IT貓撲網(wǎng):您身邊最放心的安全下載站! 最新更新|軟件分類|軟件專題|手機(jī)版|論壇轉(zhuǎn)貼|軟件發(fā)布

您當(dāng)前所在位置: 首頁系統(tǒng)集成網(wǎng)絡(luò)管理 → 網(wǎng)管員需主動(dòng)出擊構(gòu)建企業(yè)安全局域網(wǎng)

網(wǎng)管員需主動(dòng)出擊構(gòu)建企業(yè)安全局域網(wǎng)

時(shí)間:2015-06-28 00:00:00 來源:IT貓撲網(wǎng) 作者:網(wǎng)管聯(lián)盟 我要評(píng)論(0)

  網(wǎng)絡(luò)何嘗不是戰(zhàn)場?特別是維護(hù)頗具規(guī)模的企業(yè)局域網(wǎng)的管理員們,這種感覺應(yīng)該尤為明顯。來自內(nèi)外的網(wǎng)絡(luò)攻擊,常常讓大家有腹背受敵、疲于應(yīng)付的感覺。要擺脫這種被動(dòng)挨打的局面,應(yīng)該主動(dòng)出擊、針鋒相對構(gòu)建集防御與反擊為一體的企業(yè)局域網(wǎng)。

  1、加強(qiáng)服務(wù)器安全

  服務(wù)器是企業(yè)的數(shù)據(jù)重地,與企業(yè)的生產(chǎn)、業(yè)務(wù)等密切相關(guān)。通常情況下,企業(yè)中的服務(wù)器往往不止一臺(tái)甚至更多,它們是受到攻擊最多的網(wǎng)絡(luò)節(jié)點(diǎn)。因此,服務(wù)器的安全是我們首先要確保的。而服務(wù)器的安全應(yīng)該的多層次的,主要包括以下幾個(gè)方面:

  (1).平臺(tái)安全

  首先要保證服務(wù)器系統(tǒng)平臺(tái)的安全。在配置服務(wù)器時(shí),盡量避免使用系統(tǒng)的默認(rèn)配置,這些默認(rèn)配置是為了方便普通用戶使用的,但是很多黑客都熟悉默認(rèn)配置的漏洞,能很方便地、從這里侵入系統(tǒng)。所以當(dāng)系統(tǒng)安裝完畢后第一步就是要升級(jí)最新的補(bǔ)丁,然后更改系統(tǒng)的默認(rèn)配置。要為用戶建立詳細(xì)的屬性和權(quán)限,方便確認(rèn)用戶身份以及能訪問修改的資料。定期修改用戶密碼,這樣可以讓密碼破解的威脅降到最低??傊煤梅?wù)器自身系統(tǒng)的各種安全策略,就可以占用最小的資源,擋住大部分黑客。

  (2).服務(wù)器的獨(dú)立

  服務(wù)器最好能夠做到專用,確保其獨(dú)立性,盡量不要在一臺(tái)服務(wù)器上部署多個(gè)服務(wù),提供多個(gè)應(yīng)用。不過這樣會(huì)造成服務(wù)器的浪費(fèi),有一個(gè)不錯(cuò)的方案是實(shí)施服務(wù)器的虛擬化,保證一臺(tái)物理服務(wù)器上多個(gè)服務(wù)的獨(dú)立。

  (3).網(wǎng)絡(luò)拓?fù)浒踩?/strong>

  還有一點(diǎn)特別重要,從網(wǎng)絡(luò)拓?fù)渖媳WC服務(wù)器的安全。盡量不要為重要的企業(yè)服務(wù)器提供公網(wǎng)IP,將其暴露在Internet中。如果必須要這么做,一定要做好軟硬件防護(hù)。比如在服務(wù)器的外圍部署硬件防火墻或者類似ISA的軟件防火墻,限制為授權(quán)的IP訪問等等。另外,內(nèi)網(wǎng)中要實(shí)施網(wǎng)絡(luò)分段。網(wǎng)絡(luò)分段應(yīng)該優(yōu)先選擇物理級(jí)別的分段,從物理層和數(shù)據(jù)鏈路層上將局域網(wǎng)分為若干網(wǎng)段,這樣各網(wǎng)段相互之間無法進(jìn)行直接通訊。應(yīng)該所這樣比較容易實(shí)現(xiàn),因?yàn)樵S多交換機(jī)都有一定的訪問控制能力,可實(shí)現(xiàn)對網(wǎng)絡(luò)的物理分段。此外,根據(jù)實(shí)際情況在某些節(jié)點(diǎn)上實(shí)施基于網(wǎng)絡(luò)層的邏輯分段。把網(wǎng)絡(luò)分成若干IP子網(wǎng),各子網(wǎng)間必須通過路由器、路由交換機(jī)、網(wǎng)關(guān)或防火墻等設(shè)備進(jìn)行連接,利用這些中間設(shè)備的安全機(jī)制來控制子網(wǎng)間的訪問。以上基于網(wǎng)絡(luò)拓?fù)浼?jí)別的安全措施,能夠在很大程度上加強(qiáng)服務(wù)器的安全,將絕大多數(shù)的攻擊行為拒之門外。

