第十四章 建立全麵的網絡安全體係

一般的局域網都多多少少存在著安全問題，作為一名網管，如何為局域網內的機器建立起全麵的安全體係呢?本文將討論這方麵的內容。

首先網絡最大的安全隱患是來自用戶，普通用戶由於缺乏良好的安全意識而將計算機出賣給入侵者。口令是最大的天敵，一個很容易被猜到的口令和沒有設置口令是相同的，根本達不到保護的作用。有些網絡用戶常常由於他們建立了自己的個人用戶而導致一些問題。例如把C:\和其他目錄共享給別人，認為這樣傳輸東西更方便，卻不會知道其中潛在的危險。看住你的用戶並幫助他們保持良好的習慣。

第二點我們應該正確配置每台主機係統，為操作係統打夠補丁、保護好自己的密碼等等，這些都是非常重要的。對每個用戶的權限進行設置，很好的利用服務限製，如果不能做好的話，將會導致可怕的後果。如果你不想提供諸如FTP、HTTP等公共服務，可以關閉它們。安裝WindowsNT或者Sever時注意是否需要安裝Internet服務，其中就包括IIS―WebServer。IIS有缺省的用戶名和口令。這就是一個隱藏的大漏洞。所以一定要知道你正在安裝什麼。請記住使用任何安全軟件包的缺省都是一個巨大的錯誤。每周發布的修補程序修補操作係統的使用上的漏洞和安全上的漏洞。由於它們修補的是廣為所知的漏洞，你要跟住最新的修補程序。維持文件係統的的許可和用戶的權限也是必須的。

第三點架設一個入侵監測係統(IDS)是非常必要的，處於防火牆之後對網絡活動進行實時檢測。許多情況下，由於可以記錄和禁止網絡活動，所以入侵監測係統是防火牆的延續。它們可以和你的防火牆和路由器配合工作。IDS掃描當前網絡的活動，監視和記錄網絡的流量，根據定義好的規則來過濾從主機網卡到網線上的流量，提供實時報警。IDS是被動的，它監測你的網絡上所有的包(packets)。其目的就是撲捉危險或有惡意動作的信息包。IDS是按你指定的規則運行的，記錄是龐大的，所以我們必須製定合適的規則對他進行正確的配置，如果IDS沒有正確的配置，其效果如同沒有一樣。IDS能夠幫助係統對付網絡攻擊，擴展了係統管理員的安全管理能力（包括安全審計、監視、攻擊識別和響應），提高了信息安全基礎結構的完整性。

第四點防火牆是網絡安全的屏障。一個防火牆（作為阻塞點、控製點）能極大地提高一個內部網絡的安全性，並通過過濾不安全的服務而降低風險。由於隻有經過精心選擇的應用協議才能通過防火牆，所以網絡環境變得更安全。如防火牆可以禁止諸如眾所周知的不安全的NFS協議進出受保護網絡，這樣外部的攻擊者就不可能利用這些脆弱的協議來攻擊內部網絡。防火牆同時可以保護網絡免受基於路由的攻擊，如IP選項中的源路由攻擊和ICMP重定向中的重定向路徑。防火牆可以拒絕所有以上類型攻擊的報文並通知防火牆管理員。防火牆還可以過濾對IP和服務。也可以利用不同防火牆產品的各種安全機製建立VPN(VirtualPrivateNetworks)。通過VPN，你在異地可以更安全的聯入你的網絡。大多數防火牆都有認證機製，但是你必須知道除非你使用了加密，否則用戶名和口令是以明碼傳送的。防火牆種類方多，功能強大，不可能用一篇文章涵蓋所有可能性，用戶可以根據自己的需要選好適合自己的防火牆並且正確的配置。