網絡文檔準确描述網絡的當前狀态非常重要。這通常包括網絡設備，如防火牆、數據二極管、入侵檢測和防禦系統、路由器、交換機以及關鍵服務器和服務。此外，由于該文檔可能被對手用來協助破壞網絡，因此必須對其進行适當的保護。

網絡文檔包括一個高級網絡圖，顯示進入網絡的所有連接;顯示所有網絡設備、關鍵服務器和服務的邏輯網絡圖;和所有網絡設備的配置一樣。

網絡文檔在進行網絡配置更改時會更新，并包括"截至 [日期] 的當前狀态"或等效語句。

提供給第三方或在公開招标文件中發布的網絡文件僅包含其他方進行合同服務所需的詳細信息。

網絡分段和隔離是最有效的安全控制措施之一，可防止攻擊者在獲得初始訪問權限後通過網絡傳播并訪問目标數據。強制實施網絡分段和隔離的技術還包含日志記錄功能，這些功能對于檢測入侵以及在發生危害時将受感染的設備與網絡的其餘部分隔離起來非常有價值。

網絡分段和隔離涉及将網絡分隔為多個功能網絡區域，以保護重要數據和關鍵服務。例如，一個網絡區域可能包含用戶工作站，而另一個網絡區域包含身份驗證服務器。網絡分段和隔離還有助于創建和維護網絡訪問控制列表。

網絡根據數據或服務的敏感性或關鍵性分為多個功能網絡區域。

組織網絡與服務提供商進行網絡隔離。

虛拟局域網 （VLAN） 可用于實現網絡分段和隔離，隻要這些網絡屬于同一安全域即可。在這種情況下，如果發生數據洩漏，其影響将小于在兩個不同分類的網絡之間或組織的網絡和公共網絡基礎設施之間發生數據洩漏的影響。如果組織選擇在屬于不同安全域的網絡之間（例如在同一分類下）進行風險管理，則将應用與不使用 VLAN 中繼和在網絡設備的單獨物理網絡接口上終止 VLAN 相關的其他安全控制。

出于本節的目的，多協議标簽切換被視為等效于 VLAN，并受相同控件的約束。

VLAN 不用于分隔組織網絡和公共網絡基礎結構之間的網絡流量。

VLAN 不用于分隔屬于不同安全域的網絡之間的網絡流量。

管理 VLAN 的網絡設備會在單獨的物理網絡接口上終止屬于不同安全域的 VLAN。

管理屬于不同安全域的 VLAN 的網絡設備不共享 VLAN 中繼。

管理 VLAN 的網絡設備是從最受信任的安全域進行管理的。

互聯網協議版本 6 （IPv6） 功能可能會給網絡帶來額外的安全風險。因此，使用基于 Internet 協議版本 4 （IPv4） 的網絡的組織應禁用 IPv6 功能，直到該功能旨在用于幫助最大限度地減少網絡的攻擊面，并确保任何不打算使用的 IPv6 功能都不會被利用。

為了幫助從IPv4過渡到IPv6，已經開發了許多隧道協議，旨在允許協議之間的互操作性。在未明确要求此類功能的網絡設備和 ICT 設備上禁用 IPv6 隧道協議，将防止對手通過将 IPv6 數據封裝在 IPv4 數據包中來繞過傳統的網絡防禦。

無狀态地址自動配置 （SLAAC） 是 IPv6 網絡中無狀态互聯網協議 （IP） 地址配置的一種方法。SLAAC 降低了組織在網絡上維護 IP 地址分配的有效日志的能力。因此，應避免無狀态 IP 尋址。

除非正在使用 IPv6 功能，否則在雙棧網絡設備和 ICT 設備中禁用 IPv6 功能。

支持 IPv6 的網絡安全設備用于 IPv6 和雙棧網絡。

除非明确要求，否則将在所有網絡設備和 ICT 設備上禁用 IPv6 隧道。

IPv6 隧道被外部連接的網絡邊界處的網絡安全設備阻止。

動态分配的 IPv6 地址以有狀态方式使用動态主機配置協議版本 6 進行配置，租約數據存儲在集中式日志記錄工具中。

如果攻擊者連接到網絡的機會有限，則他們破壞該網絡的機會有限。網絡訪問控制不僅可以防止未經授權訪問網絡，還可以防止用戶不小心将網絡連接到另一個網絡。

網絡訪問控制在為需要知道或限制網段之間的數據流的特定用戶隔離數據時也很有用。例如，可以允許工作站和用于管理目的的系統之間的計算機管理流量，但不允許在标準用戶工作站之間傳輸計算機管理流量。