  2、搭建病毒防御平臺(tái)

  除了服務(wù)器攻擊之外,病毒木馬也是局域網(wǎng)的大敵。由于局域網(wǎng)客戶端網(wǎng)絡(luò)節(jié)點(diǎn)眾多,這往往成了病毒木馬泛濫的溫床,因此搭建病毒防御平臺(tái)勢在必行。在企業(yè)局域網(wǎng)中部署什么樣的病毒監(jiān)控平臺(tái),應(yīng)該有一定的考量標(biāo)準(zhǔn)。一般來說,查殺是否徹底細(xì)致,界面是否友好方便,能否集中管理是決定一個(gè)殺毒軟件好壞的關(guān)鍵。所以建議購買企業(yè)版殺毒軟件,并控制寫入服務(wù)器的客戶端,網(wǎng)管可以隨時(shí)殺毒,保證寫入數(shù)據(jù)和服務(wù)器的安全性。

  同時(shí),在網(wǎng)絡(luò)環(huán)境下,病毒傳播擴(kuò)散快,僅用單機(jī)防病毒產(chǎn)品已經(jīng)很難徹底清除網(wǎng)絡(luò)病毒,必須有適合于局域網(wǎng)的全方位防病毒產(chǎn)品。內(nèi)部局域網(wǎng),就需要一個(gè)基于服務(wù)器操作系統(tǒng)平臺(tái)的防病毒軟件和針對各種桌面操作系統(tǒng)的防病毒軟件。如果與互聯(lián)網(wǎng)相連,就需要網(wǎng)關(guān)的防病毒軟件,加強(qiáng)上網(wǎng)計(jì)算機(jī)的安全。如果在網(wǎng)絡(luò)內(nèi)部使用電子郵件進(jìn)行信息交換,還需要一套基于郵件服務(wù)器平臺(tái)的郵件防病毒軟件,識(shí)別出隱藏在電子郵件和附件中的病毒。所以最好使用全方位的防病毒產(chǎn)品,針對網(wǎng)絡(luò)中所有可能的病毒攻擊點(diǎn)設(shè)置對應(yīng)的防病毒軟件,通過全方位、多層次的防病毒系統(tǒng)的配置,通過定期或不定期的自動(dòng)升級(jí),使網(wǎng)絡(luò)免受病毒的侵襲。

  3、制定網(wǎng)絡(luò)安全檢測措施

  做好局域網(wǎng)的安全,管理員有時(shí)候也要扮演攻擊者的角色對于局域網(wǎng)進(jìn)行安全檢測。應(yīng)該將其作為一種制度,并制定相應(yīng)的網(wǎng)絡(luò)安全檢測措施予于貫徹執(zhí)行。因?yàn)榻鉀Q網(wǎng)絡(luò)層安全問題,首先要清楚網(wǎng)絡(luò)中存在哪些安全隱患、脆弱點(diǎn)。面對大型網(wǎng)絡(luò)的復(fù)雜性和不斷變化的情況,僅僅依靠網(wǎng)絡(luò)管理員的技術(shù)和經(jīng)驗(yàn)尋找安全漏洞、做出風(fēng)險(xiǎn)評(píng)估,顯然是不現(xiàn)實(shí)的。

  建議大家掌握必要入侵檢測技術(shù),能夠定期、主動(dòng)地進(jìn)行網(wǎng)絡(luò)安全檢測,這種檢測不僅包括外部檢測而且包括內(nèi)部檢測。能夠掌握一種或者幾種能查找網(wǎng)絡(luò)安全漏洞、評(píng)估并提出修改建議的網(wǎng)絡(luò)安全掃描工具,利用優(yōu)化系統(tǒng)配置和打補(bǔ)丁等各種方式最大可能地彌補(bǔ)最新的安全漏洞和消除安全隱患。在要求安全程度不高的情況下,可以利用各種黑客工具,對網(wǎng)絡(luò)模擬攻擊從而暴露出網(wǎng)絡(luò)的漏洞。

