网络基础架构安全性通常应用于企业 IT 环境，是通过安装预防性措施来拒绝对资源和数据进行未经授权的访问、修改、删除和盗窃，从而保护底层网络基础架构的过程。这些安全措施可能包括访问控制、应用安全性、防火墙、虚拟专用网络 (VPN)、行为分析、入侵防御系统和无线安全性。

网络基础架构安全性需要采用一种全面的日常流程和实践方法，以确保底层基础架构始终受到保护。美国网络安全和基础设施安全局 (CISA) 建议在确定要实施的方法时考虑多种方案。

• 对网络和功能进行分段和隔离 - 应特别注意整体基础架构布局。适当的分段和隔离是一种有效的安全机制，可限制潜在的入侵者漏洞传播到内部网络的其他部分。使用路由器等硬件可以隔离网络，从而创建过滤广播流量的边界。然后，这些微分段可以进一步限制流量，甚至在检测到攻击时关闭。虚拟隔离在设计上类似于用路由器物理隔离网络，但不需要硬件。
• 限制不必要的横向通信 - 网络中的对等通信不可忽视。对等方之间未经过滤的通信可能允许入侵者在计算机之间自由移动。这使攻击者有机会通过嵌入后门或安装应用持久存在于目标网络中。
• 强化网络设备 - 强化网络设备是增强网络基础架构安全性的一个主要途径。建议遵守有关网络加密、可用服务、安全访问、强密码、保护路由器、限制物理访问、备份配置以及定期测试安全设置的行业标准和最佳实践。
• 安全访问基础架构设备 - 授予管理权限以允许某些受信任的用户访问资源。通过实施多因素身份验证 (MFA)、管理特权访问和管理凭证来确保用户的真实性。
• 执行带外 (OoB) 网络管理 - OoB 管理实施专用通信路径以远程管理网络设备。这样可以将用户流量与管理流量分离，从而提高网络安全性。
• 验证硬件和软件的完整性 - 灰色市场产品允许攻击途径进入网络，从而威胁到 IT 基础架构。非法产品可能会预先加载恶意软件，伺机将其引入毫无防备的网络。企业应定期对其设备和软件执行完整性检查。

网络基础架构安全性面临的最大威胁来自黑客和恶意应用，这些黑客和恶意应用发动攻击并尝试获取对路由基础架构的控制力。网络基础架构组件包括进行网络通信所需的所有设备，具体包括路由器、防火墙、交换机、服务器、负载均衡器、入侵检测系统 (IDS)、域名系统 (DNS) 以及存储系统。这些系统中的每一个都为想要在目标网络上放置恶意软件的黑客提供了一个切入点。

• 网关风险：获得网关路由器访问权限的黑客可以监控、修改和拒绝进出网络的流量。
• 渗透风险：通过从内部路由和交换设备获得更多控制，黑客可以监控、修改和拒绝网络内关键主机之间的流量，并利用内部主机之间的可信关系横向移动到其他主机。

尽管黑客可以对网络施加任意数量的破坏性攻击，但保护和防御路由基础架构对于防止深度渗透系统而言极为重要。

如果实施得当，网络基础架构安全性可为企业的网络提供若干关键优势。

• 改进的资源共享可节省成本：由于得到保护，网络上的资源可供多个用户使用，而不会受到威胁，最终降低了运维成本。
• 共享的站点许可：安全性可确保站点许可比为每台计算机授予许可的成本更低。
• 文件共享提高了工作效率：用户可以在内部网络安全地共享文件。
• 内部通信安全可靠：内部电子邮件和聊天系统将受到保护，免受窥探。
• 分区和安全文件：与使用多个用户共享的计算机相比，用户文件和数据现在彼此独立，受到保护。
• 数据保护：将数据备份到本地服务器既简单又安全，可保护重要的知识产权。

保护网络基础架构安全的方法有很多种，最好采用多种方法来扩大网络防御范围。

• 访问控制：防止未经授权的用户和设备访问网络。
• 应用安全性：针对硬件和软件采取的安全措施可锁定潜在漏洞。
• 防火墙：可以允许或阻止特定流量进出网络的把关设备。
• 虚拟专用网络 (VPN)：VPN 可对端点之间的连接进行加密，从而在 Internet 上创建安全的通信“隧道”。
• 行为分析：这些工具会自动检测偏离常规活动的网络活动。
• 无线安全性：无线网络不如有线网络安全，并且随着新移动设备和应用的激增，网络渗透的载体也在不断增加。