網(wǎng)絡(luò)管理十二招經(jīng)驗(yàn)談：物理安全前行

申請(qǐng)免費(fèi)試用、咨詢電話：400-8352-114

網(wǎng)絡(luò)管理十二招經(jīng)驗(yàn)談1

第一、物理安全

除了要保證要有電腦鎖之外，我們更多的要注意防火，要將電線和網(wǎng)絡(luò)放在比較隱蔽的地方。我們還要準(zhǔn)備UPS，以確保網(wǎng)絡(luò)能夠以持續(xù)的電壓運(yùn)行，在電子學(xué)中，峰值電壓是一個(gè)非常重要的概念，峰值電壓高的時(shí)候可以燒壞電器，迫使網(wǎng)絡(luò)癱瘓，峰值電壓最小的時(shí)候，網(wǎng)絡(luò)根本不能運(yùn)行。使用UPS可以排除這些意外。另外我們要做好防老鼠咬壞網(wǎng)線。

第二、系統(tǒng)安全（口令安全）

我們要盡量使用大小寫(xiě)字母和數(shù)字以及特殊符號(hào)混合的密碼，但是自己要記住，我也見(jiàn)過(guò)很多這樣的網(wǎng)管，他的密碼設(shè)置的的確是復(fù)雜也安全，但是經(jīng)常自己都記不來(lái)，每次都要翻看筆記本。另外我們最好不要使用空口令或者是帶有空格的，這樣很容易被一些黑客識(shí)破。

我們也可以在屏保、重要的應(yīng)用程序上添加密碼，以確保雙重安全。

第三、打補(bǔ)丁

我們要及時(shí)的對(duì)系統(tǒng)補(bǔ)丁進(jìn)行更新，大多數(shù)病毒和黑客都是通過(guò)系統(tǒng)漏洞進(jìn)來(lái)的，例如今年五一風(fēng)靡全球臭名昭著的振蕩波就是利用了微軟的漏洞 ms04-011進(jìn)來(lái)的。還有一直殺不掉的SQLSERVER上的病毒slammer也是通過(guò)SQL的漏洞進(jìn)來(lái)的。所以我們要及時(shí)對(duì)系統(tǒng)和應(yīng)用程序打上最新的補(bǔ)丁，例如IE、OUTLOOK、SQL、OFFICE等應(yīng)用程序。

另外我們要把那些不需要的服務(wù)關(guān)閉，例如TELNET，還有關(guān)閉Guset帳號(hào)等。

第四、安裝防病毒軟件

病毒掃描就是對(duì)機(jī)器中的所有文件和郵件內(nèi)容以及帶有。exe的可執(zhí)行文件進(jìn)行掃描，掃描的結(jié)果包括清除病毒，刪除被感染文件，或?qū)⒈桓腥疚募筒《痉旁谝慌_(tái)隔離文件夾里面。所以我們要對(duì)全網(wǎng)的機(jī)器從網(wǎng)站服務(wù)器到郵件服務(wù)器到文件服務(wù)器知道客戶機(jī)都要安裝殺毒軟件，并保持最新的病毒定義碼。我們知道病毒一旦進(jìn)入電腦，他會(huì)瘋狂的自我復(fù)制，遍布全網(wǎng)，造成的危害巨大，甚至可以使得系統(tǒng)崩潰，丟失所有的重要資料。所以我們要至少每周一次對(duì)全網(wǎng)的電腦進(jìn)行集中殺毒，并定期的清除隔離病毒的文件夾。

第五、應(yīng)用程序

我們都知道病毒有超過(guò)一半都是通過(guò)電子郵件進(jìn)來(lái)的，所以除了在郵件服務(wù)器上安裝防病毒軟件之外，還要對(duì)PC機(jī)上的outlook防護(hù)，我們要提高警惕性，當(dāng)收到那些無(wú)標(biāo)題的郵件，或是你不認(rèn)識(shí)的人發(fā)過(guò)來(lái)的，或是全是英語(yǔ)例如什么happy99，money，然后又帶有一個(gè)附件的郵件，建議您最好直接刪除，不要去點(diǎn)擊附件，因?yàn)榘俜种攀陨鲜遣《?。我前段時(shí)間就在一個(gè)政府部門(mén)碰到這樣的情況，他們單位有三個(gè)人一直收到郵件，一個(gè)小時(shí)竟然奇跡般的收到了2000多封郵件，致使最后郵箱爆破，起初他們懷疑是黑客進(jìn)入了他們的網(wǎng)絡(luò)，最后當(dāng)問(wèn)到這幾個(gè)人他們都說(shuō)收到了一封郵件，一個(gè)附件，當(dāng)去打開(kāi)附件的時(shí)候，便不斷的收到郵件了，直至最后郵箱撐破。最后查出還是病毒惹的禍。

