كيفية الحفاظ على البنية التحتية للشبكة سليمة في نظام التشغيل Windows

إن إدارة الشبكة في نظام التشغيل Windows اليوم لا تتعلق فقط بتوصيل أجهزة الكمبيوتر: بل تتعلق أيضًا بالحفاظ عليها مرنة وآمنة وجاهزة لأي شيء يأتي بعد ذلك. بنية تحتية صحية للشبكة فهو يقلل من وقت التوقف عن العمل، ويمنع الحوادث، ويسمح لك بتعظيم الأداء في البيئات المنزلية والشركاتية.

ستجد في هذا الدليل إعدادات Windows الرئيسية، وتقنيات تحسين المحول، وتوصيات الأمان عالية المستوى، وتصميم مرجعي للبنية الأساسية لنظام Windows مع الخدمات الهامة، وخطة صيانة خطوة بخطوة. نحن ندمج التكوين العملي والأداء وأفضل الممارسات والتصلب. حتى تظل شبكتك مستقرة وصحية على المدى الطويل.

إعدادات الشبكة والإنترنت في Windows: الوصول السريع والحالة

في نظام التشغيل Windows، تجمع لوحة الشبكة والإنترنت كل ما تحتاجه للاتصال والتخصيص والتشخيص. لفتحه لديك اختصاران مفيدان للغاية: استخدم ابدأ واكتب الإعدادات للدخول إلى الإعدادات > الشبكة والإنترنت، أو انقر بزر الماوس الأيمن فوق رمز الشبكة أو Wi-Fi في شريط المهام واختر إعدادات الشبكة والإنترنت.

من هذه اللوحة، سترى حالة الاتصال في الأعلى، مع إمكانية الوصول إلى الوظائف المستخدمة بشكل متكرر مثل Wi-Fi، أو Ethernet، أو VPN، أو استخدام البيانات، أو خصائص الشبكة. إنها الطريقة الأكثر مباشرة للتأكد من أن كل شيء مرتبط بشكل صحيح في لمحة واحدة.

كيفية رؤية عنوان IP الخاص بك في Windows

إذا كنت بحاجة إلى تحديد عنوان IP الخاص بك على الشبكة المحلية، فإن Windows يجعل الأمر سهلاً من خلال خصائص الواجهة. اتبع هذا المسار للعثور على عنوان IPv4 المستخدم.

1. افتح الشبكة والإنترنت واختر الواجهة المناسبة: واي فاي للشبكات اللاسلكية (حدد الشبكة التي تتصل بها) أو إيثرنت للكابل.
2. في الخصائص، ابحث عن سطر عنوان IPv4 لرؤية عنوان IP المعين. مع هذا IP سوف تكون قادرًا على تشخيص أو تكوين الوصول الداخلي.

التحكم في الاستخدام: تعيين حد البيانات

إذا كنت تستخدم خطة بيانات محدودة (الربط أو 4G/5G أو الاتصالات المحدودة)، فيمكن لنظام التشغيل Windows تحذيرك عند اقترابك من الحد الأقصى وحتى عند تجاوزه. وضع حد يساعد على تجنب المفاجآت وتحسين حركة المرور.

1. أدخل في إعدادات الشبكة والإنترنت.
2. اختر استخدام البيانات في حالة الشبكة النشطة.
3. حدد إدخال الحد، ثم حدد نوع الحد، وأكمل الحقول ثم احفظ. من هناك سوف تتلقى إشعارات تلقائية.

وضع الطيران: متى وكيف يتم تفعيله

يؤدي وضع الطيران إلى تعطيل شبكة Wi-Fi والشبكة المحمولة والبلوتوث وNFC مرة واحدة. انه مفيد للحفاظ على البطارية أو تلبية المتطلبات في بيئات محددة.

• انقر فوق الشبكة أو مستوى الصوت أو البطارية في شريط المهام و تفعيل وضع الطيران.
• أو انتقل إلى الشبكة والإنترنت > وضع الطائرة واستخدم المفتاح. مع لمسة يمكنك إيقاف تشغيل الراديو بأكمله أو تشغيله.

