端口安全涉及網(wǎng)絡(luò)訪問(wèn)控制(NAC)，對(duì)此，它的優(yōu)點(diǎn)是什么?我很驚訝地看到有人認(rèn)為這是有爭(zhēng)議的問(wèn)題，那么，這到底是否是有價(jià)值的企業(yè)網(wǎng)絡(luò)安全策略呢?

[[149585]]

Kevin Beaver：網(wǎng)絡(luò)端口安全對(duì)不同的人有不同的意義，我喜歡從最高的水平來(lái)看待網(wǎng)絡(luò)端口安全—這恰好是漏洞利用最簡(jiǎn)單的方法。我指的是建筑物或園區(qū)內(nèi)外的熱點(diǎn)網(wǎng)絡(luò)端口，這些端口允許任何人通過(guò)DHCP或者知道分配IP地址來(lái)插入和連接到網(wǎng)絡(luò)。

在我的安全評(píng)估工作中我經(jīng)?？吹竭@種情況，這只需要有人(無(wú)論是“值得信賴”的內(nèi)部人員或者物理入侵者)連接到他們不應(yīng)該訪問(wèn)的網(wǎng)絡(luò)，運(yùn)行快速的漏洞掃描以及使用Metasploit等工具，就可以獲得對(duì)網(wǎng)絡(luò)中多個(gè)系統(tǒng)的完全遠(yuǎn)程(以及無(wú)法檢測(cè)的)訪問(wèn)，所有這些都不需要網(wǎng)絡(luò)登錄憑證。

如果網(wǎng)絡(luò)端口必須作為熱點(diǎn)(不管是什么原因)，你可以做很多事情來(lái)提高安全性，包括基本的訪問(wèn)控制列表或圍繞802.1x身份驗(yàn)證的更全面的技術(shù)，或者甚至是NAC系統(tǒng)。也許最簡(jiǎn)單的解決辦法是將任何熱點(diǎn)未分配的端口放到不可路由的VLAN，直到授予特定訪問(wèn)權(quán)限。

最后，你正在處理的這些事情會(huì)直接影響網(wǎng)絡(luò)復(fù)雜性。這里的爭(zhēng)議在于，通過(guò)引入網(wǎng)絡(luò)端口安全控制，你實(shí)際上會(huì)更加分心，而讓安全性變得更差。

網(wǎng)絡(luò)端口安全肯定是整體縱深防御戰(zhàn)略的一部分，但只有你知道什么最適合你的環(huán)境。