減少網路攻擊面的7個簡易方式
Zyxel Employee
保護您的網路一直是Zyxel的首要任務,我們的安全專家與全球網路安全研究人員致力合作,來處理和偵測可能影響我們產品安全的潛在漏洞。在這篇文章中,我們分享了7個簡單的方法,可以幫助您的設備減少遭受網路攻擊。
1.阻止從外部存取網路防火牆管理介面
當您在安全範圍之外時,請不要開放管理介面,再次檢查您的主動存取控制策略,以確保在您的網路防火牆中正確配置嚴格的存取控制策略。封鎖您的網路防火牆所使用的協定包括HTTP、HTTPS、PING、SSH、SSL VPN和TELNET。或者,您可以部署雲端管理的防火牆,這樣就不會直接對防火牆設備進行管理存取,從而避免防火牆的安全漏洞。
2.如果您沒有使用VPN,請關閉此功能
根據我們對最近的CVE-2023-33009和CVE-2023-33010的調查,VPN服務是主要的攻擊目標。除了升級到最新的韌體版本之外,我們強烈建議如果您沒有使用任何VPN功能,例如L2TP、站點到站點VPN或遠端存取VPN,請禁用VPN服務。
這裡是禁用VPN服務的步驟:
導引至物件> 服務 > 服務群組
從群組「Default_Allow_WAN_To_ZyWALL」中移除AH、ESP、IKE和NATT服務。
如果您被限制只能使用站點到站點VPN,我們建議僅允許特定來源IP位址的VPN服務。
此外,對管理帳號實施嚴謹的密碼政策。例如,使用至少12個字符,包括小寫字母、大寫字母、數字、特殊符號的組合,並每月更換密碼。密碼不應該重複使用,並且保持對您的網路防火牆的管理登錄強制執行二階段身份驗證。
3.停止將公司網路和資源曝露於網路上
在網路防火牆上配置NAT/通訊埠轉發是有風險的。當員工在家工作或外出需要存取內部網路資源時,例如NAS、網路攝影機或印表機,都需要部署VPN。
4.強烈建議企業使用SSL VPN替代方案
在知名品牌的SSL VPN產品中發現了大量的安全漏洞。IKEv2加上身份驗證(例如MSCHAPv2)方案遠比SSL VPN用於遠端存取公司網路的安全性還要更好。
5.部署多層級的進階安全防火牆的防禦
目標是封鎖網路攻擊鏈,以減輕威脅曲線。啟用IP信譽和入侵防護系統(IPS):這些技術有助於偵測連接埠掃描、阻斷服務攻擊、漏洞利用和暴力攻擊法。啟用威脅過濾器和反惡意軟體功能:這些技術有助於封鎖後門/惡意軟體的下載,停止與外部伺服器的連接,防止目標進一步受到破壞。透過採用沙箱技術和安全事件分析報告,可主動警示、追蹤和管理威脅。
6. 定期備份設定
建立備份設定可使您在發生網路災難時隨時還原防火牆配置。為確保高安全性,設定備份在保存到資料庫之前應進行加密。
7.請注意供應商的安全公告
供應商通常會為企業提供潛在網路攻擊的建議,這可能是當前網路威脅危機的直接或間接結果。需保持消息靈通、警覺性,並確保軟體保持最新狀態,對於減輕安全風險的影響非常重要。
