現在仍然有很多人這麼認為
只要網絡中使用了一層安全就夠了
事實並不是這樣
一層根本擋不住病毒和黑客的侵襲
接下來我將逐點介紹網絡安全的多點做法
第一
物理安全
除了要保證要有電腦鎖之外
我們更多的要注意防火
要將電線和網絡放在比較隱蔽的地方
我們還要准備UPS
以確保網絡能夠以持續的電壓運行
在電子學中
峰值電壓是一個非常重要的概念
峰值電壓高的時候可以燒壞電器
迫使網絡癱瘓
峰值電壓最小的時候
網絡根本不能運行
使用UPS可以排除這些意外
另外我們要做好防老鼠咬壞網線
第二
系統安全(口令安全)
我們要盡量使用大小寫字母和數字以及特殊符號混合的密碼
但是自己要記住
我也見過很多這樣的網管
他的密碼設置的的確是復雜也安全
但是經常自己都記不來
每次都要翻看筆記本
另外我們最好不要使用空口令或者是帶有空格的
這樣很容易被一些黑客識破
我們也可以在屏保
重要的應用程序上添加密碼
以確保雙重安全
第三
打補丁
我們要及時的對系統補丁進行更新
大多數病毒和黑客都是通過系統漏洞進來的
例如今年五一風靡全球臭名昭著的振蕩波就是利用了微軟的漏洞ms
進來的
還有一直殺不掉的SQLSERVER上的病毒slammer也是通過SQL的漏洞進來的
所以我們要及時對系統和應用程序打上最新的補丁
例如IE
OUTLOOK
SQL
OFFICE等應用程序
另外我們要把那些不需要的服務關閉
例如TELNET
還有關閉Guset帳號等
第四
安裝防病毒軟件
病毒掃描就是對機器中的所有文件和郵件內容以及帶有
exe的可執行文件進行掃描
掃描的結果包括清除病毒
刪除被感染文件
或將被感染文件和病毒放在一台隔離文件夾裡面
所以我們要對全網的機器從網站服務器到郵件服務器到文件服務器知道客戶機都要安裝殺毒軟件
並保持最新的病毒定義碼
我們知道病毒一旦進入電腦
他會瘋狂的自我復制
遍布全網
造成的危害巨大
甚至可以使得系統崩潰
丟失所有的重要資料
所以我們要至少每周一次對全網的電腦進行集中殺毒
並定期的清除隔離病毒的文件夾
現在有很多防火牆等網關產品都帶有反病毒功能
例如netscreen總裁謝青旗下的美國飛塔Fortigate防火牆就是
她具有防病毒的功能
第五
應用程序
我們都知道病毒有超過一半都是通過電子郵件進來的
所以除了在郵件服務器上安裝防病毒軟件之外
還要對PC機上的outlook防護
我們要提高警惕性
當收到那些無標題的郵件
或是你不認識的人發過來的
或是全是英語例如什麼happy
money
然後又帶有一個附件的郵件
建議您最好直接刪除
不要去點擊附件
因為百分之九十以上是病毒
我前段時間就在一個政府部門碰到這樣的情況
他們單位有三個人一直收到郵件
一個小時竟然奇跡般的收到了
多封郵件
致使最後郵箱爆破
起初他們懷疑是黑客進入了他們的網絡
最後當問到這幾個人他們都說收到了一封郵件
一個附件
當去打開附件的時候
便不斷的收到郵件了
直至最後郵箱撐破
最後查出還是病毒惹的禍
除了不去查看這些郵件之外
我們還要利用一下outlook中帶有的黑名單功能和郵件過慮的功能
很多黑客都是通過你訪問網頁的時候進來的
你是否經常碰到這種情況
當你打開一個網頁的時候
會不斷的跳出非常多窗口
你關都關不掉
這就是黑客已經進入了你的電腦
並試圖控制你的電腦
所以我們要將IE的安全性調高一點
經常刪除一些cookies和脫機文件
還有就是禁用那些Active X的控件
第六
代理服務器
代理服務器最先被利用的目的是可以加速訪問我們經常看的網站
因為代理服務器都有緩沖的功能
在這裡可以保留一些網站與IP地址的對應關系
要想了解代理服務器
首先要了解它的工作原理
環境
局域網裡面有一台機器裝有雙網卡
充當代理服務器
其余電腦通過它來訪問網絡
內網一台機器要訪問新浪
於是將請求發送給代理服務器
代理服務器對發來的請求進行檢查
包括題頭和內容
然後去掉不必要的或違反約定的內容
代理服務器重新整合數據包
然後將請求發送給下一級網關
新浪網回復請求
