1. 什么是白名单
白名单是一种网络安全策略,它批准电子邮件地址、IP 地址、域名或应用程序的列表,同时拒绝所有其他列表。IT 管理员使用白名单作为一种快速简便的方法,帮助保护计算机和网络免受本地网络或 Internet 上的潜在有害威胁或不适当的材料。
2. 白名单如何运作?
白名单基于严格的策略集,由 IT 管理员管理。当管理员确定访问权限时,使用白名单不需要额外了解不允许的组件,因为默认情况下会拒绝这些组件。管理员编译用户需要访问的允许源、目标或应用程序的列表,然后将该列表应用于网络设备、桌面或服务器软件或操作系统。应用后,网络设备或服务器将监控用户、设备或应用程序请求,并允许访问列入白名单的服务。所有其他请求的服务均被拒绝。虽然白名单允许访问或通信特定的已批准应用程序或服务,但拒绝的请求包括满足以下条件的位置或服务:
- 是软件或恶意代码,例如恶意软件、高级持续性威胁或勒索软件;
- 包含不符合公司互联网使用指南的材料;
- 可能导致敏感材料泄露给公众;和
- 不恰当地促进影子 IT 的使用。
3. 白名单应用
- 垃圾邮件过滤器:这些筛选器旨在防止大多数未经请求的电子邮件或垃圾邮件出现在订阅者收件箱中。但是,巧妙制作的垃圾邮件有时会溜走,而重要的相关电子邮件会被阻止。大多数电子邮件用户容忍偶尔未经请求的电子邮件广告,但更关心的是何时没有收到重要消息。垃圾邮件过滤服务中的白名单选项将显式许可的强大功能交到邮箱用户手中。
- 访问控制白名单: 可以配置应用于网络路由器接口的 ACL 以允许访问单个或块 IP 地址。ACL 从上到下进行处理,并在列表末尾隐式拒绝任何。这意味着目标 IP 地址与访问列表匹配,如果列表中不包含该 IP 地址,则会丢弃数据包。
- 应用: 应用程序白名单是指仅将设备上受信任且安全的应用程序列入白名单。将应用程序列入白名单的功能通常会添加到操作系统中。这种做法通常用于由管理员监视的员工计算机上,以确保网络安全和员工下载可能抑制生产力的应用程序。应用程序白名单还存在攻击者通过确保白名单应用程序具有相同规范来将白名单应用程序替换为恶意应用程序的风险。
4. 被列入白名单意味着什么?
通常,用户或部门请求访问特定的已批准应用程序或无法从公司设备或公司网络访问的远程服务器或服务。当目标或应用程序被列入白名单时,它被认为是安全的,并且授予对远程目标、应用程序或服务的访问权限。5. 白名单与黑名单
白名单是明确允许的应用程序或服务的列表,但列入黑名单或阻止列表的应用程序或服务将被明确拒绝。在某些情况下,最好维护黑名单而不是白名单。例如,如果需要允许的项目、位置或应用程序的数量大于需要阻止的项目、位置或应用程序的数量,则更容易设置黑名单。出于这个原因,内容筛选器和反恶意软件应用程序倾向于使用黑名单。将最佳做法列入白名单
以下是维护和实施白名单的一些最佳实践:
- 记录和分类所有列入白名单的对象;
- 创建白名单对象时尽可能具体;
- 执行白名单审核以添加或清除应用或服务,并使列表保持最新;和
- 通过将用户放入访问组并根据工作职能将特定白名单应用于每个组,有效地应用白名单。