在網絡上實施網絡訪問控制，以防止連接未經授權的網絡設備。

實施網絡訪問控制是為了将網段内和網段之間的流量限制為實現業務目的所需的流量。

維護并定期審核授權網絡設備的登記冊有助于确定網絡上或直接連接到工作站的設備（如交換機、路由器、無線接入點和互聯網加密狗）是否為惡意設備。使用自動發現和映射工具可以幫助完成此過程。

維護網絡設備寄存器并定期審核。

網絡設備可以使用默認憑據預先配置。例如，具有名為"admin"的管理員帳戶和"admin"或"密碼"密碼的無線訪問點。确保禁用、重命名或更改其密碼短語有助于降低攻擊者利用默認帳戶的可能性。

網絡設備的默認賬戶将被禁用、重命名或更改其密碼。

禁用網絡設備（如交換機、路由器和無線接入點）上未使用的物理端口可減少攻擊者連接到網絡的機會（如果他們可以獲得對網絡設備的物理訪問權限）。

網絡設備上未使用的物理端口将被禁用。

在服務器之間實現功能分離可以降低被對手破壞的服務器對其他服務器構成安全風險的安全風險。

服務器與其他服務器保持有效的功能分離，允許它們獨立運行。

服務器在網絡和文件系統級别最大限度地減少與其他服務器的通信。

實施專門針對管理流量的安全措施可在攻擊者找到連接到該網絡的機會時在網絡上提供另一層防禦。這也使得攻擊者更難枚舉網絡。

實施安全措施以防止未經授權訪問網絡管理流量。

簡單網絡管理協議 （SNMP） 可用于監視交換機、路由器和無線接入點等網絡設備的狀态。SNMP 的前兩次叠代本質上是不安全的，因為它們使用了簡單的身份驗證方法。此外，強烈建議更改網絡設備上的所有默認 SNMP 社區字符串，并将訪問限制為隻讀訪問。

SNMP 版本 1 和 2 不在網絡上使用。

網絡設備上的所有默認 SNMP 團體字符串都将更改并禁用寫入訪問權限。

基于網絡的入侵檢測系統 （NIDS） 或基于網絡的入侵防禦系統 （NIPS） 如果配置正确并得到适當進程和資源的支持，則可以成為識别和響應已知入侵配置文件的有效方法。

此外，為違反防火牆規則集中任何規則的數據流生成警報可以幫助安全人員響應由于防火牆故障或配置更改而進入網絡的可疑或惡意流量。

NIDS 或 NIPS 部署在組織網絡與其不管理的其他網絡之間的所有網關中。

網關中的 NIDS 或NIPS位于最外層的防火牆内，并配置為為違反防火牆規則集中任何規則的任何數據流生成日志條目和警報。

在非互聯網網關中部署NIDS或NIPS時，它們被配置為監控異常的行為模式或流量，而不是基于互聯網的通信協議簽名。

從匿名網絡（如Tor，Tor2web和I2P）到組織面向互聯網的服務的入站網絡連接可以被對手用于偵察和惡意軟件交付目的，同時将檢測和歸因風險降至最低。因此，應阻止此流量，前提是它不會對合法用戶的可訪問性産生重大影響。例如，某些組織可能會選擇支持與其網站的匿名連接，以滿足出于隐私原因希望保持匿名的個人的需求。在這種情況下，建議記錄和監控來自匿名網絡的流量。此外，惡意軟件可能會将與匿名網絡的出站網絡連接用于命令和控制或數據洩露，并且應該阻止它們，因為它們很少具有合法的業務用途。

從匿名網絡到面向 Internet 的服務的入站網絡連接将被阻止。

與匿名網絡的出站網絡連接被阻止。

已通過 Wi-Fi 聯盟認證計劃認證的無線設備可為組織提供符合無線标準的保證。部署保證可與其他無線設備互操作的無線設備将防止無線網絡出現問題。

所有無線設備均通過 Wi-Fi 聯盟認證。

當組織為公衆提供無線網絡時，将此類無線網絡連接到任何其他網絡或與之共享基礎設施，為攻擊者創建一個額外的入口點，以針對連接的網絡來竊取數據或中斷服務。

提供給公衆訪問的無線網絡與所有其他網絡隔離。

管理界面允許用戶修改無線接入點的配置和安全設置。默認情況下，無線接入點通常允許用戶通過固定網絡連接、無線網絡連接和串行連接等方法訪問管理界面。禁用無線接入點上無線網絡連接的管理界面将有助于防止未經授權的連接。