除了不去查看這些郵件之外，我們還要利用一下outlook中帶有的黑名單功能和郵件過(guò)慮的功能。

很多黑客都是通過(guò)你訪問(wèn)網(wǎng)頁(yè)的時(shí)候進(jìn)來(lái)的，你是否經(jīng)常碰到這種情況，當(dāng)你打開(kāi)一個(gè)網(wǎng)頁(yè)的時(shí)候，會(huì)不斷的跳出非常多窗口，你關(guān)都關(guān)不掉，這就是黑客已經(jīng)進(jìn)入了你的電腦，并試圖控制你的電腦。

所以我們要將IE的安全性調(diào)高一點(diǎn)，經(jīng)常刪除一些cookies和脫機(jī)文件，還有就是禁用那些ActiveX的控件。

第六、代理服務(wù)器

代理服務(wù)器最先被利用的目的是可以加速訪問(wèn)我們經(jīng)?？吹木W(wǎng)站，因?yàn)榇矸?wù)器都有緩沖的功能，在這里可以保留一些網(wǎng)站與IP地址的對(duì)應(yīng)關(guān)系。

要想了解代理服務(wù)器，首先要了解它的工作原理：

環(huán)境：局域網(wǎng)里面有一臺(tái)機(jī)器裝有雙網(wǎng)卡，充當(dāng)代理服務(wù)器，其余電腦通過(guò)它來(lái)訪問(wèn)網(wǎng)絡(luò)。

1、內(nèi)網(wǎng)一臺(tái)機(jī)器要訪問(wèn)新浪，于是將請(qǐng)求發(fā)送給代理服務(wù)器。

2、代理服務(wù)器對(duì)發(fā)來(lái)的請(qǐng)求進(jìn)行檢查，包括題頭和內(nèi)容，然后去掉不必要的或違反約定的內(nèi)容。

3、代理服務(wù)器重新整合數(shù)據(jù)包，然后將請(qǐng)求發(fā)送給下一級(jí)網(wǎng)關(guān)。

4、新浪網(wǎng)回復(fù)請(qǐng)求，找到對(duì)應(yīng)的IP地址。

5、代理服務(wù)器依然檢查題頭和內(nèi)容是否合法，去掉不適當(dāng)?shù)膬?nèi)容。

6、重新整合請(qǐng)求，然后將結(jié)果發(fā)送給內(nèi)網(wǎng)的那臺(tái)機(jī)器。

由此可以看出，代理服務(wù)器的優(yōu)點(diǎn)是可以隱藏內(nèi)網(wǎng)的機(jī)器，這樣可以防止黑客的直接攻擊，另外可以節(jié)省公網(wǎng)IP。缺點(diǎn)就是每次都要經(jīng)由服務(wù)器，這樣訪問(wèn)速度會(huì)變慢。另外當(dāng)代理服務(wù)器被攻擊或者是損壞的時(shí)候，其余電腦將不能訪問(wèn)網(wǎng)絡(luò)。

第七、防火墻

提到防火墻，顧名思義，就是防火的一道墻。防火墻的最根本工作原理就是數(shù)據(jù)包過(guò)濾。實(shí)際上在數(shù)據(jù)包過(guò)濾的提出之前，都已經(jīng)出現(xiàn)了防火墻。

