IPv6网络地址的若干安全策略(2)
时间:2018-04-17 18:21 来源:网络整理 作者:墨客科技 点击:次
◆3.检查出站信息流量,允许返回流量匹配条件,但是仅仅是在它已经通过了IPS,以检测用户无意间带入的任何僵尸网络流量或者恶意软件(也可能是由于钓鱼攻击引发)。 ◆4.允许入站网络流量进入在公共DNS中拥有AAAA记录的地址。 ◆5.如果某个内部地址从来没有发送过任何来自企业外部的信息,阻止一切信息流量进入该内部地址。这是为了保护内部设备比如打印机不被外部访问。 ◆6.拦截所有入站SSL/TLS信息流量,用自签名的证书来对它进行解密,在允许它们进入之前对它们进行检查。 ◆7.在通过IPS之后,默认允许所有其它入站信息流量,但是要对它们的速率进行限制,以此来避免设备超载。 对于许多企业而言,Vyncke的建议可能有些过于激进,在IPv6式的点到点连接的好处被证实之前尤为如此。但是不要忘记,企业之所以能够乐意面对将局域网连入互联网的风险,唯一的原因就是这么做所带来的好处值得他们去冒这个风险。 (责任编辑:admin) |