IT貓撲網(wǎng):您身邊最放心的安全下載站! 最新更新|軟件分類|軟件專題|手機版|論壇轉貼|軟件發(fā)布

您當前所在位置: 首頁系統(tǒng)集成網(wǎng)絡管理 → 網(wǎng)管員需主動出擊構建企業(yè)安全局域網(wǎng)

網(wǎng)管員需主動出擊構建企業(yè)安全局域網(wǎng)

時間:2015-06-28 00:00:00 來源:IT貓撲網(wǎng) 作者:網(wǎng)管聯(lián)盟 我要評論(0)

  網(wǎng)絡何嘗不是戰(zhàn)場?特別是維護頗具規(guī)模的企業(yè)局域網(wǎng)的管理員們,這種感覺應該尤為明顯。來自內外的網(wǎng)絡攻擊,常常讓大家有腹背受敵、疲于應付的感覺。要擺脫這種被動挨打的局面,應該主動出擊、針鋒相對構建集防御與反擊為一體的企業(yè)局域網(wǎng)。

  1、加強服務器安全

  服務器是企業(yè)的數(shù)據(jù)重地,與企業(yè)的生產(chǎn)、業(yè)務等密切相關。通常情況下,企業(yè)中的服務器往往不止一臺甚至更多,它們是受到攻擊最多的網(wǎng)絡節(jié)點。因此,服務器的安全是我們首先要確保的。而服務器的安全應該的多層次的,主要包括以下幾個方面:

  (1).平臺安全

  首先要保證服務器系統(tǒng)平臺的安全。在配置服務器時,盡量避免使用系統(tǒng)的默認配置,這些默認配置是為了方便普通用戶使用的,但是很多黑客都熟悉默認配置的漏洞,能很方便地、從這里侵入系統(tǒng)。所以當系統(tǒng)安裝完畢后第一步就是要升級最新的補丁,然后更改系統(tǒng)的默認配置。要為用戶建立詳細的屬性和權限,方便確認用戶身份以及能訪問修改的資料。定期修改用戶密碼,這樣可以讓密碼破解的威脅降到最低。總之要利用好服務器自身系統(tǒng)的各種安全策略,就可以占用最小的資源,擋住大部分黑客。

  (2).服務器的獨立

  服務器最好能夠做到專用,確保其獨立性,盡量不要在一臺服務器上部署多個服務,提供多個應用。不過這樣會造成服務器的浪費,有一個不錯的方案是實施服務器的虛擬化,保證一臺物理服務器上多個服務的獨立。

  (3).網(wǎng)絡拓撲安全

  還有一點特別重要,從網(wǎng)絡拓撲上保證服務器的安全。盡量不要為重要的企業(yè)服務器提供公網(wǎng)IP,將其暴露在Internet中。如果必須要這么做,一定要做好軟硬件防護。比如在服務器的外圍部署硬件防火墻或者類似ISA的軟件防火墻,限制為授權的IP訪問等等。另外,內網(wǎng)中要實施網(wǎng)絡分段。網(wǎng)絡分段應該優(yōu)先選擇物理級別的分段,從物理層和數(shù)據(jù)鏈路層上將局域網(wǎng)分為若干網(wǎng)段,這樣各網(wǎng)段相互之間無法進行直接通訊。應該所這樣比較容易實現(xiàn),因為許多交換機都有一定的訪問控制能力,可實現(xiàn)對網(wǎng)絡的物理分段。此外,根據(jù)實際情況在某些節(jié)點上實施基于網(wǎng)絡層的邏輯分段。把網(wǎng)絡分成若干IP子網(wǎng),各子網(wǎng)間必須通過路由器、路由交換機、網(wǎng)關或防火墻等設備進行連接,利用這些中間設備的安全機制來控制子網(wǎng)間的訪問。以上基于網(wǎng)絡拓撲級別的安全措施,能夠在很大程度上加強服務器的安全,將絕大多數(shù)的攻擊行為拒之門外。

  2、搭建病毒防御平臺

  除了服務器攻擊之外,病毒木馬也是局域網(wǎng)的大敵。由于局域網(wǎng)客戶端網(wǎng)絡節(jié)點眾多,這往往成了病毒木馬泛濫的溫床,因此搭建病毒防御平臺勢在必行。在企業(yè)局域網(wǎng)中部署什么樣的病毒監(jiān)控平臺,應該有一定的考量標準。一般來說,查殺是否徹底細致,界面是否友好方便,能否集中管理是決定一個殺毒軟件好壞的關鍵。所以建議購買企業(yè)版殺毒軟件,并控制寫入服務器的客戶端,網(wǎng)管可以隨時殺毒,保證寫入數(shù)據(jù)和服務器的安全性。

