IT貓撲網(wǎng):您身邊最放心的安全下載站! 最新更新|軟件分類|軟件專題|手機版|論壇轉(zhuǎn)貼|軟件發(fā)布

您當(dāng)前所在位置:首頁系統(tǒng)集成網(wǎng)絡(luò)管理 → 網(wǎng)管員需主動出擊構(gòu)建企業(yè)安全局域網(wǎng)

網(wǎng)管員需主動出擊構(gòu)建企業(yè)安全局域網(wǎng)

時間:2015/6/28來源:IT貓撲網(wǎng)作者:網(wǎng)管聯(lián)盟我要評論(0)

  網(wǎng)絡(luò)何嘗不是戰(zhàn)場?特別是維護頗具規(guī)模的企業(yè)局域網(wǎng)的管理員們,這種感覺應(yīng)該尤為明顯。來自內(nèi)外的網(wǎng)絡(luò)攻擊,常常讓大家有腹背受敵、疲于應(yīng)付的感覺。要擺脫這種被動挨打的局面,應(yīng)該主動出擊、針鋒相對構(gòu)建集防御與反擊為一體的企業(yè)局域網(wǎng)。

  1、加強服務(wù)器安全

  服務(wù)器是企業(yè)的數(shù)據(jù)重地,與企業(yè)的生產(chǎn)、業(yè)務(wù)等密切相關(guān)。通常情況下,企業(yè)中的服務(wù)器往往不止一臺甚至更多,它們是受到攻擊最多的網(wǎng)絡(luò)節(jié)點。因此,服務(wù)器的安全是我們首先要確保的。而服務(wù)器的安全應(yīng)該的多層次的,主要包括以下幾個方面:

  (1).平臺安全

  首先要保證服務(wù)器系統(tǒng)平臺的安全。在配置服務(wù)器時,盡量避免使用系統(tǒng)的默認(rèn)配置,這些默認(rèn)配置是為了方便普通用戶使用的,但是很多黑客都熟悉默認(rèn)配置的漏洞,能很方便地、從這里侵入系統(tǒng)。所以當(dāng)系統(tǒng)安裝完畢后第一步就是要升級最新的補丁,然后更改系統(tǒng)的默認(rèn)配置。要為用戶建立詳細的屬性和權(quán)限,方便確認(rèn)用戶身份以及能訪問修改的資料。定期修改用戶密碼,這樣可以讓密碼破解的威脅降到最低?傊煤梅⻊(wù)器自身系統(tǒng)的各種安全策略,就可以占用最小的資源,擋住大部分黑客。

  (2).服務(wù)器的獨立

  服務(wù)器最好能夠做到專用,確保其獨立性,盡量不要在一臺服務(wù)器上部署多個服務(wù),提供多個應(yīng)用。不過這樣會造成服務(wù)器的浪費,有一個不錯的方案是實施服務(wù)器的虛擬化,保證一臺物理服務(wù)器上多個服務(wù)的獨立。

  (3).網(wǎng)絡(luò)拓撲安全

  還有一點特別重要,從網(wǎng)絡(luò)拓撲上保證服務(wù)器的安全。盡量不要為重要的企業(yè)服務(wù)器提供公網(wǎng)IP,將其暴露在Internet中。如果必須要這么做,一定要做好軟硬件防護。比如在服務(wù)器的外圍部署硬件防火墻或者類似ISA的軟件防火墻,限制為授權(quán)的IP訪問等等。另外,內(nèi)網(wǎng)中要實施網(wǎng)絡(luò)分段。網(wǎng)絡(luò)分段應(yīng)該優(yōu)先選擇物理級別的分段,從物理層和數(shù)據(jù)鏈路層上將局域網(wǎng)分為若干網(wǎng)段,這樣各網(wǎng)段相互之間無法進行直接通訊。應(yīng)該所這樣比較容易實現(xiàn),因為許多交換機都有一定的訪問控制能力,可實現(xiàn)對網(wǎng)絡(luò)的物理分段。此外,根據(jù)實際情況在某些節(jié)點上實施基于網(wǎng)絡(luò)層的邏輯分段。把網(wǎng)絡(luò)分成若干IP子網(wǎng),各子網(wǎng)間必須通過路由器、路由交換機、網(wǎng)關(guān)或防火墻等設(shè)備進行連接,利用這些中間設(shè)備的安全機制來控制子網(wǎng)間的訪問。以上基于網(wǎng)絡(luò)拓撲級別的安全措施,能夠在很大程度上加強服務(wù)器的安全,將絕大多數(shù)的攻擊行為拒之門外。