شبكة عامة أو خاصة: اختر الملف الشخصي المناسب

عند الاتصال لأول مرة، يقوم Windows 11 بتعيين الشبكة كشبكة عامة بشكل افتراضي. يقلل هذا الملف الشخصي من التعرض وهو الموصى به ما لم تكن تنوي مشاركة الموارد في بيئة موثوقة.

• شبكة عامةيظل الجهاز مخفيًا عن الأجهزة الأخرى؛ ولا يهدف إلى مشاركة الملفات أو الطابعات.
• شبكة خاصةالجهاز قابل للاكتشاف ويسمح بالمشاركة. استخدمه فقط إذا كنت تثق بالمستخدمين والأجهزة في هذا القطاع.

لتغيير الملف الشخصي، انتقل إلى إعدادات الشبكة والإنترنت، واختر Wi-Fi وحدد الشبكة الحالية (أو Ethernet إذا كنت تستخدم كابل)، وتحت نوع الملف الشخصي، حدد عام أو خاص. يشير الملف الشخصي إلى مستوى التعرض وسلوك جدار الحماية.

إعدادات TCP/IP وDNS في Windows

يحدد بروتوكول TCP/IP كيفية تواصل أجهزة الكمبيوتر مع بعضها البعض ومع الإنترنت. الأكثر راحة وقوة يتم ذلك عادةً باستخدام DHCP حتى يقوم جهاز التوجيه بتعيين IP وDNS تلقائيًا، ولكن يمكنك أيضًا تكوين كل شيء يدويًا.

1. في الشبكة والإنترنت، بالنسبة لشبكات Wi-Fi، أدخل Wi-Fi > إدارة الشبكات المعروفة واختر الشبكة؛ بالنسبة لـ Ethernet، حدد الاتصال النشط.
2. En تعيين عنوان IPاضغط على تحرير.
3. اختر تلقائي (DHCP) أو يدوي. AUTOMATICO دع جهاز التوجيه يتولى إدارة IP وDNS؛ باستخدام Manual، يمكنك تحديد IP والقناع والبوابة وخوادم DNS.

إذا كنت تريد حماية استعلامات DNS، فإن Windows يدعم DNS عبر HTTPS. لديك ثلاثة أوضاع متاحة: إيقاف (نص عادي)، تشغيل مع قالب تلقائي (يكتشف التكوين)، أو تشغيل مع قالب يدوي (يمكنك تحديد قالب DoH). يمكنك تفعيل أو تعطيل خيار الرجوع إلى النص العادي: في حال تفعيله، سيتم إجراء الاستعلام غير المشفر فقط إذا كان HTTPS غير ممكن؛ وفي حال تعطيله، لن يتم إجراء أي استعلام في حال فشل التشفير.

تحسين محول الشبكة في Windows Server

يمكن أن يؤدي ضبط NIC المناسب إلى إحداث فرق في أحمال الخادم: مزيد من الأداء، ووقت استجابة أقل، واستخدام أفضل لوحدة المعالجة المركزية. التكوين الأمثل يعتمد ذلك على المحول والحمل والأجهزة والأهداف.

تمكين عمليات تفريغ الشبكة مثل TCP وLSO وRSS checksums. هذه الميزات تخفف العبء عن العمل إلى البطاقة وتخفيف العبء عن وحدة المعالجة المركزية، على الرغم من أن بعض التنزيلات على المحولات ذات الموارد المحدودة قد تحد من الذروة المستدامة؛ إذا كان هذا الحد مقبولاً، فمن المستحسن تمكينها على أي حال.

يقوم RSS بتوزيع حركة المرور الواردة عبر معالجات منطقية متعددة، وهو أمر أساسي عندما يكون عدد بطاقات الشبكة أقل من وحدات المعالجة المركزية. التحقق من موجز RSS (NUMAStatic افتراضيًا) ويزيد عدد قوائم الانتظار إذا كان المحول يسمح له بتحسين التوازي.

إذا كان المتحكم يسمح بضبط الموارد، قم بزيادة مخازن الاستقبال والإرسال. القيم المنخفضة في RX فإنها تسبب فقدان الحزمة وانخفاض الأداء، وخاصة في تدفقات الاستقبال العالية.

