細節決定安全 杜絕網絡設備“默認”設置
現在,對于企業來說,搭建一個網絡不是什么問題,用雙絞線、交換機和路由器將企業的PC連接起來,企業網絡的搭建僅僅是完成了。網絡搭建好了之后,管理就成為了關鍵。很多廠商經常說的一句話就是就是“企業網絡三分技術七分管理”。說明網絡的管理是一個優質網絡最重要的方面。
"默認"已成企業網絡安全隱患
網絡安全是網絡管理最重要的目的,一個企業的網絡安全受到威脅或者是遭到病毒的攻擊,帶來的損失是不可以估量的。企業網絡的網絡設置,包括PC電腦的IP地址及子網掩碼網絡信息的設備,路由器及交換機的網絡信息配置。誠然,一些企業網絡完成網絡設備的搭建后就可以工作,因為交換機、路由器都有默認狀態,只要兩者的默認網絡配置想匹配就可以工作。每位網管都會有這樣一個習慣,在搭建企業網絡時,會讓路由器及交換機等網絡設備工作在"默認"的狀態之下。所謂的"默認"狀態,指的是路由器的管理IP、管理帳號和管理密碼等網絡配置信息。
但是就是這個“默認”設置就成了網絡安全的最大危害。些"默認"網絡設置,給攻擊者和病毒提供了一個最佳的入侵通道。
每位網管都非常清楚,路由器、交換機的這些"默認"配置信息,在Google、百度等搜索利器的幫助下,稍微具有一點互聯網知識的人都可以查找到相關的"默認"信息,這無疑給黑客或病毒大開方便之門。苛刻的說,工作在"默認"狀態下的網絡,是一個沒有任何安全措施的網絡,企業網絡也盡在黑客及攻擊者的掌控之中。
除了登陸管理界面的用戶名密碼是默認的,這些信息可以在網上查找到之外,路由器的防火墻或者ACL表也是默認的,有的家用路由器防火墻功能默認設置也是關閉的。就算是企業網絡,我們熟悉的思科或華為產品,很多安全過濾規則都是默認的,ACL表對過濾的信息默認的,如果網管不對這些默認設置進行更改,那樣很多不安全的數據包就會一樣的被轉發,而沒有截停。
其實,在企業網絡中,除了路由器、交換機工作在"默認"狀態下外,企業網絡中的計算機的"默認"狀態也不容忽視,這也是危及企業網絡安全的一個不利因素。在沒有搭建企業網絡之前,企業網管對于操作系統的安全并沒有引起足夠的重視,操作系統也工作在"默認"狀態下,默認的用戶名,默認的密碼。如同網絡設備的"默認"狀態一下,計算機的各種"默認"設置對于企業網絡也是一種安全威脅。
從路由器、交換機等網絡設備,到計算機的操作系統都工作在"默認"的狀態之下,其安全隱患也得到公認。正因于此,在組建網絡時,必須讓"默認"遠離 網絡。
更改"默認"設置保證網絡安全
讓企業網絡遠離網絡設備及操作系統的"默認", 看起來很簡單,將路由器的默認管理IP更改一下,其默認的管理IP地址是192.168.1.1,要想路由器遠離默認設置,將其管理IP改成192.168.1.X(X從2到254)。其實這個還不夠,IP的更改之后,新的IP很快會被黑客發現,因此,要讓黑客真正的退步,就需要更改用戶名和密碼。
網管在更改網絡設備及計算機操作系統的各項"默認"設置時,還需要遵循如下的規則:
1、重新規劃。諸如路由器、交換機的管理IP地址,在更改時一定要擺脫"默認"的影子,必須重新規劃,盡量遠離默認值。正如上文所敘述,TP-Link企業路由器默認的管理IP地址是192.168.1.1,企業網管可以重新規劃,將其管理IP地址更改為192.168.143.254,這樣可以大大提高企業網絡的安全性能。
除了路由器的管理IP之外,路由器的帳號和密碼管理也需要重新規劃。默認狀態下,路由器的管理帳號和密碼都是admin,網管可以根據自己的實際需要,將其管理帳號和密碼設置為自己重新規劃的配置。
2、根據需求而變:在組建企業網絡之后,企業計算機的應用環境發生了改變。這種情況之下,單機應用環境中的"默認"值仍然會危及企業網絡的安全,這就需要企業網管人員根據企業網絡的實際需求,重新對計算機的使用環境進行設置。
如果更換了網絡設備, 如果廠商不同最好事先查閱一下用戶手冊(特別注意默認設置),往往默認設置會造成很多不明不白的故障。發現問題以后也不要輕易懷疑設備硬件有問題,應該多從軟件及配置命令入手查找問題所在。一個小小的默認設置就將精心打造的防病毒體系完全突破,所以對于我們這些網絡管理員來說每次設置后都應該仔細測試下網絡狀況,確保所實施的手段得以生效。
在習慣的驅使之下,很多網管在搭建企業網絡的時候,一味以能用為原則,將交換機、路由器等網絡設備及計算機工作在"默認"的配置之下,讓企業網絡面臨著諸多的兇險。企業對安全有著極為苛刻的要求,要想保障企業網絡的安全運營,在搭建網絡中一定要遠離各種"默認"!
【編輯推薦】
