2.发现网络安全边界

从“大安全”的角度，企业网络安全分被攻击和“被”发起攻击，所以企业既要保证自身网络安全，还要保证不被利用起来攻击其他企业网络

2.1DNS服务

①没有托管DNS解析服务，自搭的DNS服务解析内外网域名，注意内外网区分

②DNS服务软件漏洞

②DNS被用来放大攻击他人网络

2.2CDN服务

①CDN的DNS服务失效，导致自己业务无法访问

②CDN回原流量(cdn请求业务服务器)未加密，被嗅探

③CDN边缘服务器存在漏洞，泄露内存数据

④同一CDN服务器的其他公司业务存在漏洞（边缘节点不隔离）

2.3业务服务器

①采用多网关负载均衡 防止DDOS攻击、CC攻击

②网关/防火墙采用最少端口原则，仅允许入方向的80、443端口，不允许出方向的流量，防止外带泄露数据

③对提供web服务进行安全评估，全站https

（大部分企业对外业务为web形式）

2.4云托管服务器

云服务器提供了类似防火墙的功能，但云服务器内部网络隔离安全仍需验证。

2.5邮件服务

①伪造发件人攻击

以前的邮局递信都是在各邮局分部放置一个邮筒，只要贴上邮票任何人都能以任何身份向任何人寄信。

互联网邮件服务分为寄信服务和收信服务。下面是邮件发送接收过程简述

1、用户A使用密码登录163邮箱后，撰写邮件发送到好友B的qq邮箱；

2、163邮箱服务器的寄信服务将邮件递送到qq邮箱服务器，此过程不需要提供密码；

3、用户B登录qq邮箱后，通过qq邮箱收信服务，收到来自A的邮件；

其实互联网邮件与邮局递信流程上并未改变，只是163邮箱，qq邮箱等代替了邮局分部，都存在身份认证的问题。

比如恶意用户C，伪造邮件递送到qq邮箱服务器发送给用户B，且声称自己是用户A，此过程是可行的，只需要找到QQ邮箱的SMTP服务器地址即可

有两类伪造情况：伪造发件人ceo@qq.com，发邮件到hr@qq.com；另一种是伪造ceo@qq.com发邮件到cfo@163.com。都存在社工攻击场景

配置DNS的SPF(宣称本域发件服务器的ip地址)，DKIM(宣称本域公钥)策略，接收域进行验证

②携带恶意附件，客户端防毒，邮件网关杀毒

配置DNS的SPF(宣称本域发件服务器的ip地址)，DKIM(宣称本域公钥)策略，接收域进行验证

②携带恶意附件，客户端防毒，邮件网关杀毒

③密码爆破，邮件中包含服务器信息、架构信息、商务信息

④邮件客户端漏洞：foxmail，outlook，web方式，企业邮箱

2.6访客wifi

①设置WAP2密码，禁止访问内部网络

②保护WiFi物理安全，保证不被重置密码，更新固件等

③限制WiFi强度，不需要扩散很远

④检测伪造的相同SSID的WiFi，防范钓鱼

⑤禁止私搭WiFi接入点

2.7VPN

①账号及权限设置，不同权限访问不同的内部网络

②证书方式登陆，防止爆破

③VPN软件安全

天下数据提供美国高防服务器、香港高防服务器、韩国高防服务器、佛山高防服务器等；高防机房很好的解决各种CC、流量等DDOS攻击，另外还是DDOS高防IP为您的业务保驾护航。详询在线客服！

本文仅代表作者个人观点，不代表巅云官方发声，对观点有疑义请先联系作者本人进行修改，若内容非法请联系平台管理员，邮箱qq2522407257。更多相关资讯，请到巅云www.yinxi.net学习互联网营销技术请到巅云学院www.yx10011.com。