數(shù)據(jù)包過(guò)濾，就是通過(guò)查看題頭的數(shù)據(jù)包是否含有非法的數(shù)據(jù)，我們將此屏蔽。

舉個(gè)簡(jiǎn)單的例子，假如體育中心有一場(chǎng)劉德華演唱會(huì)，檢票員坐鎮(zhèn)門(mén)口，他首先檢查你的票是否對(duì)應(yīng)，是否今天的，然后撕下右邊的一條，將剩余的給你，然后告訴你演唱會(huì)現(xiàn)場(chǎng)在哪里，告訴你怎么走。這個(gè)基本上就是數(shù)據(jù)包過(guò)濾的工作流程吧。

你也許經(jīng)常聽(tīng)到你們老板說(shuō)：要增加一臺(tái)機(jī)器它可以禁止我們不想要的網(wǎng)站，可以禁止一些郵件它經(jīng)常給我們發(fā)送垃圾郵件和病毒等，但是沒(méi)有一個(gè)老板會(huì)說(shuō)：要增加一臺(tái)機(jī)器它可以禁止我們不愿意訪問(wèn)的數(shù)據(jù)包。實(shí)際意思就是這樣。接下來(lái)我們推薦幾個(gè)常用的數(shù)據(jù)包過(guò)濾工具。

最常見(jiàn)的數(shù)據(jù)包過(guò)濾工具是路由器。

另外系統(tǒng)中帶有數(shù)據(jù)包過(guò)濾工具，例如LinuxTCP/IP中帶有的ipchain等windows2000帶有的TCP/IPFiltering篩選器等，通過(guò)這些我們就可以過(guò)濾掉我們不想要的數(shù)據(jù)包。

防火墻也許是使用最多的數(shù)據(jù)包過(guò)濾工具了，現(xiàn)在的軟件防火墻和硬件防火墻都有數(shù)據(jù)包過(guò)濾的功能。接下來(lái)我們會(huì)重點(diǎn)介紹防火墻的。

防火墻通過(guò)一下方面來(lái)加強(qiáng)網(wǎng)絡(luò)的安全：

1、策略的設(shè)置

策略的設(shè)置包括允許與禁止。允許例如允許我們的客戶機(jī)收發(fā)電子郵件，允許他們?cè)L問(wèn)一些必要的網(wǎng)站等。例如防火墻經(jīng)常這么設(shè)置，允許內(nèi)網(wǎng)的機(jī)器訪問(wèn)網(wǎng)站、收發(fā)電子郵件、從FTP下載資料等。這樣我們就要打開(kāi)80、25、110、21端口，開(kāi)HTTP、SMTP、POP3、FTP等。

禁止就是禁止我們的客戶機(jī)去訪問(wèn)哪些服務(wù)。例如我們禁止郵件客戶來(lái)訪問(wèn)網(wǎng)站，于是我們就給他打開(kāi)25、110，關(guān)閉80。

2、NAT

NAT，即網(wǎng)絡(luò)地址轉(zhuǎn)換，當(dāng)我們內(nèi)網(wǎng)的機(jī)器在沒(méi)有公網(wǎng)IP地址的情況下要訪問(wèn)網(wǎng)站，這就要用到NAT。工作過(guò)程就是這樣，內(nèi)網(wǎng)一臺(tái)機(jī)器 192.168.0.10要訪問(wèn)新浪，當(dāng)?shù)竭_(dá)防火墻時(shí)，防火墻給它轉(zhuǎn)變成一個(gè)公網(wǎng)IP地址出去。一般我們?yōu)槊總€(gè)工作站分配一個(gè)公網(wǎng)IP地址。

防火墻中要用到以上提到的數(shù)據(jù)包過(guò)濾和代理服務(wù)器，兩者各有優(yōu)缺點(diǎn)，數(shù)據(jù)包過(guò)濾僅僅檢查題頭的內(nèi)容，而代理服務(wù)器除了檢查標(biāo)題之外還要檢查內(nèi)容。當(dāng)數(shù)據(jù)包過(guò)濾工具癱瘓的時(shí)候，數(shù)據(jù)包就都會(huì)進(jìn)入內(nèi)網(wǎng)，而當(dāng)代理服務(wù)器癱瘓的時(shí)候內(nèi)網(wǎng)的機(jī)器將不能訪問(wèn)網(wǎng)絡(luò)。

另外，防火墻還提供了加密、身份驗(yàn)證等功能。還可以提供對(duì)外部用戶VPN的功能。