無線接入點上的管理界面對于無線網絡連接處于禁用狀态。

某些無線訪問點和無線設備附帶默認的服務集标識符 （SSID） 和/或弱默認配置設置。由于無線訪問點的默認 SSID 通常記錄在 Internet 論壇中，以及默認帳戶和密碼短語中，因此更改無線訪問點的默認 SSID 以及所有無線設備的默認密碼和弱配置設置非常重要。

更改默認 SSID 時，重要的是新的 SSID 不會對組織的無線網絡造成過度關注。在這樣做時，無線網絡的SSID不應輕易與組織，其場所的位置或無線網絡的功能相關聯。

通常建議降低無線網絡配置文件的一種方法是禁用 SSID 廣播。雖然這确保了無線網絡的存在不會使用信标幀公開廣播，但SSID仍然在探測請求，探測響應，關聯請求和重新關聯請求中廣播。因此，通過捕獲這些請求和響應，很容易确定無線網絡的 SSID。通過禁用SSID廣播，組織将使用戶更難以連接到無線網絡。此外，攻擊者可以配置惡意無線訪問點，以廣播與合法無線網絡使用的隐藏SSID相同的SSID，從而欺騙用戶或設備自動連接到對手的惡意無線訪問點。在此過程中，攻擊者可以竊取身份驗證憑據，以便訪問合法的無線網絡。出于這些原因，建議組織啟用 SSID 廣播。

更改了無線訪問點的默認 SSID。

非公共無線網絡的 SSID 不容易與組織、其場所的位置或無線網絡的功能相關聯。

在無線網絡上啟用 SSID 廣播。

更改無線設備的默認帳戶和密碼。

無線設備的配置設置已強化。

為訪問無線網絡的設備分配靜态 IP 地址可以防止在連接到無線網絡時為惡意設備分配可路由的 IP 地址。但是，某些對手将能夠确定合法用戶的 IP 地址，并使用此信息來猜測或欺騙無線網絡的有效 IP 地址範圍。将設備配置為使用靜态 IP 地址會帶來管理開銷，而不會帶來任何明顯的安全優勢。

靜态尋址不用于在無線網絡上分配IP地址。

連接到無線網絡的設備通常具有唯一的媒體訪問控制 （MAC） 地址。因此，可以在無線訪問點上使用 MAC 地址篩選來限制哪些設備可以連接到無線網絡。雖然此方法會帶來管理開銷，但它可以防止惡意設備連接到無線網絡。但是，某些對手将能夠确定已在無線網絡上的合法用戶的有效 MAC 地址。然後，攻擊者可以使用此信息來欺騙有效的 MAC 地址并訪問無線網絡。MAC 地址篩選會帶來管理開銷，但沒有任何明顯的安全優勢。

MAC 地址篩選不用于限制哪些設備可以連接到無線網絡。

由于無線網絡通常能夠從安全空間外圍訪問，因此所有無線網絡流量都需要适當的加密保護。為此，建議使用 Wi-Fi 保護訪問 3 （WPA3），因為它提供與其前身 Wi-Fi 保護訪問 2 （WPA2） 相當或更高的安全性。WPA3還禁止使用各種過時和不安全的密碼套件。

WPA3-Enterprise 支持三種企業操作模式：僅企業模式、轉換模式和 192 位模式。首選 WPA3-Enterprise 192 位模式，因為此模式包含滿足商業國家安全算法套件要求的更改，并确保不使用具有已知弱點的算法。但是，如果使用任何其他 WPA3-企業模式，則應禁用身份驗證和密鑰管理套件 00-0F-AC：1（如果此選項可用）。

WPA3-Enterprise 192 位模式用于保護所有無線網絡流量的機密性和完整性。

WPA3-Enterprise 使用 802.1X 身份驗證，這需要使用可擴展身份驗證協議 （EAP）。WPA2 和 WPA3 都支持許多 EAP 方法。

可擴展身份驗證協議傳輸層安全性 （EAP-TLS） 被認為是最安全的 EAP 方法之一，并得到廣泛支持。它使用公鑰基礎結構通過使用 X.509 證書來保護設備與遠程訪問撥入用戶服務 （RADIUS） 服務器之間的通信。雖然 EAP-TLS 提供強大的相互身份驗證，但它要求組織已建立公鑰基礎結構。這涉及為訪問無線網絡的每個設備部署自己的證書頒發機構和頒發證書，或從商業證書頒發機構購買證書。雖然這會帶來額外的成本和管理開銷，但安全優勢非常顯著。

