将远程管理访问对外开放给互联网

一般情况下，远程管理访问服务（如SSH、RDP、VNC等）能够提供管理员权限的，不应该对外开放给互联网。将这些服务直接对外开放会使网络暴露在漏洞利用、不安全凭证以及暴力攻击的风险之下。即使将这些服务限制为仅限用户（非管理员）访问，也因权限升级问题而不被鼓励。

作为替代方案，建议部署VPN / SDWAN服务。这些远程管理服务应仅通过安全的VPN / SDWAN连接提供给特定的用户帐户、VPN终端或源IP地址。

弱、默认或重复使用的身份验证凭证

用户或管理员的身份验证凭证应当强壮，不得重复使用，并且不应使用最初提供的默认凭证。

示例包括：
■ 默认的管理员凭证（admin/admin等）。
■ 默认的用户帐户（guest等）。
■ 弱密码。
■ 在多个不同服务之间重复使用的密码。
■ 缺乏强密码策略。

限制管理员访问来源

默认情况下应该关闭对管理员服务的访问权限，只有在满足特定访问需求的情况下才应该开放。

示例包括：
■ 未限制特定来源的网络设备维护端口。
■ 过于开放的网络设备本地IP列表。
■ 未限制特定来源的网络设备管理门户。
■ 未限制特定来源的SSH访问。
■ 未限制特定来源的RDP访问。

域名系统（DNS）

所有设备应使用网络设备（或其他可靠、加固和安全的）DNS服务器。不应使用ISP或共享的全局DNS解析器。当指定多个DNS解析器时，它们应该都是相同类型的。当需要访问本地查找域时，可以使用域名转发来实现。DNS服务器应配置为禁用递归，除非是针对特定源IP地址子网。

过度的白名单 / 绕过

应谨慎和最少地应用白名单和绕过。

示例包括：
■ 不应将自己的域名列入白名单。
■ 不应将热门的全局域名列入白名单。
■ 安全模块仅在必要时绕过。
■ 核心危险类别的材料访问不应被允许（除非是特定列出的个人用户帐户或源IP地址）。

有效的策略控制

应采用有效的策略控制，遵循最小权限原则，实施“阻止一切，只允许必要”的方法。

示例包括：
■ 入站连接应限制为特定目标IP地址和端口。
■ 应实施严格的出站策略（不应“允许全部”）。
■ 可执行对象应默认被阻止（尤其是作为电子邮件附件）。
■ 不应在防火墙或其他策略控制中使用“允许全部”语句，而没有源/目标限制。
■ 应为SMTP电子邮件应用第三方中继控制。

有效的网络分割

应采用有效的网络分割，至少将服务器与用户分开，并在可能的情况下将不同的组织群体分开。可以使用VLAN技术或物理网络接口来实现此目的；此外，还应加强第3层路由、防火墙策略控制和高级保护（如WAF、IDPS等）。

弱用户访问限制

对用户服务的访问应受到限制，只有在满足特定需求的情况下才应该开放。

示例包括：
■ 外部到内部访问策略缺乏限制。
■ 通过网关设备路由的VPN流量应比本地网络段的策略更加严格。它应受到至少与策略控制级别相同的限制（包括代理和扫描此类流量，即使目标是互联网）。

有效的反恶意软件

应启用并利用反恶意软件安全模块来保护网络的三个层面：

网关

服务器

工作站

不应禁用这些模块，软件和签名应保持最新。

有效的反垃圾邮件

反垃圾邮件技术对于检测和阻止钓鱼和其他恶意电子邮件至关重要。应启用并进行适当的隔离。

部署入侵防御

示例包括：
■ 应首选使用入侵防御而不是或与入侵检测相结合。
■ 内联入侵防御优于主动响应入侵检测 - 受性能考虑影响。
■ 应有效地配置入侵防御和入侵检测系统，并对本地网络范围、使用的端口等进行审查和确认，以与受保护的网络和服务相匹配。
■ 虽然最初在警报（非阻止）模式下部署入侵检测和入侵防御系统是可接受的，但在完成调优后，这些系统应切换到阻止模式。
■ 应启用并执行前线的入侵防御系统。
■ 应启用并执行受感染的局域网系统。
■ 考虑部署诱饵地址以提高侦察检测能力。

应扫描SSL/TLS流量

应扫描使用SSL/TLS协议加密的流量。这至少会影响SMTP、IMAP4S、POP3S和HTTPS。

随着越来越多的互联网流量通过这些协议传输（出于认证和隐私原因），这种流量对策略执行、恶意软件检测和其他安全控制变得不可见。拦截和解密此类SSL/TLS流量对于保护笔记本电脑、台式工作站和服务器至关重要。

部署Web应用防火墙

Web应用防火墙应配置、调优并以强制模式部署，用于任何使用HTTP/HTTPS协议的面向互联网的网站或服务。

加密流量策略控制

加密流量应受策略控制。

示例包括：
■ 拦截Web客户端的HTTPS流量。
■ 合理情况下提供SSL（或STARTTLS）。
■ 将WAF SSL卸载以进行拦截。
■ 在策略控制执行之前终止VPN连接。
■ 用于其他加密流量的策略控制。

缺乏或不足的敏感数据加密

访问敏感数据应受限于强加密通道。

示例包括：
■ 未加密的数据库查询。
■ 未加密的明文身份验证。
■ 使用不安全的加密协议（早期SSL、IPSEC 3DES、IPSEC dhgroup<=2、IPSEC MD5、PPTP VPN等）。

预期和应急计划

应采用准备工作和应急计划来预测和应对问题。

■ 应启用并准备好反分布式拒绝服务（Anti-DDoS），以便在必要时可以快速应用。
■ 应使用条件变量来预先准备预期情景的替代策略路径。