一个着实需要网络安全文档的客户解决了灾难恢复问题。该客户的UPS变得不受控制,而且一半的设备被去除,包括主要防火墙和若干以太网交换机。问题是他们的主要IT人员也说不出个所以然,只是把问题扔给我们,这如同重建其网络。一切结束后,我们从整个修复过程中简单总结出了以下五点:
1. 基本的拓扑:如果你不能用几幅图片较快地解释网络的架构,那就会出问题。基本的拓扑信息显示了互联网,内网,防火墙和路由等之间的关系。至少还要添加IP地址和子网掩码。随着各网络中VLAN,子网和多区域防火墙的增加,以前的“追踪网线”的策略已经无法在设备瘫痪的情况下告诉我们网络的结构。即便不是发生网络故障,对网络结构的了解也是对网络操作展开讨论或寻求技术支持的前提。较重要的是更新拓扑数据并非难事,也就是说花哨的图案和布局往往有些碍事儿。
2. 密码:必须整理出一本密码本,其中要记录用于每个部分的紧急“根”,“管理”密码。而不是将这些密码记在脑子里,并且要将其保存在行政人员能随时拿到的安全的地方。较好是将紧急用户从普通验证系统中分离出来。换句话说,较好是由RADIUS服务器控制的密码是私有的。不过,一旦发生故障或是RADIUS瘫痪,密码本就十分重要。
3. IP地址管理:如果你的公司很大,或许你会使用一些收费产品或本国制造的工具来完成IP地址分配。如果没有这样做,请确认你是否在使用能告诉你谁在使用IP地址的网络安全文档以及其使用意图。DNS也需要这些信息,只有这样,转发和取消的查找才能正常运行。从列表和DNS着手对网络进行诊断可以节约时间,确保你不会犯大错以及用同一IP指派两个设备。如果你用ping弄明白了是否有人在使用IP地址,那就可以了解到需要修复的安全问题和网络不足。当你从事这项操作的时候,请确保没有程序连接到没有显示出IP地址的网络。
4. 配置备份:每个设备都有一个配置,而你必须对配置进行备份――较好是备份到独立的系统上,即便网络瘫痪也可以照常访问。设备越复杂,恢复起来越困难,比方,防火墙。这意味着实时更新是一项重要的任务。如果你在等人制作这些备份,马上改变这种方式,转而使用可以自动保存设备配置的工具。
5. 哲学:网络安全的问题不断在变化,每个人对此问题的见解也不同。对于关心网络安全变更的团队而言,随着时间的推移,他们在保持一致性方面的基本指导思想会丧失。例如,当编写防火墙规则时,你或许有一套添加对象(如网络和服务)的标准方法。记录这些标准和惯例,这样才能保持一致性且容易让人明白。
显然,将这几点贯彻到位,就可以加速解决大大小小的网络灾难。不过这些不仅仅适用于出错的网络,还适用于日常操作以及任何网络的发展。