找到對應的IP地址
代理服務器依然檢查題頭和內容是否合法
去掉不適當的內容
重新整合請求
然後將結果發送給內網的那台機器
由此可以看出
代理服務器的優點是可以隱藏內網的機器
這樣可以防止黑客的直接攻擊
另外可以節省公網IP
缺點就是每次都要經由服務器
這樣訪問速度會變慢
另外當代理服務器被攻擊或者是損壞的時候
其余電腦將不能訪問網絡
第七
防火牆
提到防火牆
顧名思義
就是防火的一道牆
防火牆的最根本工作原理就是數據包過濾
實際上在數據包過濾的提出之前
都已經出現了防火牆
數據包過濾
就是通過查看題頭的數據包是否含有非法的數據
我們將此屏蔽
舉個簡單的例子
假如體育中心有一場劉德華演唱會
檢票員坐鎮門口
他首先檢查你的票是否對應
是否今天的
然後撕下右邊的一條
將剩余的給你
然後告訴你演唱會現場在哪裡
告訴你怎麼走
這個基本上就是數據包過濾的工作流程吧
你也許經常聽到你們老板說
要增加一台機器它可以禁止我們不想要的網站
可以禁止一些郵件它經常給我們發送垃圾郵件和病毒等
但是沒有一個老板會說
要增加一台機器它可以禁止我們不願意訪問的數據包
實際意思就是這樣
接下來我們推薦幾個常用的數據包過濾工具
最常見的數據包過濾工具是路由器
另外系統中帶有數據包過濾工具
例如Linux TCP/IP中帶有的ipchain等
windows
帶有的TCP/IP Filtering篩選器等
通過這些我們就可以過濾掉我們不想要的數據包
防火牆也許是使用最多的數據包過濾工具了
現在的軟件防火牆和硬件防火牆都有數據包過濾的功能
接下來我們會重點介紹防火牆的
防火牆通過以下方面來加強網絡的安全
策略的設置
策略的設置包括允許與禁止
允許例如允許我們的客戶機收發電子郵件
允許他們訪問一些必要的網站等
例如防火牆經常這麼設置
允許內網的機器訪問網站
收發電子郵件
從FTP下載資料等
這樣我們就要打開
端口
開HTTP
SMTP
POP
FTP等
禁止就是禁止我們的客戶機去訪問哪些服務
例如我們禁止郵件客戶來訪問網站
於是我們就給他打開
關閉
NAT
NAT
即網絡地址轉換
當我們內網的機器在沒有公網IP地址的情況下要訪問網站
這就要用到NAT
工作過程就是這樣
內網一台機器
要訪問新浪
當到達防火牆時
防火牆給它轉變成一個公網IP地址出去
一般我們為每個工作站分配一個公網IP地址
防火牆中要用到以上提到的數據包過濾和代理服務器
兩者各有優缺點
數據包過濾僅僅檢查題頭的內容
而代理服務器除了檢查標題之外還要檢查內容
當數據包過濾工具癱瘓的時候
數據包就都會進入內網
而當代理服務器癱瘓的時候內網的機器將不能訪問網絡
另外
防火牆還提供了加密
身份驗證等功能
還可以提供對外部用戶VPN的功能
第八
DMZ
DMZ本來是朝鮮的南北大戰的時候
提出的停火帶
但是在我們網絡安全裡面
DMZ來放置例如網站服務器
郵件服務器
DNS服務器
FTP服務器等
我們可以通過DMZ出去
這樣就為黑客進來提供了通道
所以我們有必要添加第二台防火牆
來加強我們的網絡安全
這樣帶來的麻煩就是從網上下載
首先要來驗證安全性
下載的時候要等一會
第九
IDS
我們使用了防火牆和防病毒之後
使用IDS來預防黑客攻擊
IDS
就是分析攻擊事件以及攻擊的目標與攻擊源
我們利用這些可以來抵御攻擊
以將損壞降低到最低限度
目前IDS還沒有象防火牆那樣用的普遍
但是這個也將是未來幾年的趨勢
現在一些政府已經開始使用
國內著名的IDS廠家例如金諾網安
中聯綠盟
啟明星辰
第十
VPN
以前我們都是通過電話和郵件來和外地的分公司聯系
分公司從總公司找一些文件都是通過撥號上網
即使用點對點協議
這樣安全
但是花費很高
VPN可以解決這一點
第十一
分析時間日志與記錄
我們要經常的來查看防火牆日志
入侵檢測的日志以及查看防病毒軟件的更新組件是否最新等
From:http://tw.wingwit.com/Article/Network/201311/30029.html
