构建企业安全局域网 网管员需主动出击(1)

构建企业安全局域网 网管员需主动出击(1)

网络何尝不是战场?特别是维护颇具规模的企业局域网的管理员们，这种感觉应该尤为明显。来自内外的网络攻击，常常让大家有腹背受敌、疲于应付的感觉。要摆脱这种被动挨打的局面，应该主动出击、针锋相对构建集防御与反击为一体的企业局域网。

1、加强服务器安全

服务器是企业的数据重地，与企业的生产、业务等密切相关。通常情况下，企业中的服务器往往不止一台甚至更多，它们是受到攻击最多的网络节点。因此，服务器的安全是我们首先要确保的。而服务器的安全应该的多层次的，主要包括以下几个方面：

(1).平台安全

首先要保证服务器系统平台的安全。在配置服务器时，尽量避免使用系统的默认配置，这些默认配置是为了方便普通用户使用的，但是很多黑客都熟悉默认配置的漏洞，能很方便地、从这里侵入系统。所以当系统安装完毕后第一步就是要升级最新的补丁，然后更改系统的默认配置。要为用户建立详细的属性和权限，方便确认用户身份以及能访问修改的资料。定期修改用户密码，这样可以让密码破解的威胁降到最低。总之要利用好服务器自身系统的各种安全策略，就可以占用最小的资源，挡住大部分黑客。

(2).服务器的独立

服务器最好能够做到专用，确保其独立性，尽量不要在一台服务器上部署多个服务，提供多个应用。不过这样会造成服务器的浪费，有一个不错的方案是实施服务器的虚拟化，保证一台物理服务器上多个服务的独立。

(3).网络拓扑安全

还有一点特别重要，从网络拓扑上保证服务器的安全。尽量不要为重要的企业服务器提供公网IP，将其暴露在Internet中。如果必须要这么做，一定要做好软硬件防护。比如在服务器的外围部署硬件防火墙或者类似ISA的软件防火墙，限制为授权的IP访问等等。另外，内网中要实施网络分段。网络分段应该优先选择物理级别的分段，从物理层和数据链路层上将局域网分为若干网段，这样各网段相互之间无法进行直接通讯。应该所这样比较容易实现，因为许多交换机都有一定的访问控制能力，可实现对网络的物理分段。此外，根据实际情况在某些节点上实施基于网络层的逻辑分段。把网络分成若干IP子网，各子网间必须通过路由器、路由交换机、网关或防火墙等设备进行连接，利用这些中间设备的安全机制来控制子网间的访问。以上基于网络拓扑级别的安全措施，能够在很大程度上加强服务器的安全，将绝大多数的攻击行为拒之门外。

2、搭建病毒防御平台

除了服务器攻击之外，病毒木马也是局域网的大敌。由于局域网客户端网络节点众多，这往往成了病毒木马泛滥的温床，因此搭建病毒防御平台势在必行。在企业局域网中部署什么样的病毒监控平台，应该有一定的考量标准。一般来说，查杀是否彻底细致，界面是否友好方便，能否集中管理是决定一个杀毒软件好坏的关键。所以建议购买企业版杀毒软件，并控制写入服务器的客户端，网管可以随时杀毒，保证写入数据和服务器的安全性。

同时，在网络环境下，病毒传播扩散快，仅用单机防病毒产品已经很难彻底清除网络病毒，必须有适合于局域网的全方位防病毒产品。内部局域网，就需要一个基于服务器操作系统平台的防病毒软件和针对各种桌面操作系统的防病毒软件。如果与互联网相连，就需要网关的防病毒软件，加强上网计算机的安全。如果在网络内部使用电子邮件进行信息交换，还需要一套基于邮件服务器平台的邮件防病毒软件，识别出隐藏在电子邮件和附件中的病毒。所以最好使用全方位的防病毒产品，针对网络中所有可能的病毒攻击点设置对应的防病毒软件，通过全方位、多层次的防病毒系统的配置，通过定期或不定期的自动升级，使网络免受病毒的侵袭。