構建企業安全局域網 網管員需主動出擊
網絡何嘗不是戰場?特別是維護頗具規模的企業局域網的管理員們,這種感覺應該尤為明顯。來自內外的網絡攻擊,常常讓大家有腹背受敵、疲于應付的感覺。要擺脫這種被動挨打的局面,應該主動出擊、針鋒相對構建集防御與反擊為一體的企業局域網。
1、加強服務器安全
服務器是企業的數據重地,與企業的生產、業務等密切相關。通常情況下,企業中的服務器往往不止一臺甚至更多,它們是受到攻擊最多的網絡節點。因此,服務器的安全是我們首先要確保的。而服務器的安全應該的多層次的,主要包括以下幾個方面:
(1).平臺安全
首先要保證服務器系統平臺的安全。在配置服務器時,盡量避免使用系統的默認配置,這些默認配置是為了方便普通用戶使用的,但是很多黑客都熟悉默認配置的漏洞,能很方便地、從這里侵入系統。所以當系統安裝完畢后第一步就是要升級最新的補丁,然后更改系統的默認配置。要為用戶建立詳細的屬性和權限,方便確認用戶身份以及能訪問修改的資料。定期修改用戶密碼,這樣可以讓密碼破解的威脅降到最低。總之要利用好服務器自身系統的各種安全策略,就可以占用最小的資源,擋住大部分黑客。
(2).服務器的獨立
服務器最好能夠做到專用,確保其獨立性,盡量不要在一臺服務器上部署多個服務,提供多個應用。不過這樣會造成服務器的浪費,有一個不錯的方案是實施服務器的虛擬化,保證一臺物理服務器上多個服務的獨立。
(3).網絡拓撲安全
還有一點特別重要,從網絡拓撲上保證服務器的安全。盡量不要為重要的企業服務器提供公網IP,將其暴露在Internet中。如果必須要這么做,一定要做好軟硬件防護。比如在服務器的外圍部署硬件防火墻或者類似ISA的軟件防火墻,限制為授權的IP訪問等等。另外,內網中要實施網絡分段。網絡分段應該優先選擇物理級別的分段,從物理層和數據鏈路層上將局域網分為若干網段,這樣各網段相互之間無法進行直接通訊。應該所這樣比較容易實現,因為許多交換機都有一定的訪問控制能力,可實現對網絡的物理分段。此外,根據實際情況在某些節點上實施基于網絡層的邏輯分段。把網絡分成若干IP子網,各子網間必須通過路由器、路由交換機、網關或防火墻等設備進行連接,利用這些中間設備的安全機制來控制子網間的訪問。以上基于網絡拓撲級別的安全措施,能夠在很大程度上加強服務器的安全,將絕大多數的攻擊行為拒之門外。
2、搭建病毒防御平臺
除了服務器攻擊之外,病毒木馬也是局域網的大敵。由于局域網客戶端網絡節點眾多,這往往成了病毒木馬泛濫的溫床,因此搭建病毒防御平臺勢在必行。在企業局域網中部署什么樣的病毒監控平臺,應該有一定的考量標準。一般來說,查殺是否徹底細致,界面是否友好方便,能否集中管理是決定一個殺毒軟件好壞的關鍵。所以建議購買企業版殺毒軟件,并控制寫入服務器的客戶端,網管可以隨時殺毒,保證寫入數據和服務器的安全性。
同時,在網絡環境下,病毒傳播擴散快,僅用單機防病毒產品已經很難徹底清除網絡病毒,必須有適合于局域網的全方位防病毒產品。內部局域網,就需要一個基于服務器操作系統平臺的防病毒軟件和針對各種桌面操作系統的防病毒軟件。如果與互聯網相連,就需要網關的防病毒軟件,加強上網計算機的安全。如果在網絡內部使用電子郵件進行信息交換,還需要一套基于郵件服務器平臺的郵件防病毒軟件,識別出隱藏在電子郵件和附件中的病毒。所以最好使用全方位的防病毒產品,針對網絡中所有可能的病毒攻擊點設置對應的防病毒軟件,通過全方位、多層次的防病毒系統的配置,通過定期或不定期的自動升級,使網絡免受病毒的侵襲。 #p#
3、制定網絡安全檢測措施
做好局域網的安全,管理員有時候也要扮演攻擊者的角色對于局域網進行安全檢測。應該將其作為一種制度,并制定相應的網絡安全檢測措施予于貫徹執行。因為解決網絡層安全問題,首先要清楚網絡中存在哪些安全隱患、脆弱點。面對大型網絡的復雜性和不斷變化的情況,僅僅依靠網絡管理員的技術和經驗尋找安全漏洞、做出風險評估,顯然是不現實的。
建議大家掌握必要入侵檢測技術,能夠定期、主動地進行網絡安全檢測,這種檢測不僅包括外部檢測而且包括內部檢測。能夠掌握一種或者幾種能查找網絡安全漏洞、評估并提出修改建議的網絡安全掃描工具,利用優化系統配置和打補丁等各種方式最大可能地彌補最新的安全漏洞和消除安全隱患。在要求安全程度不高的情況下,可以利用各種黑客工具,對網絡模擬攻擊從而暴露出網絡的漏洞。
4、應對典型的局域網攻擊
在企業局域網中,諸如嗅探、IP盜用、DDOS攻擊、后門攻擊等有一定的典型性,網絡安全也要抓典型、抓重點,做好防范類似攻擊行為的措施。
以防范IP盜用為例,管理員可在路由器上捆綁IP和MAC地址,當某個口通過路由器訪問Intemet時,路由器要檢查發出這個IP廣播包的工作站的MAC是否與路由器上的MAC地址表相符,如果相符就放行。否則不允許通過路由器,同時經發現這個IP廣播包的工作站返回一個警告信息。再如防范來自內部的網絡攻擊,我們可采用對各個子網做一個具有一定功能的審計文件,為管理人員分析自己的網絡運作狀態提供依據。此外備份工作要做好,對于數據庫這樣的實時更新、動態變化的數據,要制定密集性的備份策略。這是我們在遭到網絡攻擊后,快速恢復的前提。
5、與用戶相關的安全措施
許多企業內發生的網絡安全危機,有多半來自員工本身沒有具備基本的網絡安全常識,導致黑客有機會侵入計算機,達到破壞的目的。因此有必要加強企業或個人的網絡保護知識,建立相應的安裝制度。比如,作為客戶端用戶要保護好自己的口令、密碼,嚴禁帳號,密碼外借,密碼設置過于簡單等。 安裝在線殺毒軟件,隨時監視病毒的侵入,保護硬盤及系統不受傷害,還要及時給病毒庫升級。在瀏覽WEB時不要輕易打開來歷不明的電子郵件,不要隨便借計算機給別人使用等。
總結:構建安全、穩定、高效的企業局域網是網絡管理者的職責所在,但具體的實施過程卻是非常復雜的。但有一點相信大家都有共識,被動防御是不會有出路,基于需求主動出擊才是正途。上面是筆者一點經驗,希望對你有所幫助。
【編輯推薦】
