安全十一式:當網(wǎng)管幾年的經(jīng)驗總結(jié)

2019-11-04 20:31:28

字體：大中小

供稿：網(wǎng)友

　　現(xiàn)在仍然有很多人這么認為，只要網(wǎng)絡(luò)中使用了一層安全就夠了，事實并不是這樣，一層根本擋不住病毒和黑客的侵襲。接下來我將逐點介紹網(wǎng)絡(luò)安全的多點做法。
　　
　　第一：物理安全
　　
　　除了要保證要有電腦鎖之外，我們更多的要注重防火，要將電線和網(wǎng)絡(luò)放在比較隱蔽的地方。我們還要預(yù)備UPS，以確保網(wǎng)絡(luò)能夠以持續(xù)的電壓運行，在電子學(xué)中，峰值電壓是一個非常重要的概念，峰值電壓高的時候可以燒壞電器，迫使網(wǎng)絡(luò)癱瘓，峰值電壓最小的時候，網(wǎng)絡(luò)根本不能運行。使用UPS可以排除這些意外。另外我們要做好防老鼠咬壞網(wǎng)線。
　　
　　第二：系統(tǒng)安全（口令安全）
　　
　　我們要盡量使用大小寫字母和數(shù)字以及非凡符號混合的密碼，但是自己要記住，我也見過很多這樣的網(wǎng)管，他的密碼設(shè)置的的確是復(fù)雜也安全，但是經(jīng)常自己都記不來，每次都要翻看筆記本。另外我們最好不要使用空口令或者是帶有空格的，這樣很輕易被一些黑客識破。
　　
　　我們也可以在屏保、重要的應(yīng)用程序上添加密碼，以確保雙重安全。
　　
　　第三：打補丁
　　我們要及時的對系統(tǒng)補丁進行更新，大多數(shù)病毒和黑客都是通過系統(tǒng)漏洞進來的，例如今年五一風(fēng)靡全球臭名昭著的振蕩波就是利用了微軟的漏洞ms04-011進來的。還有一直殺不掉的SQLSERVER上的病毒slammer也是通過SQL的漏洞進來的。所以我們要及時對系統(tǒng)和應(yīng)用程序打上最新的補丁，例如IE、Outlook、SQL、Office等應(yīng)用程序。
　　
　　另外我們要把那些不需要的服務(wù)關(guān)閉，例如TELNET，還有關(guān)閉Guset帳號等。
　　
　　第四：安裝防病毒軟件
　　
　　病毒掃描就是對機器中的所有文件和郵件內(nèi)容以及帶有.exe的可執(zhí)行文件進行掃描，掃描的結(jié)果包括清除病毒，刪除被感染文件，或?qū)⒈桓腥疚募筒《痉旁谝慌_隔離文件夾里面。所以我們要對全網(wǎng)的機器從網(wǎng)站服務(wù)器到郵件服務(wù)器到文件服務(wù)器知道客戶機都要安裝殺毒軟件，并保持最新的病毒定義碼。我們知道病毒一旦進入電腦，他會瘋狂的自我復(fù)制，遍布全網(wǎng)，造成的危害巨大，甚至可以使得系統(tǒng)崩潰，丟失所有的重要資料。所以我們要至少每周一次對全網(wǎng)的電腦進行集中殺毒，并定期的清除隔離病毒的文件夾。
　　
　　現(xiàn)在有很多防火墻等網(wǎng)關(guān)產(chǎn)品都帶有反病毒功能，例如netscreen總裁謝青旗下的美國飛塔Fortigate防火墻就是，她具有防病毒的功能。
　　
　　第五：應(yīng)用程序
　　
　　我們都知道病毒有超過一半都是通過電子郵件進來的，所以除了在郵件服務(wù)器上安裝防病毒軟件之外，還要對PC機上的outlook防護，我們要提高警惕性，當收到那些無標題的郵件，或是你不熟悉的人發(fā)過來的，或是全是英語例如什么happy99，money，然后又帶有一個附件的郵件，建議您最好直接刪除，不要去點擊附件，因為百分之九十以上是病毒。我前段時間就在一個政府部門碰到這樣的情況，他們單位有三個人一直收到郵件，一個小時竟然奇跡般的收到了2000多封郵件，致使最后郵箱爆破，起初他們懷疑是黑客進入了他們的網(wǎng)絡(luò)，最后當問到這幾個人他們都說收到了一封郵件，一個附件，當去打開附件的時候，便不斷的收到郵件了，直至最后郵箱撐破。最后查出還是病毒惹的禍。
