網(wǎng)絡(luò)配置審計(jì)比以往更重要

李雪薇
在許多情況下,運(yùn)維人員正確地調(diào)整了交換、路由和防火墻的配置,以符合用戶(hù)和設(shè)備現(xiàn)在的通信方式。但是,在進(jìn)行這些配置修改的同時(shí),舊的和過(guò)時(shí)的命令的刪除可能會(huì)持續(xù)很長(zhǎng)時(shí)間。

為了最直觀地了解企業(yè)網(wǎng)絡(luò)在過(guò)去幾年中的變化,運(yùn)維人員需要做的就是打開(kāi)他們的網(wǎng)絡(luò)流量監(jiān)控工具,查看整個(gè)局域網(wǎng)、廣域網(wǎng)和網(wǎng)絡(luò)邊緣的數(shù)據(jù)流的急劇變化。雖然這些數(shù)據(jù)流的轉(zhuǎn)變有很大一部分是由于在過(guò)去18個(gè)月里遠(yuǎn)程辦公而發(fā)生的,但其他的變化是通過(guò)計(jì)劃中的云和邊緣計(jì)算遷移而產(chǎn)生的。為了適應(yīng)這些變化,提高了網(wǎng)絡(luò)配置審計(jì)的重要性。

在許多情況下,運(yùn)維人員正確地調(diào)整了交換、路由和防火墻的配置,以符合用戶(hù)和設(shè)備現(xiàn)在的通信方式。但是,在進(jìn)行這些配置修改的同時(shí),舊的和過(guò)時(shí)的命令的刪除可能會(huì)持續(xù)很長(zhǎng)時(shí)間。盡管這些配置可能處于休眠狀態(tài),而且從性能/安全的角度來(lái)看,許多配置是良性的,但它們會(huì)造成混亂,往往會(huì)導(dǎo)致下一步的錯(cuò)誤行動(dòng)。由于這個(gè)原因,現(xiàn)在比以往任何時(shí)候都更需要進(jìn)行徹底的網(wǎng)絡(luò)配置審計(jì),以便刪除過(guò)時(shí)的配置,確保網(wǎng)絡(luò)能夠被所有網(wǎng)絡(luò)操作和管理人員輕松理解和信任。讓我們看看一些常見(jiàn)的過(guò)時(shí)配置的例子,這些配置可以讓您提前開(kāi)始網(wǎng)絡(luò)審計(jì)過(guò)程。

1.png

交換機(jī):已經(jīng)合并或不再需要的虛擬局域網(wǎng)(VLAN)在交換機(jī)配置中停留的時(shí)間往往超過(guò)必要的時(shí)間。這在那些由于將應(yīng)用程序、數(shù)據(jù)和數(shù)字服務(wù)遷移到云計(jì)算平臺(tái)而縮小規(guī)模的數(shù)據(jù)中心尤其如此。手動(dòng)指定哪些VLAN可以穿越連接的中繼上行鏈路也應(yīng)該被審查,并在必要時(shí)進(jìn)行修剪。

路由器:雖然大多數(shù)網(wǎng)絡(luò)使用動(dòng)態(tài)路由協(xié)議來(lái)自動(dòng)維護(hù)整個(gè)網(wǎng)絡(luò)的最新最佳路徑,但在一個(gè)或多個(gè)路由器/第三層交換機(jī)上配置靜態(tài)路由的情況并不少見(jiàn)。隨著時(shí)間的推移,這些網(wǎng)絡(luò)目的地發(fā)生了變化或移動(dòng),而靜態(tài)路由卻被遺忘。這可能導(dǎo)致一種情況,即靜態(tài)路由中列出的IP子網(wǎng)在企業(yè)局域網(wǎng)或廣域網(wǎng)的其他地方被重新使用。如果發(fā)生這種情況,可能會(huì)導(dǎo)致網(wǎng)絡(luò)的某些部分無(wú)法訪(fǎng)問(wèn)新形成的子網(wǎng)。同樣,訪(fǎng)問(wèn)列表和策略通常是在路由器上配置的,以限制誰(shuí)可以到達(dá)特定子網(wǎng)的設(shè)備。即使網(wǎng)絡(luò)或交換機(jī)虛擬接口(SVI)被刪除,訪(fǎng)問(wèn)列表的配置可能仍然存在。這可能會(huì)使路由器配置變得混亂,有時(shí)會(huì)使管理它們的管理員感到困惑。

防火墻:總的來(lái)說(shuō),與網(wǎng)絡(luò)交換機(jī)和路由器相比,防火墻的配置受到更密切的監(jiān)控和維護(hù)。然而,一些管理員選擇禁用防火墻規(guī)則和接口,而不是直接刪除它們。雖然這是一種可以理解的做法,因?yàn)榭焖僦匦聠⒂门渲玫哪芰χ恍枰c(diǎn)擊幾下就可以了,但被禁用的配置有可能停留數(shù)周、數(shù)月甚至數(shù)年。這可能導(dǎo)致管理員無(wú)意中啟用了一個(gè)被禁用的命令,導(dǎo)致不必要的威脅暴露。

今天企業(yè)網(wǎng)絡(luò)的使用方式與幾年前相比發(fā)生了巨大的變化,網(wǎng)絡(luò)設(shè)備上很可能有許多不再需要的配置。對(duì)于那些希望進(jìn)行網(wǎng)絡(luò)配置審計(jì)的人來(lái)說(shuō),關(guān)鍵是要有一個(gè)具體的執(zhí)行計(jì)劃,以便有條不紊地執(zhí)行。此外,必須創(chuàng)建適當(dāng)?shù)膶徲?jì)和變更控制文件,目的是記錄哪些配置被指定刪除以及為什么。這將創(chuàng)建一個(gè)審計(jì)跟蹤,在使用中的配置命令被意外刪除時(shí)可以引用該跟蹤。

THEEND

最新評(píng)論(評(píng)論僅代表用戶(hù)觀點(diǎn))

更多
暫無(wú)評(píng)論

本月熱門(mén)