网络安全保护简介

防火墙可在可信任的内部网络和不可信任的外部网络（例如互联网）之间设置一道屏障。它们通过一组既定规则来允许或阻止流量。防火墙既可以是纯硬件或纯软件，也可以是硬件和软件的组合。思科提供统一威胁管理 (UTM) 设备和注重威胁防御的下一代防火墙。

邮件网关是安全漏洞的头号入侵载体。攻击者使用个人信息和社交工程策略设计复杂的网络钓鱼活动，欺骗收件人并将其引导至传播恶意软件的网站。邮件安全应用可阻止入站攻击并控制出站邮件，以防敏感数据丢失。

“恶意软件”包括病毒、蠕虫、木马、勒索软件和间谍软件。有时，恶意软件在感染网络后会潜伏几天甚至几周。最好的防恶意软件程序不仅可在恶意软件进入网络时进行扫描，还会在文件进入网络后持续进行跟踪，以便发现异常，删除恶意软件并修复损害。

软件定义分段将网络流量划分为不同类别，方便实施安全保护策略。理想情况下，这项分类工作应基于终端身份，而不仅仅是 IP 地址。您还可基于角色、位置等因素分配访问权限，以便为正确的人员分配正确的访问级别，对可疑设备进行遏制和补救。

并非所有用户都应该有权访问您的网络。要阻止潜在攻击者，您需要识别每位用户和每部设备。这样，您才能实施安全保护策略。您可以阻止不合规的终端设备，或仅为其授予有限访问权限。这个过程便称为网络访问控制 (NAC)。

出于业务运营需要而使用的任何软件（无论是内部 IT 人员构建的，还是您购买的）都必须得到妥善保护。但是不可避免地，任何应用都可能包含漏洞，攻击者可以利用这些漏洞感染网络。应用安全保护涉及利用硬件、软件和流程来修复这些漏洞。

• AppDynamics APM
• 应用优先安全解决方案
• 安全服务

要检测异常网络行为，首先必须了解正常行为具有哪些特征。行为分析工具可自动识别偏离规范的活动。然后，您的安全团队可以更好地识别可能导致潜在问题的感染指标，并且迅速对威胁情况进行补救。

组织必须确保员工不会向网络外部发送敏感信息。防数据丢失 (DLP) 技术可阻止人们以不安全的方式上传、转发，甚至打印关键信息。

入侵防御系统 (IPS) 可扫描网络流量，从而主动阻止攻击。思科下一代 IPS (NGIPS) 设备可以关联大量全球威胁情报，不仅能阻止恶意活动，还可跟踪可疑文件和恶意软件在网络中的移动情况，以防病毒爆发蔓延及再次感染。

越来越多的网络犯罪者以移动设备和应用作为攻击目标。未来 3 年内，90% 的 IT 组织可能会支持在个人移动设备上使用企业应用。毋庸置疑，您需要控制哪些设备可以访问您的网络。您还需配置设备连接，保证网络流量保持私密。

安全信息和事件管理 (SIEM) 产品可汇总相关信息，以供安全人员发现威胁并做出响应。这类产品以多种形式提供，包括物理设备和虚拟设备，以及服务器软件。

虚拟专用网络对终端与网络间的连接（通常通过互联网建立连接）进行加密。

网络安全解决方案会控制员工的 Web 使用情况、阻止基于 Web 的威胁，拒绝访问恶意网站，并保护本地或云端的 Web 网关。“网络安全”也指您为保护自己网站所采取的措施。