　　
　　除了不去查看這些郵件之外，我們還要利用一下outlook中帶有的黑名單功能和郵件過慮的功能。
　　
　　很多黑客都是通過你訪問網(wǎng)頁的時候進來的，你是否經(jīng)常碰到這種情況，當你打開一個網(wǎng)頁的時候，會不斷的跳出非常多窗口，你關(guān)都關(guān)不掉，這就是黑客已經(jīng)進入了你的電腦，并試圖控制你的電腦。
　　
　　所以我們要將IE的安全性調(diào)高一點，經(jīng)常刪除一些cookies和脫機文件，還有就是禁用那些Active X的控件。
　　
　　第六：代理服務(wù)器
　　
　　代理服務(wù)器最先被利用的目的是可以加速訪問我們經(jīng)常看的網(wǎng)站，因為代理服務(wù)器都有緩沖的功能，在這里可以保留一些網(wǎng)站與ip地址的對應(yīng)關(guān)系。
　　
　　要想了解代理服務(wù)器，首先要了解它的工作原理：
　　
　　環(huán)境：局域網(wǎng)里面有一臺機器裝有雙網(wǎng)卡，充當代理服務(wù)器，其余電腦通過它來訪問網(wǎng)絡(luò)。
　　
　　1、內(nèi)網(wǎng)一臺機器要訪問新浪，于是將請求發(fā)送給代理服務(wù)器。
　　
　　2、代理服務(wù)器對發(fā)來的請求進行檢查，包括題頭和內(nèi)容，然后去掉不必要的或違反約定的內(nèi)容。
　　
　　3、代理服務(wù)器重新整合數(shù)據(jù)包，然后將請求發(fā)送給下一級網(wǎng)關(guān)。
　　
　　4、新浪網(wǎng)回復(fù)請求，找到對應(yīng)的IP地址。
　　
　　5、代理服務(wù)器依然檢查題頭和內(nèi)容是否合法，去掉不適當?shù)膬?nèi)容。
　　
　　6、重新整合請求，然后將結(jié)果發(fā)送給內(nèi)網(wǎng)的那臺機器。
　　
　　由此可以看出，代理服務(wù)器的優(yōu)點是可以隱藏內(nèi)網(wǎng)的機器，這樣可以防止黑客的直接攻擊，另外可以節(jié)省公網(wǎng)IP。缺點就是每次都要經(jīng)由服務(wù)器，這樣訪問速度會變慢。另外當代理服務(wù)器被攻擊或者是損壞的時候，其余電腦將不能訪問網(wǎng)絡(luò)。
　　
　　第七：防火墻
　　
　　提到防火墻，顧名思義，就是防火的一道墻。防火墻的最根本工作原理就是數(shù)據(jù)包過濾。實際上在數(shù)據(jù)包過濾的提出之前，都已經(jīng)出現(xiàn)了防火墻。
　　
　　數(shù)據(jù)包過濾，就是通過查看題頭的數(shù)據(jù)包是否含有非法的數(shù)據(jù)，我們將此屏蔽。
　　
　　舉個簡單的例子，假如體育中心有一場劉德華演唱會，檢票員坐鎮(zhèn)門口，他首先檢查你的票是否對應(yīng)，是否今天的，然后撕下右邊的一條，將剩余的給你，然后告訴你演唱會現(xiàn)場在哪里，告訴你怎么走。這個基本上就是數(shù)據(jù)包過濾的工作流程吧。
　　
　　你也許經(jīng)常聽到你們老板說：要增加一臺機器它可以禁止我們不想要的網(wǎng)站，可以禁止一些郵件它經(jīng)常給我們發(fā)送垃圾郵件和病毒等，但是沒有一個老板會說：要增加一臺機器它可以禁止我們不愿意訪問的數(shù)據(jù)包。實際意思就是這樣。接下來我們推薦幾個常用的數(shù)據(jù)包過濾工具。
　　
　　最常見的數(shù)據(jù)包過濾工具是路由器。
　　
　　另外系統(tǒng)中帶有數(shù)據(jù)包過濾工具，例如linux TCP/IP中帶有的ipchain等
　　
　　windows 2000帶有的TCP/IP Filtering篩選器等，通過這些我們就可以過濾掉我們不想要的數(shù)據(jù)包。
