HTTPS .

และบังคับใช้เซสชันเวลาลึกหนาบางและปิดสายเข้าไม่ได้ใช้

-

- จำกัดการโครงสร้างพื้นฐานโปรโตคอลเส้นทางสมาชิก โดยการเปิดใช้งานข้อความย่อย 5 ( MD5 ) ตรวจสอบและปิดการใช้งานอินเตอร์เฟซที่เพื่อนบ้านสมาชิกค่า

( ใช้กรองเพื่อให้แน่ใจว่าเส้นทางเท่านั้นที่ถูกต้องตามกฎหมายมีเครือข่ายโฆษณาและเครือข่ายที่ไม่ควรจะไป

ไม่เคยโฆษณาเพื่อบันทึกการเปลี่ยนแปลงสถานภาพของการประชุมเพื่อนบ้านระบุปัญหาการเชื่อมต่อ และการพยายามในเราเตอร์

-

- อุปกรณ์มีความยืดหยุ่น และความสามารถการใช้งานบริการและใช้การควบคุมของเครื่องบินเป็นแบบ ( ทองแดง )

( เปิดการจราจรพายุควบคุม

) ใช้รูปแบบของระบบและโมดูล ) สำหรับความยืดหยุ่นและความอยู่รอดของเราเตอร์และสวิตช์และตรวจสอบห้องว่างของเครือข่าย และอุปกรณ์เก็บข้อมูลท้องถิ่น

.

-

- ช่วยให้เครือข่าย Telemetry โปรโตคอลเวลาเครือข่าย ( NTP ) เวลาที่ตรงกัน

) เก็บสถานะของระบบและเหตุการณ์ข้อมูลด้วยง่ายการจัดการเครือข่าย Protocol ( SNMP ) , Syslog , และ tacacs / รัศมีการบัญชี

- ตรวจสอบ CPU บนระบบสำคัญ

) ให้มีการตรวจสอบรูปแบบการจราจรและกระแส

-

- ใช้เครือข่ายการบังคับใช้นโยบายการเข้าถึงขอบกรอง และป้องกันการปลอมแปลง IP

ใช้กับรายการการควบคุมการเข้าถึง ( ACLS ) , unicast Reverse เส้นทางการส่งต่อ ( urpf ) และ IP ที่มายาม

-

- ใช้เปลี่ยนโครงสร้างลำดับชั้นการออกแบบการแบ่งออกเป็น subnets IP LAN หลายหรือ LANs เสมือน ( VLANs ) เพื่อลดขนาดของโดเมนออกอากาศ .

–ปกป้องต้นไม้ทอดข้ามขั้นตอน ( STP ) โดเมนกับยาม bpdu และ STP รากยาม

) ใช้ต่อ VLAN ต้นไม้ทอดข้ามเพื่อลดขอบเขตของความเสียหายที่เป็นไปได้

ปิดการใช้งาน VLAN แบบไดนามิกและงวง การเจรจาต่อรองในผู้ใช้พอร์ต

) ปิดที่ไม่ได้ใช้พอร์ตและใส่ลงในการใช้ VLAN .

ใช้ตัวเร่งปฏิกิริยาและโครงสร้างระบบรักษาความปลอดภัยคุณสมบัติ ( cisf ) รวมทั้งการรักษาความปลอดภัยท่าเรือ ตรวจสอบ ARP แบบไดนามิกและ DHCP การสอดแนม

( ใช้เฉพาะ VLAN ID ทั้งหมดลำต้นพอร์ต

) อย่างชัดเจน ปรับแต่งโครงสร้างพื้นฐาน trunking พอร์ต

) ใช้แท็ก VLAN ในโหมดพื้นเมืองกางเกงหล่น

ติดแท็กเฟรม

- การจัดการเครือข่าย- ตรวจสอบความปลอดภัยการจัดการของอุปกรณ์ทั้งหมดและโฮสต์ภายในเครือข่ายองค์กร

) รับรองอนุมัติ และเก็บบันทึกของการเข้าถึงการบริหาร

) ถ้าเป็นไปได้ ใช้แยกวง ( oob ) การจัดการเครือข่าย ฮาร์ดแวร์ ( หรือ VLAN ตาม ) เพื่อจัดการระบบในเว็บไซต์หลัก

) การ oob มีการควบคุมการเข้าถึงใช้โดยเฉพาะการจัดการการเชื่อมต่อ หรือเสมือนเส้นทางและส่งต่อ ( VRF ) โต๊ะ

) ให้กลายเป็นวงการจัดการการเข้าถึงระบบที่ตั้งอยู่ที่ไซต์ระยะไกล โดยปรับใช้ไฟร์วอลล์และการบังคับใช้ในการควบคุมการเข้าถึงการแปลที่อยู่เครือข่าย ( NAT ) เพื่อซ่อนที่อยู่การจัดการและการรักษาความปลอดภัยโปรโตคอล HTTPS เช่น SSH และ

) ให้แน่ใจว่า เวลาที่ตรงกันโดยใช้ NTP .