فيما يتعلق بتعديل المقاطعات، ابحث عن التوازن. انقطاعات أقل توفير استهلاك وحدة المعالجة المركزية على حساب زمن الوصول؛ فزيادة عدد المقاطعات تُقلل زمن الوصول لكنها تستهلك طاقة وحدة المعالجة المركزية. إذا كان دمج المخزن المؤقت متاحًا، فإن زيادة عدد المقاطعات يُساعد في حال عدم توفر تعديل المقاطعة الأصلي.

الشبكات الحساسة للميكروثانية: تقليل زمن الوصول

بالنسبة للبيئات التي تقيس زمن الوصول بالمايكروثانية، فمن المستحسن ضبط النظام الأساسي. حيل فعالة: قم بتعيين BIOS على الأداء العالي وتعطيل حالات C (أو السماح لنظام التشغيل بإدارة الطاقة)، ​​وتعيين خطة طاقة النظام على الأداء العالي (أمر powercfg إذا كان ذلك مناسبًا)، وتمكين عمليات التفريغ الثابتة (UDP/TCP Checksums وLSO)، وتمكين RSS في التدفقات متعددة الخيوط وتعطيل تعديل المقاطعة إذا كان انخفاض زمن الوصول هو الأهم (على حساب وحدة المعالجة المركزية).

إدارة مقاطعة NIC وتقارب DPC بحيث يتشاركان ذاكرة التخزين المؤقت مع مؤشر ترابط المستخدم الذي يعالج الحزم. استخدم نفس النواة بالنسبة لـ ISR وDPC والتطبيق، يمكن تشبعه؛ وتوزيعه بذكاء باستخدام RSS والتقارب.

كن على دراية بانقطاعات إدارة النظام (SMIs). إنهم من أهم الأولويات وقد تُسبب طفرات تتجاوز 100 ميكروثانية. إذا كان زمن الوصول حرجًا، فاطلب من البائع نظام BIOS منخفض زمن الوصول أو نظامًا ذا واجهة SMI مُصغّرة؛ فلن يتمكن نظام التشغيل من التعامل معها.

الضبط التلقائي لنافذة الاستقبال TCP

يقوم Windows بالتفاوض بشكل ديناميكي على حجم نافذة الاستلام لكل اتصال لتحقيق أقصى قدر من الأداء. لقد كان ثابتا (65.535 بايت) ومعدل إنتاج محدود؛ مع التعديل الذاتي، تتكيف المكدس مع زمن الوصول وعرض النطاق الترددي.

للتوضيح، معدل الإنتاج لكل اتصال هو TCP Window بالبايتات مضروبًا في 1 مقسومًا على زمن الوصول. مثال كلاسيكيبمعدل 1 جيجابت في الثانية مع زمن انتقال 10 مللي ثانية، ستعطي النافذة الثابتة حوالي 51 ميجابت في الثانية؛ ومع الضبط التلقائي ذي الحجم المناسب، يمكن تحقيق خط بسرعة 1 جيجابت في الثانية.

إذا لم يحدد التطبيق نافذة، يقوم Windows بالتخصيص حسب السرعة: أقل من 1 ميجابت في الثانية يستخدم 8 كيلوبايت، بين 1 و100 ميجابت في الثانية يستخدم 17 كيلوبايت، من 100 ميجابت في الثانية إلى 10 جيجابت في الثانية يستخدم 64 كيلوبايت، و10 جيجابت في الثانية أو أكثر يستخدم 128 كيلوبايت. هكذا يتم استخدامه الرابط دون لمس التطبيق.

المستويات المتاحة: عادي (عامل 0x8)، معطل (بدون مقياس)، مقيد (0x4)، مقيد للغاية (0x2) وتجريبي (0xE). التقاط الحزم سيتم عرض WindowsScaleFactor مع ShiftCount 8، أو none، أو 4، أو 2، أو 14 على التوالي، مع الحفاظ عادةً على نافذة متفاوض عليها تبلغ 64 كيلو بايت على SYN وفقًا لمعدل بت NIC.

يمكنك التحقق من المستوى أو تغييره باستخدام PowerShell أو netsh. ضبط المستوى بالنسبة للسيناريو الخاص بك: عادةً ما يناسب الوضع الطبيعي جميع الحالات تقريبًا، بينما يناسب الوضع التجريبي البيئات القاسية.