使用 EAP-TLS 的 802.1X 身份驗證，使用 X.509 證書，用于相互身份驗證;在請求和身份驗證服務器上禁用所有其他 EAP 方法。

如果可用于 EAP-TLS 實現，則使用用戶标識機密性。

802.1X 身份驗證的安全性取決于四個主要元素以及它們之間的交互方式。這四個元素包括請求方、身份驗證器、無線接入點和身份驗證服務器。為确保這些要素已正确實施，它們應已完成評估。

在無線網絡中使用已評估的請求方、身份驗證器、無線訪問點和身份驗證服務器。

向設備頒發證書以訪問無線網絡時，組織應注意該證書可能被惡意代碼竊取。一旦遭到入侵，該證書可以在其他設備上使用，以未經授權訪問其頒發的無線網絡。組織還應該意識到，在僅向設備頒發證書時，用戶執行的任何操作将僅歸因于設備，而不是特定用戶。

向用戶頒發證書以訪問無線網絡時，證書的形式可以是存儲在設備上的證書或存儲在智能卡中的證書。在智能卡上頒發證書可提高安全性，但成本更高。具體而言，用戶更有可能注意到缺少智能卡并提醒其安全團隊，然後安全團隊能夠吊銷 RADIUS 服務器上的憑據，從而最大限度地減少對手訪問無線網絡的時間。此外，為了降低被盜智能卡被用于未經授權訪問無線網絡的可能性，可以通過在智能卡上使用個人識别碼來實現多因素身份驗證。當智能卡授予用戶任何形式的管理訪問權限時，這一點尤其重要。

證書是使用評估的證書頒發機構解決方案或硬件安全模塊生成的。

訪問無線網絡的設備和用戶都需要 Certificate。

Certificate受加密、用戶身份驗證以及邏輯和物理訪問控制的保護。

使用 802.1X 身份驗證時，在成功對設備進行身份驗證後，将生成稱為成對主密鑰 （PMK） 的共享密鑰。然後，可以緩存此 PMK，以幫助在無線接入點之間快速漫遊。當設備從已通過身份驗證的無線訪問點漫遊時，如果設備在緩存的 PMK 保持有效的情況下漫遊回去，則無需執行完全重新身份驗證。為了進一步協助漫遊，可以将無線訪問點配置為将設備預先驗證到設備可能漫遊到的其他相鄰無線訪問點。盡管每次設備在無線接入點之間漫遊時都要求對其進行完全身份驗證是理想的，但如果組織有快速漫遊的業務需求，則可以選擇使用 PMK 緩存和預身份驗證。如果使用 PMK 緩存，則 PMK 緩存周期不應設置為大于 1440 分鐘（24 小時）。

PMK緩存周期未設置為大于1440分鐘（24 小時）。

WPA3 标準指定支持快速基本服務集轉換 （FT） （802.11r）。FT 是一項功能，旨在提高用戶移動性并消除因需要對每個無線接入點進行身份驗證而引入的滞後。但是，FT 要求身份驗證器請求密鑰并将其發送到安全域中的其他身份驗證器。如果截獲了這些密鑰中的任何一個，則所有安全屬性都将丢失。因此，必須适當保護通信。因此，FT 應禁用，除非可以确認身份驗證器與身份驗證器之間的通信由适當的 ASD 批準的加密協議保護，該協議提供機密性、完整性和相互身份驗證。

除非身份驗證器與身份驗證器之間的通信受 ASD 批準的加密協議保護，否則将禁用 FT （802.11r）的使用。

與 802.1X 身份驗證過程不同的是身份驗證器和 RADIUS 服務器之間發生的 RADIUS 身份驗證過程。RADIUS是所謂的身份驗證，授權和記帳協議，旨在調解網絡訪問。但是，RADIUS 不夠安全，無法在沒有保護的情況下使用。為了保護身份驗證器和 RADIUS 服務器之間通信的憑據，通信應使用附加加密層進行封裝，例如 RADIUS over Internet Protocol Security 或 RADIUS over Transport Layer Security。

身份驗證器和 RADIUS 服務器之間的通信使用 RADIUS over Internet Protocol Security或 RADIUS over Transport Layer Security 進行額外的加密層進行封裝。