  同時,在網(wǎng)絡環(huán)境下,病毒傳播擴散快,僅用單機防病毒產(chǎn)品已經(jīng)很難徹底清除網(wǎng)絡病毒,必須有適合于局域網(wǎng)的全方位防病毒產(chǎn)品。內部局域網(wǎng),就需要一個基于服務器操作系統(tǒng)平臺的防病毒軟件和針對各種桌面操作系統(tǒng)的防病毒軟件。如果與互聯(lián)網(wǎng)相連,就需要網(wǎng)關的防病毒軟件,加強上網(wǎng)計算機的安全。如果在網(wǎng)絡內部使用電子郵件進行信息交換,還需要一套基于郵件服務器平臺的郵件防病毒軟件,識別出隱藏在電子郵件和附件中的病毒。所以最好使用全方位的防病毒產(chǎn)品,針對網(wǎng)絡中所有可能的病毒攻擊點設置對應的防病毒軟件,通過全方位、多層次的防病毒系統(tǒng)的配置,通過定期或不定期的自動升級,使網(wǎng)絡免受病毒的侵襲。

  3、制定網(wǎng)絡安全檢測措施

  做好局域網(wǎng)的安全,管理員有時候也要扮演攻擊者的角色對于局域網(wǎng)進行安全檢測。應該將其作為一種制度,并制定相應的網(wǎng)絡安全檢測措施予于貫徹執(zhí)行。因為解決網(wǎng)絡層安全問題,首先要清楚網(wǎng)絡中存在哪些安全隱患、脆弱點。面對大型網(wǎng)絡的復雜性和不斷變化的情況,僅僅依靠網(wǎng)絡管理員的技術和經(jīng)驗尋找安全漏洞、做出風險評估,顯然是不現(xiàn)實的。

  建議大家掌握必要入侵檢測技術,能夠定期、主動地進行網(wǎng)絡安全檢測,這種檢測不僅包括外部檢測而且包括內部檢測。能夠掌握一種或者幾種能查找網(wǎng)絡安全漏洞、評估并提出修改建議的網(wǎng)絡安全掃描工具,利用優(yōu)化系統(tǒng)配置和打補丁等各種方式最大可能地彌補最新的安全漏洞和消除安全隱患。在要求安全程度不高的情況下,可以利用各種黑客工具,對網(wǎng)絡模擬攻擊從而暴露出網(wǎng)絡的漏洞。

  4、應對典型的局域網(wǎng)攻擊

  在企業(yè)局域網(wǎng)中,諸如嗅探、IP盜用、DDOS攻擊、后門攻擊等有一定的典型性,網(wǎng)絡安全也要抓典型、抓重點,做好防范類似攻擊行為的措施。

  以防范IP盜用為例,管理員可在路由器上捆綁IP和MAC地址,當某個口通過路由器訪問Intemet時,路由器要檢查發(fā)出這個IP廣播包的工作站的MAC是否與路由器上的MAC地址表相符,如果相符就放行。否則不允許通過路由器,同時經(jīng)發(fā)現(xiàn)這個IP廣播包的工作站返回一個警告信息。再如防范來自內部的網(wǎng)絡攻擊,我們可采用對各個子網(wǎng)做一個具有一定功能的審計文件,為管理人員分析自己的網(wǎng)絡運作狀態(tài)提供依據(jù)。此外備份工作要做好,對于數(shù)據(jù)庫這樣的實時更新、動態(tài)變化的數(shù)據(jù),要制定密集性的備份策略。這是我們在遭到網(wǎng)絡攻擊后,快速恢復的前提。

  5、與用戶相關的安全措施

  許多企業(yè)內發(fā)生的網(wǎng)絡安全危機,有多半來自員工本身沒有具備基本的網(wǎng)絡安全常識,導致黑客有機會侵入計算機,達到破壞的目的。因此有必要加強企業(yè)或個人的網(wǎng)絡保護知識,建立相應的安裝制度。比如,作為客戶端用戶要保護好自己的口令、密碼,嚴禁帳號,密碼外借,密碼設置過于簡單等。 安裝在線殺毒軟件,隨時監(jiān)視病毒的侵入,保護硬盤及系統(tǒng)不受傷害,還要及時給病毒庫升級。在瀏覽WEB時不要輕易打開來歷不明的電子郵件,不要隨便借計算機給別人使用等。

  總結:構建安全、穩(wěn)定、高效的企業(yè)局域網(wǎng)是網(wǎng)絡管理者的職責所在,但具體的實施過程卻是非常復雜的。但有一點相信大家都有共識,被動防御是不會有出路,基于需求主動出擊才是正途。上面是筆者一點經(jīng)驗,希望對你有所幫助。

關鍵詞標簽:網(wǎng)管員,構建企業(yè)安全局

相關閱讀

文章評論
發(fā)表評論

熱門文章 路由器地址大全-各品牌路由設置地址 路由器地址大全-各品牌路由設置地址 各品牌的ADSL與路由器出廠默認IP、帳號、密碼 各品牌的ADSL與路由器出廠默認IP、帳號、密碼 Nslookup命令詳解-域名DNS診斷 Nslookup命令詳解-域名DNS診斷 站長裝備:十大網(wǎng)站管理員服務器工具軟件 站長裝備:十大網(wǎng)站管理員服務器工具軟件

相關下載

    人氣排行 各品牌的ADSL與路由器出廠默認IP、帳號、密碼 路由器地址大全-各品牌路由設置地址 騰達路由器怎么設置?騰達路由器設置教程 ADSL雙線負載均衡設置詳細圖文教程 路由表說明(詳解route print) Nslookup命令詳解-域名DNS診斷 網(wǎng)管員實際工作的一天 網(wǎng)管必會!了解交換機控制端口流量