منصة التصفية والمعلمات القديمة

تتيح منصة التصفية في Windows لبرامج الطرف الثالث فحص وتصفية حركة المرور في المكدس. إنه مفتاح السلامةومع ذلك، فإن المرشحات التي تم تنفيذها بشكل سيئ تؤدي إلى تدهور أداء الخادم؛ لذا قم بالتحقق من صحتها وتحسينها.

لم تعد القيم القديمة لنظام التشغيل Windows Server 2003 مثل TcpWindowSize، وNumTcbTablePartitions، وMaxHashTableSize مستخدمة. في الإصدارات الحديثة سيتم تجاهلها حتى لو ظهرت في HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters.

صيانة الشبكة: التعريف والمزايا والتحديات

تتضمن صيانة الشبكة التحقق والتأكد من أن أجهزة الشبكة والبرامج والتكوين والأداء والأمان في حالة جيدة، وتحديد الأخطاء أو المخاطر وحلها. إنها عملية مستمرة الذي يمنع الانقطاعات ويعزز الحماية ويضمن استمرارية الأعمال.

فوائد واضحة: تحسين الاتصال والتعاون، وحماية أكبر ضد الخروقات، وتوفير المال من خلال مشاركة الموارد وتقليل وقت التوقف، والتنقل باستخدام الأجهزة اللاسلكية، وتجربة مستخدم أفضل بسبب انخفاض زمن الوصول وزيادة التوافر. كل ذلك يضيف من أجل عمليات أكثر كفاءة.

التحديات الشائعة: التوافق بعد الترقيات، والنمو وقابلية التوسع، وفرق الصيانة غير المعتمدة، والخطأ البشري، وإدارة الأجهزة القديمة غير المدعومة. التخطيط والتدريب من الضروري التخفيف منها.

تقوم الشبكة بربط الأجهزة لمشاركة البيانات والموارد باستخدام بروتوكولات عبر الوسائط السلكية أو اللاسلكية. البيانات تأتي في حزم.تعمل المفاتيح على إدارة حركة المرور داخل الشبكة وأجهزة التوجيه بين الشبكات، والبحث عن طرق فعالة.

أكثر أنواع الشبكات شيوعًا حسب النطاق: LAN (المكتب أو المبنى)، وPAN (الأجهزة القريبة)، وMAN (المنطقة الحضرية)، وWAN (منطقة كبيرة، وحتى البلدان). كل نوع وهذا ينطوي على متطلبات ومخاطر مختلفة.

الفوائد الرئيسية للصيانة المنفذة بشكل جيد

بالإضافة إلى الجوانب الفنية، فإن الصيانة المستمرة تؤثر على الاستمرارية والنتائج. توافر عالية بفضل المراجعات والوقاية، أصبح هناك عدد أقل من الحوادث، وأجهزة وبرامج مُحسّنة، وامتثال تنظيمي مُحسّن من خلال الضوابط والتدقيق.

خطة خطوة بخطوة للحفاظ على الشبكة

1) التحضير: يقوم بتقييم الهندسة المعمارية والحالة الحالية، ومراجعة المخططات والتغييرات الأخيرة، والتحقق من أن جميع الوثائق (الطوبولوجيات، التكوينات، بيانات البائعين) محدثة.

2) الأمنيقوم بمراجعة جدران الحماية وأنظمة منع الاختراق، ويُحدِّث برامج مكافحة الفيروسات والبرامج الضارة، ويُطبِّق التحديثات باستخدام نظام إدارة يُؤتمت العملية ويتحقق منها. كما يبحث عن الثغرات الأمنية وأخطاء التكوين.

3) الأجهزة والبرامجيقوم بمراقبة صحة الخوادم وأجهزة التوجيه (الذاكرة، وحدة المعالجة المركزية، القرص، الأخطاء)، ويتحقق من صحة التكوين الصحيح للمفاتيح ونقاط الوصول للتشغيل الأمثل.

4) الأداءويقوم بتحليل أنماط النطاق الترددي وحركة المرور للكشف عن الاختناقات ومراقبة زمن الوصول ضمن الحدود المقبولة، وتعديله عند الضرورة.

