解析網絡安全設計中的常見錯誤(2)
網絡安全設計常見錯誤—使用自簽名證書
由于一些企業完全忽視了SSL加密的重要性,因此微軟開始在它的一些產品中加入了自簽名的證書。這樣用戶在瀏覽網頁時,就算企業的網站沒有要求獲得證書情況下,也可以使用SSL加密。
雖然自簽名證書要比沒有證書強,但它并不能作為一個來自受信的證書頒發機構所頒發的證書的替代品。自簽名證書的主要作用其實只是用來激活軟件的安全功能,直到管理員采取了相應的安全措施。雖然自簽名證書可以實現SSL加密,但是用戶會收到瀏覽器的警告信息,提示用戶系統并不信任此類證書。另外,一些基于SSL的web服務(比如ActiveSync),由于信任關系,并不完全兼容自簽名證書。
網絡安全設計常見錯誤—過多的安全記錄
雖然記錄各種網絡事件很重要,但是避免記錄內容過于冗長也是很重要的。太長的日志會讓管理員很難從中發現重要的安全事件。因此,與其將所有系統事件都記錄下來,還不如將重點放在那些真正重要的事件上。
網絡安全設計常見錯誤—隨機分組虛擬服務器
虛擬服務器一般會根據其性能在主機上進行分組。比如在一臺服務器上搭建了一個對性能要求較高的虛擬服務器應用后,與之搭配幾個對系統性能要求較低的虛擬服務器,可以實現資源的合理化應用。從資源利用的角度上說,這么做非常正確,但是從安全性的角度看,就不見得了。
從安全的角度,我建議在一臺獨立的服務器上放置針對互聯網應用的虛擬服務器。換句話說,如果你需要搭建三個針對互聯網用戶的虛擬服務器,你可以考慮將這三個 虛擬服務器分為一組,放置在同一臺主機上,但是不要將架構類服務器(如域控制器)放在同一臺主機上。
之所以這樣建議,是針對虛擬服務器上的溢出攻擊。所謂溢出攻擊,是指黑客從一個虛擬服務器中溢出,進而控制主機的攻擊。雖然就我所知,目前現實生活中還沒有真正出現過此類攻擊,但是我肯定這是遲早的事。一旦那一天到來,同一臺主機上如果還安裝了其它重要的虛擬服務器,那么對整個企業網絡來說,將是一個災難,對于網絡管理員來說,解除威脅也將變得更困難。
網絡安全設計常見錯誤—將成員服務器置于DMZ
能避免的話,就盡量不要將任何成員服務器置于DMZ中。否則,一旦被入侵,這臺成員服務器將可能泄露出很多有關活動目錄的信息。
網絡安全設計常見錯誤—升級補丁需要用戶自己安裝
最近我見到很多公司網絡中的電腦都依賴于Windows的自動更新服務進行自動打補丁。不幸的是,這類設計需要用戶自己點擊鼠標來進行補丁安裝確認,而很多用戶都知道,安裝完補丁后系統會重新啟動。為了避免這種麻煩,很多用戶選擇了停止自動更新。因此,與其將安裝補丁的權利交給用戶,不如通過某種補丁管理解決方案,自動將系統補丁分發到每臺電腦上,繞過用戶的任何操作。
網絡安全設計中的常見錯誤就為大家介紹完了,希望大家結合以前的文章一起來了解網絡安全的相關問題。
【編輯推薦】