如果多個無線網絡部署在近距離，則可能會發生幹擾，從而影響無線網絡的可用性，尤其是在常用的 802.11b/g （2.4 GHz） 默認信道 1 和 11 上運行時。通過使用頻率分離來充分分離無線網絡有助于降低這種安全風險。這可以通過使用配置為在最小化重疊頻率的信道上運行的無線網絡，或者通過同時使用802.11b/g（2.4 GHz）信道和802.11n（5 GHz）信道來實現。但需要注意的是，如果混合使用 2.4 GHz 和 5 GHz 信道，并非所有設備都與 802.11n 兼容并能夠連接到 5 GHz 信道。

無線網絡實現了與其他無線網絡的充分頻率分離。

通過使用廉價的商業硬件利用不受保護的管理框架，可以執行有效的拒絕服務。802.11 标準不為管理框架提供任何保護，因此不能防止欺騙或拒絕服務活動。但是，802.11w修正案專門針對無線網絡上管理幀的保護，應為WPA2啟用，在WPA3中，此功能内置于标準中。

無線接入點允許使用 802.11w 修正案來保護管理框架。

與其部署少量以高功率廣播的無線接入點，不如部署更多使用較少廣播功率的無線接入點，以實現所需的占用空間。這樣做的好處是在無線接入點無法使用時提供服務連續性。在這種情況下，可以增加附近無線接入點的輸出功率以覆蓋占用空間間隙，直到可以更換無法使用的無線接入點。

除了最大限度地減少無線接入點的輸出功率以減少無線網絡的占地面積外，還可以将射頻（RF）屏蔽用于組織的設施。雖然價格昂貴，但這會将無線通信限制在組織控制的區域。組織設施上的射頻屏蔽具有防止無線網絡從運行的設施外部幹擾無線網絡的額外好處。

不是部署少量以高功率廣播的無線接入點，而是部署更多使用較少廣播功率的無線接入點以實現所需的占用空間。

在組織控制區域之外的無線通信的有效範圍受到在使用秘密或最高機密無線網絡的設施上實施RF屏蔽的限制。

使用雲服務提供商可以允許組織構建高度彈性的在線服務，因為雲提供商增加了計算資源，帶寬和多個單獨的物理站點。組織可以使用自己的基礎架構實現相同的結果;但是，這可能需要大量的前期成本，并且仍可能導緻動态擴展以滿足不斷增長的需求的能力有限。在發生拒絕服務攻擊的情況下，基于雲的托管還可以提供與自托管或其他雲托管服務的隔離，以确保其他系統（如電子郵件服務）不受影響。

雲服務提供商用于托管在線服務。

使用雲服務提供商時，組織需要考慮是否應将其數據鎖定到特定區域或可用性區域。在這樣做的過程中，指定鎖定策略的組織将期望其數據不會被雲服務提供商重新定位到不同的區域或可用性區域。

雲服務提供商會通知組織有關在線服務的已配置區域或可用性區域的任何更改。

重要的是，組織與其雲服務提供商之間的連接必須滿足組織對帶寬、延遲和可靠性的要求。為了支持這一點，組織和雲服務提供商應讨論并記錄任何特定的網絡要求、性能特征或對可用性故障的計劃響應，尤其是在存在高可用性要求的情況下。這包括組織和雲服務提供商之間的網絡連接是否将使用專用通信鍊路或通過 Internet 進行連接，以及如果主通信鍊路不可用，任何輔助通信鍊路是否将提供足夠的容量來維持操作要求。

此外，應執行容量監視，以便管理工作負荷并監視聯機服務的運行狀況。這可以通過連續和實時監控延遲、抖動、數據包丢失、吞吐量和可用性等指标來實現。此外，當性能不符合服務級别協議目标時，應向雲服務提供商提供反饋。為此，可以通過集成到安全監視工具中的網絡遙測來執行異常檢測。

雲服務提供商由于真正的需求高峰或拒絕服務攻擊而動态擴展資源的能力作為在線服務容量規劃過程的一部分進行測試。

如果存在聯機服務的高可用性要求，則服務設計為在可用性區域之間自動轉換。

如果聯機服務存在高可用性要求，則使用拒絕服務緩解服務。

組織對在線服務的可用性進行持續的實時監控。

與基于雲的托管類似，使用内容交付網絡 （CDN） 和拒絕服務緩解服務可以使組織通過利用 CDN 和拒絕服務緩解服務提供商提供的大帶寬、地理位置分散的托管位置、流量清理和其他安全控制來創建高彈性的在線服務。