5) النسخ الاحتياطي والاستردادالتحقق من اكتمال النسخ الاحتياطية وتحديثها، ومراجعة خطة التعافي من الكوارث، وتكييفها مع الأنظمة أو التغييرات الجديدة، واستشارة أحد الخبراء. دليل لإصلاح النظام الخاص بك بعد الإصابة بالفيروس.

6) التوثيق: يقوم بتحديث المستندات بكل التغييرات التي تم إجراؤها (التكوينات، التصحيحات) ويسجل الحوادث مع سببها وحلها والدروس المستفادة منها.

دعم الطرف الثالث: الخدمات النموذجية

إن الاستعانة بمزود صيانة تابع لجهة خارجية (TPM) متخصص قد يعمل على تعزيز استراتيجية الأجهزة والتوافر لديك. خدماتها إنها تغطي عادة الإصلاح التصحيحي، والدعم على مدار الساعة طوال أيام الأسبوع، والتغطية العالمية، وقطع الغيار المجددة عالية الجودة، والخبرة المتعددة العلامات التجارية.

خدمة	وصف
الصيانة التصحيحية	يقوم الفنيون المعتمدون بتشخيص وإصلاح الأعطال أو المكونات المعرضة للخطر.
سوبورت 24/7	المساعدة عن بعد وفي الموقع في أي وقت لتقليل وقت التوقف.
الوصول العالمي	التواجد في العديد من البلدان لتقديم الخدمة أينما توجد شركتك.
قطع غيار عالية الجودة (SpaaS)	أجزاء مجددة تعمل على خفض التكاليف وتعزيز الاقتصاد الدائري.
تجربة متعددة العلامات التجارية	دعم لمختلف الشركات المصنعة والنماذج، حتى تلك غير المدرجة في الكتالوج.

الكشف والاستجابة: من EDR إلى XDR

إن الوقاية الكاملة غير ممكنة، والاستجابة أمر بالغ الأهمية. يوفر EDR الرؤية والاستجابة لنقطة النهاية، ولكنها عادةً ما تستبعد أجهزة الشبكة، والتخزين، والطابعات، وأجهزة BYOD، والسحابة أو إنترنت الأشياء، ولا ترى متجهات مثل البريد الإلكتروني في طبقة نظام التشغيل.

ولسد هذه الفجوات، ظهرت حلول خاصة بالمجال، وبطريقة متكاملة، يهدف XDR إلى توحيد الكشف والاستجابة عبر نقاط النهاية والشبكة والسحابة. المفهوم لا يزال في مرحلة النضجهناك نقاش حول استيعاب السجلات، وذكاء التهديدات، والتحليلات، والأتمتة.

يتطلب اعتماد XDR استراتيجية طويلة الأمد، واختيار مقدمي الخدمة المناسبين، والبدء بالمزود الأكثر رسوخًا (عادةً EDR) قبل توسيع التغطية إلى الشبكة والسحابة. التعلم الالي فهو يكمل بالفعل عملية الكشف بدون توقيع ويمكنه تسريع التحقيقات.

تصميم مرجعي: البنية التحتية الآمنة لنظام Windows للمؤسسات

تخيل أنك بحاجة إلى نظام بريد، وموقع ويب عام، وتخزين ملفات المستخدم، وقواعد بيانات الإنتاج والاختبار (غير متاحة للإنترنت) وتطبيقين (خادم العميل والويب) مع بيئات الإنتاج والاختبار. تصميم مقسم إلى مناطق التكرار والتجزئة هما الأساس.