  2、搭建病毒防御平臺

  除了服務(wù)器攻擊之外,病毒木馬也是局域網(wǎng)的大敵。由于局域網(wǎng)客戶端網(wǎng)絡(luò)節(jié)點眾多,這往往成了病毒木馬泛濫的溫床,因此搭建病毒防御平臺勢在必行。在企業(yè)局域網(wǎng)中部署什么樣的病毒監(jiān)控平臺,應(yīng)該有一定的考量標(biāo)準(zhǔn)。一般來說,查殺是否徹底細致,界面是否友好方便,能否集中管理是決定一個殺毒軟件好壞的關(guān)鍵。所以建議購買企業(yè)版殺毒軟件,并控制寫入服務(wù)器的客戶端,網(wǎng)管可以隨時殺毒,保證寫入數(shù)據(jù)和服務(wù)器的安全性。

  同時,在網(wǎng)絡(luò)環(huán)境下,病毒傳播擴散快,僅用單機防病毒產(chǎn)品已經(jīng)很難徹底清除網(wǎng)絡(luò)病毒,必須有適合于局域網(wǎng)的全方位防病毒產(chǎn)品。內(nèi)部局域網(wǎng),就需要一個基于服務(wù)器操作系統(tǒng)平臺的防病毒軟件和針對各種桌面操作系統(tǒng)的防病毒軟件。如果與互聯(lián)網(wǎng)相連,就需要網(wǎng)關(guān)的防病毒軟件,加強上網(wǎng)計算機的安全。如果在網(wǎng)絡(luò)內(nèi)部使用電子郵件進行信息交換,還需要一套基于郵件服務(wù)器平臺的郵件防病毒軟件,識別出隱藏在電子郵件和附件中的病毒。所以最好使用全方位的防病毒產(chǎn)品,針對網(wǎng)絡(luò)中所有可能的病毒攻擊點設(shè)置對應(yīng)的防病毒軟件,通過全方位、多層次的防病毒系統(tǒng)的配置,通過定期或不定期的自動升級,使網(wǎng)絡(luò)免受病毒的侵襲。

  3、制定網(wǎng)絡(luò)安全檢測措施

  做好局域網(wǎng)的安全,管理員有時候也要扮演攻擊者的角色對于局域網(wǎng)進行安全檢測。應(yīng)該將其作為一種制度,并制定相應(yīng)的網(wǎng)絡(luò)安全檢測措施予于貫徹執(zhí)行。因為解決網(wǎng)絡(luò)層安全問題,首先要清楚網(wǎng)絡(luò)中存在哪些安全隱患、脆弱點。面對大型網(wǎng)絡(luò)的復(fù)雜性和不斷變化的情況,僅僅依靠網(wǎng)絡(luò)管理員的技術(shù)和經(jīng)驗尋找安全漏洞、做出風(fēng)險評估,顯然是不現(xiàn)實的。

  建議大家掌握必要入侵檢測技術(shù),能夠定期、主動地進行網(wǎng)絡(luò)安全檢測,這種檢測不僅包括外部檢測而且包括內(nèi)部檢測。能夠掌握一種或者幾種能查找網(wǎng)絡(luò)安全漏洞、評估并提出修改建議的網(wǎng)絡(luò)安全掃描工具,利用優(yōu)化系統(tǒng)配置和打補丁等各種方式最大可能地彌補最新的安全漏洞和消除安全隱患。在要求安全程度不高的情況下,可以利用各種黑客工具,對網(wǎng)絡(luò)模擬攻擊從而暴露出網(wǎng)絡(luò)的漏洞。

