防火墙不是摆设,得会用
很多人以为装了防火墙就万事大吉,其实不然。比如你家的防盗门再结实,钥匙乱丢也白搭。企业或家庭网络的入口必须部署状态检测防火墙,并且要定期检查规则列表。默认策略应该是“拒绝所有,开放必要”,而不是反过来。比如只开放Web服务用的80和443端口,其他像23(Telnet)、135-139(Windows共享)这类高危端口一律关掉。
入侵检测不能少
光有防火墙还不够,就像小区只有大门保安,没监控系统一样危险。部署IDS(入侵检测系统)能实时发现异常流量。比如某台设备突然对外大量发送SYN包,可能是被感染成了肉鸡。Snort这类开源工具可以监听核心链路,发现可疑行为立刻告警。
边界设备要及时更新
路由器、防火墙这些设备的操作系统也不能忽视。去年有个漏洞叫CVE-2023-20178,影响多个品牌的企业级设备,黑客能通过伪造请求获取设备控制权。很多单位设备几年不升级,等于把大门钥匙挂在门外。建议开启自动补丁通知,关键更新在测试环境验证后尽快上线。
远程访问要加锁
现在远程办公多,但直接把RDP(3389端口)暴露在公网非常危险。暴力破解工具几小时就能撞出弱密码。正确的做法是部署VPN接入,比如用OpenVPN或WireGuard建立加密隧道,所有人先连隧道再访问内网资源。这样即使密码被盯上,攻击者也得先突破加密层。
DNS防护别漏掉
很多人只盯着IP和端口,忽略了DNS这个“地址簿”。恶意软件常通过域名通信,比如伪装成正常网站下载木马。可以在边界部署DNS过滤,比如使用Pi-hole配合黑名单,阻止已知恶意域名解析。配置示例如下:
server=1.1.1.1\ndomain-blocklist=/ads.example.com/\ndomain-blocklist=/malware.site.org/日志集中管理
防火墙、交换机、服务器的日志必须统一收集。单台设备看日志就像盲人摸象。用Syslog或ELK搭建日志平台后,能关联分析。比如发现某个IP先尝试SSH爆破,接着访问Web后台登录页,这种组合行为就能触发高级告警。
物理边界也要防
网络边界不只是虚拟的。有人蹭你公司WiFi,或者插个U盘进会议室电脑,都可能绕过所有数字防线。建议无线网络启用WPA3加密,访客WiFi与内网隔离。同时在交换机端口启用MAC地址绑定,防止私接设备。