• المناطق والشبكاتالإنترنت، والمنطقة منزوعة السلاح (الخدمات المكشوفة)، وشبكة الإنتاج الداخلية، وشبكة الاختبار/المختبر الداخلية، وشبكة الإدارة، وشبكة النسخ الاحتياطي. قسّم الشبكة إلى شبكات محلية افتراضية (VLAN)، وطبّق قوائم التحكم في الوصول (ACL) بين القطاعات، واحمِ التدفقات باستخدام جدار حماية محيطي وجدار حماية داخلي، بالإضافة إلى جدار حماية تطبيقات الويب (WAF) أمام تطبيقات الويب العامة.
• الهوية والأسسوحدتا تحكم بالمجال (AD DS) لكل موقع، مع نظام DNS مدمج وDHCP احتياطي (أو حجوزات في النواة). يُزامن الوقت ويُطبّق سياسات المجموعة لتعزيز الأمان. الهوية إنها الطبقة التي تدعم الباقي.
• بريد:2 خادم صندوق بريد (Exchange) في DAG على الشبكة الداخلية و1-2 Edge Transport في DMZ للترحيل الآمن، أو خدمة سحابية ذات موصلات آمنة. تصفية البريد العشوائي والبرامج الضارة على المحيط وتطبق TLS للنقل.
• الموقع العام:2 خادم IIS في DMZ خلف موازن التحميل وWAF، مع TLS 1.2 أو أعلى وتشفير قوي. لا يوجد وصول مباشر إلى قواعد البيانات الداخلية؛ يجب أن تكون جميع المنطق المكشوفة بدون جنسية ويتم نشرها عبر CI/CD.
• ملف التخزين:2 خادم ملفات مجمع (SOFS/DFS-R) مع حصص وإزالة التكرارات ونسخ الشبكة الاحتياطية. أذونات التحكم مع قوائم التحكم في الوصول ووضع علامات على البيانات الحساسة.
• قواعد البياناتالإنتاج باستخدام عقدتين SQL Server في Always On AG والاختبار على 1-2 مثيلات منفصلة ومعزولة في VLAN للمختبر. لا يوجد روابط من الإنترنت أو المنطقة منزوعة السلاح إلى قواعد البيانات هذه.
• التطبيقات الداخلية:2 خادم لتطبيق الويب الداخلي و2 لتطبيق العميل-الخادم (مجموعات لكل منتج ولكل اختبار)، وكلها متصلة بقواعد البيانات الخاصة بها عبر VLAN والمنافذ المقيدة. يقيد تقليل حركة المرور إلى الحد الأدنى (الميناء والأصل/الوجهة).
• الإدارة والأمن:2 خوادم AAA/RADIUS (NPS) للمسؤولين وWi-Fi، وSIEM للسجلات، وIDS/IPS، وWSUS ومنصة المراقبة. النسخ الاحتياطي على شبكة منفصلة مع اختبار الاحتفاظ والاستعادة الدورية.
• ضوابط إضافيةشبكة VPN مع مصادقة متعددة العوامل للإدارة عن بعد، وخوادم القفز، وتعزيز الخدمة، وتجزئة الشرق والغرب مع التجزئة الدقيقة عند الاقتضاء. الهدف يتعلق الأمر بالحد من الحركة الجانبية واحتواء الحوادث.

أفضل ممارسات أمن البنية التحتية (نموذج الثقة الصفرية)

تضيف الهندسة المعمارية الآمنة طبقات محيطية وداخلية مع تقسيم حسب الوظيفة. صفر الثقة يفترض أنه لا يوجد طلب جدير بالثقة منذ البداية ويتطلب التحقق من كل وصول باستخدام سياسات متسقة.

السلامة والتكوين: يتحقق من تجزئة نظام التشغيل والبرامج الثابتة قبل التحديث وبعده. مثال: verify /sha512 <PATH:filename>تنفيذ التحكم في التغيير، والمقارنة بالنسخ الأخيرة، وإزالة الملفات غير الضرورية أو الإصدارات القديمة باستخدام delete <PATH:filename>. يضمن الاستمرارية من التغييرات مع copy running-config startup-config على معدات الشبكة.

التحديثاتالحفاظ على إصدارات مستقرة ومدعومة من البرامج والبرامج الثابتة، والتخطيط لترقيات الأجهزة عند انتهاء دعم الشركة المصنعة. بدون تصحيحات كما هو معروف، فإن المخاطر ترتفع بشكل كبير.

AAA مركزيةقم بتكوين خادمين AAA لضمان توفر عالٍ واستخدام مفاتيح مشتركة مسبقًا. مثال: aaa group server radius <GROUP_NAME> + server-private <IP_ADDRESS_1> key <KEY_1> y server-private <IP_ADDRESS_2> key <KEY_2>. تمركز فهو يبسط العملية ويوفر إمكانية التتبع.

