路由器专家：为什么需要网络审计服务3

路由器专家：为什么需要网络审计服务3

　在理想状态下，你可以创建一个网络，连接所有服务器，并且在任何用户访问之前，运行一个网络服务基线。虽然看起来非常理想，但是也非常不切实际，因为如果没有用户，你也无法知道哪些服务器上的服务实际上正在被访问。也就是说，一旦你建立了审计，那么新节点在被引入到网络上时就必须审计。一个典型的网络服务审计收集了每个节点的下列数据：

　　ARP地址

　　IP地址

　　DNS名称和别名

　　操作系统

　　运行网络服务（如果可能还包括版本）

　　有效网络服务

　　一个节点可以是服务器、路由器、无线接入点，或者任何一直连接到网络的设备。审计用户节点是有价值时，除非用户锁定了它们或者它们是不可修改的，因此，建立有用的概况数据是一项非常艰巨的任务。从安全的角度出发，不受中央管理控制的所有主机必须被认为是有害的并应该采取相关防御措施。收集审计数据一般有三个处理阶段：

　　主机验证：这个过程包括建立有效连接到网络上的主机的数据库。这个数据可以从三个来源收集：交换ARP表、有效ICMP扫描和DNS Zone查找。

　　主机概要分析：这个过程包括扫描主机以识别操作系统、运行网络服务和版本信息。通过运行端口和/或一系列有效主机的漏洞扫描器来收集数据。

　　服务概要分析：这个过程包括监控入站流量流来识别哪些网络服务是激活的。使用主机概要分析，可以创建和安装数据流量监控访问清单来监控和检测网络流量模式。

　　接下来，我们将探讨主机验证过程，这个程序很容易通过使用合适的工具来完成。在我们结束之前，你可以思考一下下面这些问题：网络审计可能是一项费时的任务，并且你也可能没有时间进行网络审计。然而，极有可能有人已经用尽办法在扫描你的网络并寻找可攻击的漏洞。他可能是你组织中的某个人；FBI统计数据显示超过60%的计算机犯罪都在企业内部。因此，要记住有效的进攻是最佳的防御，同时你只有知道你的网络漏洞所在，否则你无法发起有效的防御。