การรักษาอื่น ๆและเซิร์ฟเวอร์และข้อมูลซอฟต์แวร์การป้องกันและระบบปฏิบัติการ ( OS ) แนวปฏิบัติที่ดีขึ้น

สำหรับข้อมูลเพิ่มเติมเกี่ยวกับวิธีปฏิบัติที่ดีที่สุด NFP , อ้างถึง " บทที่ 2 , มูลนิธิเครือข่ายป้องกัน " ของเครือข่ายที่ปลอดภัยคู่มืออ้างอิง : http : / / www.cisco . com / en / เรา / เอกสาร / โซลูชั่น / องค์กร / การรักษาความปลอดภัย / safe_rg / chap2 . html .

แนวป้องกันอินเทอร์เน็ตการออกแบบเครือข่ายองค์กรขนาดเล็กถือว่าการดำรงอยู่ของอินเทอร์เน็ตส่วนกลางที่สำนักงานใหญ่หรือเว็บไซต์หลักที่ให้บริการผู้ใช้ในสถานที่ บริการทั่วไปรวมถึง e - mail และเรียกดูเว็บสำหรับพนักงาน , โฮสติ้งของเว็บไซต์ของ บริษัท สามารถเข้าถึงได้ให้กับลูกค้าและคู่ค้าผ่านทางอินเทอร์เน็ตและการรักษาความปลอดภัยการเข้าถึงระยะไกลสำหรับผู้ใช้มือถือและคนงานจากระยะไกลบริการอื่น ๆอาจจะให้ใช้โครงสร้างพื้นฐานเดียวกัน

การแปล กรุณารอสักครู่..

ภาษาอื่น ๆ

การสนับสนุนเครื่องมือแปลภาษา: กรีก, กันนาดา, กาลิเชียน, คลิงออน, คอร์สิกา, คาซัค, คาตาลัน, คินยารวันดา, คีร์กิซ, คุชราต, จอร์เจีย, จีน, จีนดั้งเดิม, ชวา, ชิเชวา, ซามัว, ซีบัวโน, ซุนดา, ซูลู, ญี่ปุ่น, ดัตช์, ตรวจหาภาษา, ตุรกี, ทมิฬ, ทาจิก, ทาทาร์, นอร์เวย์, บอสเนีย, บัลแกเรีย, บาสก์, ปัญจาป, ฝรั่งเศส, พาชตู, ฟริเชียน, ฟินแลนด์, ฟิลิปปินส์, ภาษาอินโดนีเซี, มองโกเลีย, มัลทีส, มาซีโดเนีย, มาราฐี, มาลากาซี, มาลายาลัม, มาเลย์, ม้ง, ยิดดิช, ยูเครน, รัสเซีย, ละติน, ลักเซมเบิร์ก, ลัตเวีย, ลาว, ลิทัวเนีย, สวาฮิลี, สวีเดน, สิงหล, สินธี, สเปน, สโลวัก, สโลวีเนีย, อังกฤษ, อัมฮาริก, อาร์เซอร์ไบจัน, อาร์เมเนีย, อาหรับ, อิกโบ, อิตาลี, อุยกูร์, อุสเบกิสถาน, อูรดู, ฮังการี, ฮัวซา, ฮาวาย, ฮินดี, ฮีบรู, เกลิกสกอต, เกาหลี, เขมร, เคิร์ด, เช็ก, เซอร์เบียน, เซโซโท, เดนมาร์ก, เตลูกู, เติร์กเมน, เนปาล, เบงกอล, เบลารุส, เปอร์เซีย, เมารี, เมียนมา (พม่า), เยอรมัน, เวลส์, เวียดนาม, เอสเปอแรนโต, เอสโทเนีย, เฮติครีโอล, แอฟริกา, แอลเบเนีย, โคซา, โครเอเชีย, โชนา, โซมาลี, โปรตุเกส, โปแลนด์, โยรูบา, โรมาเนีย, โอเดีย (โอริยา), ไทย, ไอซ์แลนด์, ไอร์แลนด์, การแปลภาษา.