الحسابات وكلمات المرور: يزيل الحسابات الافتراضية والمشتركة، وينشئ مستخدمين فريدين، ويستخدم التجزئة الآمنة للتخزين، على سبيل المثال username <NAME> algorithm-type sha256 secret <PASSWORD>. كلمات مرور قوية أكثر من 15 حرفًا بأحرف كبيرة وصغيرة وأرقام ورموز، فريدة لكل جهاز ودور، وتتغير عندما تكون هناك مؤشرات على الاختراق.

الإدارة عن بعد الآمنة: يعطل Telnet و HTTP، وينقل SNMP إلى v3 (مثال: no snmp-server community y no snmp-server host), قوة SSH v2 (ip ssh version 2) و HTTPS (ip http secure-server). مفاتيح قوية مع crypto key generate rsa modulus 3072 ومجموعات التشفير المعتمدة.

تقييد الوصول إلى الخدمات: يحد من الأصول باستخدام قوائم التحكم في الوصول، على سبيل المثال access-list 10 permit 192.168.1.0 0.0.0.255 وتطبيقه على خطوط VTY مع access-class 10 in. تقليل مساحة السطح إلى الضروريات.

الجلسات وعدم النشاط: تكوين مهلة زمنية (ip ssh time-out 300 y exec-timeout 5 0) وتمكين خاصية الحفاظ على الاتصال عبر TCP (service tcp-keepalives-in y service tcp-keepalives-out). تجنب الجلسات اليتيمة والاختطافات.

سلسلة الكتل: يمنع الاتصالات الصادرة من الجلسات الإدارية مع transport output none على خطوط VTY. يقيد الحركات من فرق الإدارة.

المسارات والواجهات: تعطيل توجيه المصدر (no ip source-route), ينشط uRPF (ip verify unicast source reachable-via rx) ويصادق على التوجيه: OSPF مع area 0 authentication message-digest و BGP مع neighbor <IP_ADDRESS> password <PASSWORD>. تجنب الطرق الخاطئة والتقليد.

الطبقة الآمنة 2: تعطيل التوصيل الديناميكي عن طريق التكوين switchport mode access y switchport nonegotiate عندما لا تكون هناك حاجة لصندوق بريد. تطبيق إجراءات أمن المنافذ (switchport port-security, maximum 2, violation shutdown), يقوم بإيقاف تشغيل المنافذ غير المستخدمة (interface range ... + shutdown) وتعطيل CDP عندما لا تكون هناك حاجة إليه (no cdp enable). التحكم في من يدخل لكل منفذ.

لافتات إعلانيةأضف الإشعارات القانونية قبل تسجيل الدخول باستخدام banner login ورسائل MOTD، على سبيل المثال: banner login # Acceso solo a usuarios autorizados. Actividad monitorizada. #. احفظ التغييرات مع write memory والتحقق من الامتثال القانوني مع فريقك القانوني.

المراقبة والتدقيقيسجل عمليات الوصول (الناجحة والفاشلة) ويراجع السجلات بشكل دوري بحثًا عن الأنماط الشاذة. نظام إدارة معلومات الأحداث (SIEM) سيساعدك على ربط الأحداث في الوقت الحقيقي.

مسرد سريع

AAAالمصادقة والتفويض والمحاسبة للتحكم في من يمكنه الوصول، وما يمكنه فعله، وما يتم تسجيله.

صفر الثقة: نموذج يتحقق من كل وصول، على افتراض أنه قد تكون هناك تهديدات داخل الشبكة وخارجها.

uRPF:التحقق من إمكانية الوصول إلى مسار المصدر، وهو أمر مفيد ضد انتحال عنوان IP. تصفية حركة المرور غير شرعي على الحافة.

بفضل الجمع المتوازن بين ضبط Windows وتحسين المحول وضوابط الأمان المتعددة الطبقات والتجزئة الذكية وتصميم خدمات Windows المكررة وبرنامج الصيانة المنضبط، تظل البنية التحتية لشبكتك مستقرة وسريعة وآمنة، مستعدة للتوسع والاستجابة للحوادث دون فقدان الزخم.