模板
教程
环境
性能
功能
管理
建立全面的网络安全体系
首先网络最大的安全隐患是来自用户,普通用户由于缺乏良好的安全意识而将计算机出卖给入侵者。口令是最大的天敌,一个很容易被猜到的口令和没有设置口令是相同的,根本达不到保护的作用。有些网络用户常常由于他们建立了自己的个人用户而导致一些问题。例如把C:\和其他目录共享给别人,认为这样传输东西更方便,却不会知道其中潜在的危险。看住你的用户并帮助他们保持良好的习惯。
第二点我们应该正确配置每台主机系统,为操作系统打够补丁、保护好自己的密码等等,这些都是非常重要的。对每个用户的权限进行设置,很好的利用服务限制,如果不能做好的话,将会导致可怕的后果。如果你不想提供诸如FTP、HTTP等公共服务,可以关闭它们。安装Windows NT或者Sever时注意是否需要安装Inte.net服务,其中就包括IIS―Web Server。IIS有缺省的用户名和口令。这就是一个隐藏的大漏洞。所以一定要知道你正在安装什么。请记住使用任何安全软件包的缺省都是一个巨大的错误。每周发布的修补程序修补操作系统的使用上的漏洞和安全上的漏洞。由于它们修补的是广为所知的漏洞,你要跟住最新的修补程序。维持文件系统的的许可和用户的权限也是必须的。
第三点架设一个入侵监测系统(IDS)是非常必要的,处于防火墙之后对网络活动进行实时检测。许多情况下,由于可以记录和禁止网络活动,所以入侵监测系统是防火墙的延续。它们可以和你的防火墙和路由器配合工作。IDS扫描当前网络的活动,监视和记录网络的流量,根据定义好的规则来过滤从主机网卡到网线上的流量,提供实时报警。IDS是被动的,它监测你的网络上所有的包(packets)。其目的就是扑捉危险或有恶意动作的信息包。IDS是按你指定的规则运行的,记录是庞大的,所以我们必须制定合适的规则对他进行正确的配置,如果IDS没有正确的配置,其效果如同没有一样。IDS能够帮助系统对付网络攻击,扩展了系统管理员的安全管理能力(包括安全审计、监视、攻击识别和响应),提高了信息安全基础结构的完整性。
第四点防火墙是网络安全的屏障。一个防火墙(作为阻塞点、控制点)能极大地提高一个内部网络的安全性,并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过防火墙,所以网络环境变得更安全。如防火墙可以禁止诸如众所周知的不安全的NFS协议进出受保护网络,这样外部的攻击者就不可能利用这些脆弱的协议来攻击内部网络。防火墙同时可以保护网络免受基于路由的攻击,如IP选项中的源路由攻击和ICMP重定向中的重定向路径。防火墙可以拒绝所有以上类型攻击的报文并通知防火墙管理员。防火墙还可以过滤对IP和服务。也可以利用不同防火墙产品的各种安全机制建立VPN(Virtual PrivateNetworks)。通过VPN,你在异地可以更安全的联入你的网络。大多数防火墙都有认证机制,但是你必须知道除非你使用了加密,否则用户名和口令是以明码传送的。防火墙种类方多,功能强大,不可能用一篇文章涵盖所有可能性,用户可以根据自己的需要选好适合自己的防火墙并且正确的配置。
最后的一层防护是路由器。路由器是OSI七层网络模型中第三层的设备。它在网络中,收到任何一个数据包(包括广播包在内),就要将该数据包第二层(数据链路层)的信息去掉(称为“拆包”),查看第三层信息。然后,根据路由表确定数据包的路由,再检查安全访问表;若被通过,则再进行第二层信息的封装(称为“打包”),最后将该数据包转发。如果在路由表中查不到对应MAC地址的网络,则路由器将向源地址的站点返回一个信息,并把这个数据包丢掉。这便是路由器工作过程的简要描述。还应当指出:MAC地址就是网络设备的物理地址(如网卡地址)。路由器要看的第三层信息,叫做“IP地址”,它是一个逻辑地址。值得强调的是:网络设备要传输信息,最终靠的是MAC地址。
路由器对网络的安全起着相当大的作用,它能监视来自每个用户的业务流,并利用动态滤波器保证网络安全性,只有被授权的用户才能拥有相应的数据链路。例如,我们首先屏蔽所有的IP地址,然后有选择的放行一些地址进入我们的网络。一般来说,总是首先屏蔽所有的再放行。对于首先放行所有的,再屏蔽一些地址是不可取的,除非你提供一个公共服务(如http)。需要注意的是路由器的默认配置对安全性的考虑不够,需要一些高级配置才能达到一些防范攻击的作用,安全策略的制定绝大多数都是基于命令行的,其针对安全性的规则的制定相对比较复杂,配置出错的概率较高,所以一定要注意路由器的配置问题,最好是有经验的专业人员来对路由器进行配置。有了正确的配置对于一个严格要求的安全环境还是不够的,因为还有很多的攻击无法从路由器上过滤,且对于来自内部网络的攻击,路由器是无能力进行保证的。但是通过一个路由器的安全配置,能够为网络的安全建立一个外部的屏障,减轻了内部防火墙的负担,并且保证了路由器本身的安全。
上述是一个普通网络所应该具有的防护措施,如果你的网络还有各种各样的特殊需要,则需要特殊的防护措施,选择适合自己的网络安全设备。