  4、應(yīng)對典型的局域網(wǎng)攻擊

  在企業(yè)局域網(wǎng)中,諸如嗅探、IP盜用、DDOS攻擊、后門攻擊等有一定的典型性,網(wǎng)絡(luò)安全也要抓典型、抓重點(diǎn),做好防范類似攻擊行為的措施。

  以防范IP盜用為例,管理員可在路由器上捆綁IP和MAC地址,當(dāng)某個(gè)口通過路由器訪問Intemet時(shí),路由器要檢查發(fā)出這個(gè)IP廣播包的工作站的MAC是否與路由器上的MAC地址表相符,如果相符就放行。否則不允許通過路由器,同時(shí)經(jīng)發(fā)現(xiàn)這個(gè)IP廣播包的工作站返回一個(gè)警告信息。再如防范來自內(nèi)部的網(wǎng)絡(luò)攻擊,我們可采用對各個(gè)子網(wǎng)做一個(gè)具有一定功能的審計(jì)文件,為管理人員分析自己的網(wǎng)絡(luò)運(yùn)作狀態(tài)提供依據(jù)。此外備份工作要做好,對于數(shù)據(jù)庫這樣的實(shí)時(shí)更新、動(dòng)態(tài)變化的數(shù)據(jù),要制定密集性的備份策略。這是我們在遭到網(wǎng)絡(luò)攻擊后,快速恢復(fù)的前提。

  5、與用戶相關(guān)的安全措施

  許多企業(yè)內(nèi)發(fā)生的網(wǎng)絡(luò)安全危機(jī),有多半來自員工本身沒有具備基本的網(wǎng)絡(luò)安全常識(shí),導(dǎo)致黑客有機(jī)會(huì)侵入計(jì)算機(jī),達(dá)到破壞的目的。因此有必要加強(qiáng)企業(yè)或個(gè)人的網(wǎng)絡(luò)保護(hù)知識(shí),建立相應(yīng)的安裝制度。比如,作為客戶端用戶要保護(hù)好自己的口令、密碼,嚴(yán)禁帳號(hào),密碼外借,密碼設(shè)置過于簡單等。 安裝在線殺毒軟件,隨時(shí)監(jiān)視病毒的侵入,保護(hù)硬盤及系統(tǒng)不受傷害,還要及時(shí)給病毒庫升級(jí)。在瀏覽WEB時(shí)不要輕易打開來歷不明的電子郵件,不要隨便借計(jì)算機(jī)給別人使用等。

  總結(jié):構(gòu)建安全、穩(wěn)定、高效的企業(yè)局域網(wǎng)是網(wǎng)絡(luò)管理者的職責(zé)所在,但具體的實(shí)施過程卻是非常復(fù)雜的。但有一點(diǎn)相信大家都有共識(shí),被動(dòng)防御是不會(huì)有出路,基于需求主動(dòng)出擊才是正途。上面是筆者一點(diǎn)經(jīng)驗(yàn),希望對你有所幫助。

關(guān)鍵詞標(biāo)簽:網(wǎng)管員,構(gòu)建企業(yè)安全局

相關(guān)閱讀

文章評(píng)論
發(fā)表評(píng)論

熱門文章 路由器地址大全-各品牌路由設(shè)置地址 路由器地址大全-各品牌路由設(shè)置地址 各品牌的ADSL與路由器出廠默認(rèn)IP、帳號(hào)、密碼 各品牌的ADSL與路由器出廠默認(rèn)IP、帳號(hào)、密碼 Nslookup命令詳解-域名DNS診斷 Nslookup命令詳解-域名DNS診斷 站長裝備:十大網(wǎng)站管理員服務(wù)器工具軟件 站長裝備:十大網(wǎng)站管理員服務(wù)器工具軟件

相關(guān)下載

    人氣排行 各品牌的ADSL與路由器出廠默認(rèn)IP、帳號(hào)、密碼 路由器地址大全-各品牌路由設(shè)置地址 騰達(dá)路由器怎么設(shè)置?騰達(dá)路由器設(shè)置教程 ADSL雙線負(fù)載均衡設(shè)置詳細(xì)圖文教程 路由表說明(詳解route print) Nslookup命令詳解-域名DNS診斷 網(wǎng)管員實(shí)際工作的一天 網(wǎng)管必會(huì)!了解交換機(jī)控制端口流量