  4、應(yīng)對典型的局域網(wǎng)攻擊

  在企業(yè)局域網(wǎng)中,諸如嗅探、IP盜用、DDOS攻擊、后門攻擊等有一定的典型性,網(wǎng)絡(luò)安全也要抓典型、抓重點,做好防范類似攻擊行為的措施。

  以防范IP盜用為例,管理員可在路由器上捆綁IP和MAC地址,當(dāng)某個口通過路由器訪問Intemet時,路由器要檢查發(fā)出這個IP廣播包的工作站的MAC是否與路由器上的MAC地址表相符,如果相符就放行。否則不允許通過路由器,同時經(jīng)發(fā)現(xiàn)這個IP廣播包的工作站返回一個警告信息。再如防范來自內(nèi)部的網(wǎng)絡(luò)攻擊,我們可采用對各個子網(wǎng)做一個具有一定功能的審計文件,為管理人員分析自己的網(wǎng)絡(luò)運作狀態(tài)提供依據(jù)。此外備份工作要做好,對于數(shù)據(jù)庫這樣的實時更新、動態(tài)變化的數(shù)據(jù),要制定密集性的備份策略。這是我們在遭到網(wǎng)絡(luò)攻擊后,快速恢復(fù)的前提。

  5、與用戶相關(guān)的安全措施

  許多企業(yè)內(nèi)發(fā)生的網(wǎng)絡(luò)安全危機,有多半來自員工本身沒有具備基本的網(wǎng)絡(luò)安全常識,導(dǎo)致黑客有機會侵入計算機,達到破壞的目的。因此有必要加強企業(yè)或個人的網(wǎng)絡(luò)保護知識,建立相應(yīng)的安裝制度。比如,作為客戶端用戶要保護好自己的口令、密碼,嚴(yán)禁帳號,密碼外借,密碼設(shè)置過于簡單等。 安裝在線殺毒軟件,隨時監(jiān)視病毒的侵入,保護硬盤及系統(tǒng)不受傷害,還要及時給病毒庫升級。在瀏覽WEB時不要輕易打開來歷不明的電子郵件,不要隨便借計算機給別人使用等。

  總結(jié):構(gòu)建安全、穩(wěn)定、高效的企業(yè)局域網(wǎng)是網(wǎng)絡(luò)管理者的職責(zé)所在,但具體的實施過程卻是非常復(fù)雜的。但有一點相信大家都有共識,被動防御是不會有出路,基于需求主動出擊才是正途。上面是筆者一點經(jīng)驗,希望對你有所幫助。

關(guān)鍵詞標(biāo)簽:網(wǎng)管員,構(gòu)建企業(yè)安全局

相關(guān)閱讀

文章評論
發(fā)表評論

熱門文章 路由器地址大全-各品牌路由設(shè)置地址路由器地址大全-各品牌路由設(shè)置地址各品牌的ADSL與路由器出廠默認(rèn)IP、帳號、密各品牌的ADSL與路由器出廠默認(rèn)IP、帳號、密Nslookup命令詳解-域名DNS診斷Nslookup命令詳解-域名DNS診斷站長裝備:十大網(wǎng)站管理員服務(wù)器工具軟件站長裝備:十大網(wǎng)站管理員服務(wù)器工具軟件

相關(guān)下載

人氣排行 各品牌的ADSL與路由器出廠默認(rèn)IP、帳號、密碼路由器地址大全-各品牌路由設(shè)置地址騰達路由器怎么設(shè)置?騰達路由器設(shè)置教程ADSL雙線負載均衡設(shè)置詳細圖文教程路由表說明(詳解route print)網(wǎng)管員實際工作的一天用此方法讓2M帶寬下載速度達到250K/S左右網(wǎng)管必會!了解交換機控制端口流量