在提供靜态、帶寬密集型媒體（如圖像、聲音或視頻文件）時，使用 CDN 特别有效。但是，CDN 提供的服務可以包含的基本内容托管，例如 Web 響應緩存、負載平衡、Web 應用程序安全控制或拒絕服務緩解措施。

在配置使用 CDN 或拒絕服務緩解服務時應小心謹慎，以确保對手無法識别組織的 Web 服務器的 IP 地址，因為這可能會繞過保護。此外，應應用适當的網絡安全控制，以僅允許組織的服務器、CDN 或拒絕服務緩解服務提供商與授權管理環境之間的通信。

如果網站托管存在高可用性要求，則使用緩存網站的 CDN。

如果使用CDN，則避免洩露組織控制下的Web服務器（稱為源服務器）的 IP 地址，并且對源服務器的訪問僅限于CDN和授權管理網絡。

拒絕服務攻擊旨在破壞或降低網站、電子郵件和域名系統服務等在線服務。為了實現這一目标，攻擊者可能會使用多種方法來拒絕合法用戶訪問在線服務：

1.使用多台計算機将大量不需要的網絡流量定向到聯機服務，以嘗試消耗所有可用的網絡帶寬

2.使用多台計算機将定制流量定向到在線服務，試圖消耗在線服務的處理資源

3.劫持在線服務，試圖将合法用戶從這些服務重定向到對手控制的其他服務。

雖然組織無法避免成為拒絕服務攻擊的目标，但他們可以實施許多措施來準備并可能減少目标的影響。這包括與其雲服務提供商合作，以确定可能可供使用的拒絕服務檢測技術。例如，實時容量報告儀表闆根據組織定義的阈值提供帶外和實時警報，可幫助快速識别拒絕服務攻擊。此外，并非組織提供的所有在線服務或功能都可能是關鍵業務。了解哪些服務可以通過減少功能，取消優先級，禁用或沒有服務來提供，可以幫助組織減少或消除對其他更重要服務的影響，或者釋放資源以首先響應更關鍵的服務。

總體而言，在拒絕服務攻擊發生之前為它們做好準備是迄今為止最好的策略，因為一旦它們開始就很難做出反應，并且現階段的努力不太可能有效。

與雲服務提供商讨論了拒絕服務攻擊的預防和緩解策略，具體而言：

1.它們抵禦拒絕服務攻擊的能力

2.拒絕服務攻擊可能産生的任何費用

3.拒絕服務攻擊通知的阈值

4.在拒絕服務攻擊期間關閉在線服務的阈值

5.在拒絕服務攻擊期間可以執行的預先批準的操作

6.與上遊服務提供商的拒絕服務攻擊防禦安排，以盡可能在上遊阻止惡意流量。

确定并記錄聯機服務的功能和質量、如何維護此類功能以及在拒絕服務攻擊期間可以不使用哪些功能。

使用域名注冊商鎖定可以防止因未經授權删除或轉讓域名，或對域名注冊詳細信息進行其他未經授權的修改而導緻的拒絕服務。

在線服務的域名通過注冊商鎖定進行保護，并确認域名注冊詳細信息是否正确。

組織應通過實時警報對在線服務執行自動監控，以确保盡快檢測到并響應拒絕服務攻擊。

對在線服務實施具有實時警報的可用性監視，以檢測拒絕服務攻擊并衡量其影響。

拒絕服務攻擊通常集中在高度可見的在線服務上，例如組織的核心網站，以便産生公衆明顯的影響。通過隔離在線服務（例如，具有一個用于電子郵件和互聯網訪問的互聯網連接以及用于Web托管服務的單獨連接），拒絕服務攻擊的影響可以僅限于目标服務。

關鍵在線服務與更有可能成為目标的其他在線服務隔離開來。

根據拒絕服務攻擊的性質，用最小的靜态版本替換功能齊全的網站可以幫助提供原本不可能提供的服務級别。

由于數據庫集成或存在大型媒體文件（如高分辨率圖像或視頻），組織的标準全功能網站可能具有更高的處理或資源需求。這些額外的資源要求可能會使網站更容易受到拒絕服務攻擊。

網站的靜态版本是預先準備的，需要最少的處理和帶寬，以便在遭受拒絕服務攻擊時至少提供基本級别的服務。

更多精彩资讯请关注tft每日頭條，我们将持续为您更新最新资讯!