　　
　　防火墻也許是使用最多的數(shù)據(jù)包過濾工具了，現(xiàn)在的軟件防火墻和硬件防火墻都有數(shù)據(jù)包過濾的功能。接下來我們會重點介紹防火墻的。
　　
　　防火墻通過一下方面來加強網(wǎng)絡(luò)的安全：
　　
　　1、策略的設(shè)置
　　
　　策略的設(shè)置包括答應(yīng)與禁止。答應(yīng)例如答應(yīng)我們的客戶機收發(fā)電子郵件，答應(yīng)他們訪問一些必要的網(wǎng)站等。例如防火墻經(jīng)常這么設(shè)置，答應(yīng)內(nèi)網(wǎng)的機器訪問網(wǎng)站、收發(fā)電子郵件、從FTP下載資料等。這樣我們就要打開80、25、110、21端口，開HTTP、SMTP、POP3、FTP等。
　　
　　禁止就是禁止我們的客戶機去訪問哪些服務(wù)。例如我們禁止郵件客戶來訪問網(wǎng)站，于是我們就給他打開25、110，關(guān)閉80。
　　
　　2、NAT
　　
　　NAT，即網(wǎng)絡(luò)地址轉(zhuǎn)換，當我們內(nèi)網(wǎng)的機器在沒有公網(wǎng)IP地址的情況下要訪問網(wǎng)站，這就要用到NAT。工作過程就是這樣，內(nèi)網(wǎng)一臺機器192.168.0.10要訪問新浪，當?shù)竭_防火墻時，防火墻給它轉(zhuǎn)變成一個公網(wǎng)IP地址出去。一般我們?yōu)槊總€工作站分配一個公網(wǎng)IP地址。
　　
　　防火墻中要用到以上提到的數(shù)據(jù)包過濾和代理服務(wù)器，兩者各有優(yōu)缺點，數(shù)據(jù)包過濾僅僅檢查題頭的內(nèi)容，而代理服務(wù)器除了檢查標題之外還要檢查內(nèi)容。當數(shù)據(jù)包過濾工具癱瘓的時候，數(shù)據(jù)包就都會進入內(nèi)網(wǎng)，而當代理服務(wù)器癱瘓的時候內(nèi)網(wǎng)的機器將不能訪問網(wǎng)絡(luò)。
　　
　　另外，防火墻還提供了加密、身份驗證等功能。還可以提供對外部用戶VPN的功能。
　　
　　第八、DMZ
　　
　　DMZ本來是朝鮮的南北大戰(zhàn)的時候，提出的停火帶。但是在我們網(wǎng)絡(luò)安全里面，DMZ來放置例如網(wǎng)站服務(wù)器、郵件服務(wù)器、DNS服務(wù)器、FTP服務(wù)器等。
　　
　　我們可以通過DMZ出去，這樣就為黑客進來提供了通道，所以我們有必要添加第二臺防火墻，來加強我們的網(wǎng)絡(luò)安全。
　　
　　這樣帶來的麻煩就是從網(wǎng)上下載，首先要來驗證安全性，下載的時候要等一會。
　　
　　第九：IDS
　　
　　我們使用了防火墻和防病毒之后，使用IDS來預(yù)防黑客攻擊。
　　
　　IDS，就是分析攻擊事件以及攻擊的目標與攻擊源，我們利用這些可以來抵御攻擊，以將損壞降低到最低限度。
　　
　　目前IDS還沒有象防火墻那樣用的普遍，但是這個也將是未來幾年的趨勢，現(xiàn)在一些政府已經(jīng)開始使用。
　　
　　國內(nèi)聞名的IDS廠家例如金諾網(wǎng)安、中聯(lián)綠盟、啟明星辰。
　　
　　第十：VPN
　　
　　以前我們都是通過電話和郵件來和外地的分公司聯(lián)系。分公司從總公司找一些文件都是通過撥號上網(wǎng)，即使用點對點協(xié)議，這樣安全，但是花費很高。VPN可以解決這一點。
　　
　　第十一：分析時間日志與記錄
　　
　　我們要經(jīng)常的來查看防火墻日志、入侵檢測的日志以及查看防病毒軟件的更新組件是否最新等。

上一篇：經(jīng)典故事:網(wǎng)絡(luò)醫(yī)院的故事（一）

下一篇：綜合網(wǎng)管整合資源新思路