控制网络范围 减少网络漏洞

互联网是一个全球网络，但是企业网络可能不需要访问到世界的每一个角落。企业为什么要确定网络的用途以及如何限制网络的接触范围。

黑客组织曾经使用多个网络利用零时间漏洞来窃取金融数据。袭击者操纵网络将个人用户的财务信息传输到对网络犯罪追踪能力差和查处不力 的国家。

当然，这些网络在大部分法制国家中都不在法律管辖范围之内。那么如何才能防止黑客们对企业机构的网络进行此类攻击呢？

通过分析以下关于企业机构网络使用目的的问题，我们将重新获得对网络的控制：

企业有全球业务吗?
企业的业务是本地业务还是区域性业务？
企业的内部用户需要访问全球的所有网络么？
通过回答这些问题，企业就可以在最大范围内限制企业被暴露在不受法律控制的袭击之外。

做些调研工作
互联网拥有巨大的空间，由互联网IP分配机构控制运行(IANA)。IANA将所有公网IP地址按照区域网络登记注册组织(RIR)将IP地址分为几个区。

现在有四个区域网络登记注册组织：

亚太地区：亚太网络信息中心(APNIC)
北美、部分加勒比以及低赤道非洲地区：美洲互联网地址注册管理机构(ARIN)
拉美、部分加勒比地区：拉丁美洲及加勒比地区互联网地址注册管理机构(LACNIC)
中东、中亚、赤道以北非洲国家：欧洲IP资源网络协调中心

对每个地址稍做研究，就能够判断IP地址具体来自哪个国家或地区。

这些信息结合企业对上面关于网络使用目的的分析，就可以减少暴露给不安全网络的缺陷，并且将精力集中在如何服务目标团体上。

限制网络
现在来看一个例子。如果一个商业网络只面对欧洲地区，那么就可以阻断任何非此区域内的IP地址。比如，可以阻断除了以下地址以外的所以 地址：

62.0.0.0 - 62.255.255.255
80.0.0.0 - 80.255.255.255
81.0.0.0 - 81.255.255.255
82.0.0.0 - 82.255.255.255
83.0.0.0 - 83.255.255.255
84.0.0.0 - 84.255.255.255
85.0.0.0 - 85.255.255.255
86.0.0.0 - 86.255.255.255
87.0.0.0 - 87.255.255.255
88.0.0.0 - 88.255.255.255
193.0.0.0 - 193.255.255.255
194.0.0.0 - 194.255.255.255
195.0.0.0 - 195.255.255.255
196.200.0.0 - 196.207.255.255
212.0.0.0 - 212.255.255.255
213.0.0.0 - 213.255.255.255
217.0.0.0 - 217.255.255.255

将这个访问列表应用于所有进出数据流。另外这这一策略集成于任何服务器中已有的阻断工具或者过滤器中。

这个示例确定了企业网络的业务范围，能够减少企业遭受恶意进攻。

总结
互联网是一个全球网络，但是企业网络可能不需要访问到世界的每一个角落。马上采取措施重新掌控企业网络安全：确定企业网络使用目的， 减少网络暴露潜在缺陷的可能。

（责任编辑：陈毅东）