網管在網絡管理中的十一大絕招

如今仍然有不少人這麼認爲，只要網絡中使用了一層安全就夠了，事實並非這樣，一層根本擋不住病毒和***的侵襲。接下來我將逐點介紹網絡安全的多點作法。

第1、物理安全
　　除了要保證要有電腦鎖以外，咱們更多的要注意防火，要將電線和網絡放在比較隱蔽的地方。咱們還要準備UPS，以確保網絡可以以持續的電壓運行，在電子學中，峯值電壓是一個很是重要的概念，峯值電壓高的時候能夠燒壞電器，迫使網絡癱瘓，峯值電壓最小的時候，網絡根本不能運行。使用UPS能夠排除這些意外。另外咱們要作好防老鼠咬壞網線。

第2、系統安全（口令安全）
　　咱們要儘可能使用大小寫字母和數字以及特殊符號混合的密碼，可是本身要記住，我也見過不少這樣的網管，他的密碼設置的的確是複雜也安全，可是常常本身都記不來，每次都要翻看筆記本。另外咱們最好不要使用空口令或者是帶有空格的，這樣很容易被一些***識破。
　　咱們也能夠在屏保、重要的應用程序上添加密碼，以確保雙重安全。

第3、打補丁
　　咱們要及時的對系統補丁進行更新，大多數病毒和***都是經過系統漏洞進來的，例現在年五一風靡全球臭名昭著的振盪波就是利用了微軟的漏洞ms04-011
進來的。還有一直殺不掉的SQLSERVER上的病毒slammer也是經過SQL的漏洞進來的。因此咱們要及時對系統和應用程序打上最新的補丁，例如
IE、OUTLOOK、SQL、OFFICE等應用程序。
　　另外咱們要把那些不須要的服務關閉，例如TELNET，還有關閉Guset賬號等。

第4、安裝防病毒軟件
　　病毒掃描就是對機器中的全部文件和郵件內容以及帶有。exe的可執行文件進行掃描，掃描的結果包括清除病毒，刪除被感染文件，或將被感染文件和病毒放在一臺隔離文件夾裏面。因此咱們要對全網的機器從網站服務器到郵件服務器到文件服務器知道客戶機都要安裝殺毒軟件，並保持最新的病毒定義碼。咱們知道病毒一旦進入電腦，他會瘋狂的自我複製，遍及全網，形成的危害巨大，甚至可使得系統崩潰，丟失全部的重要資料。因此咱們要至少每週一次對全網的電腦進行集中殺毒，並按期的清除隔離病毒的文件夾。
　　如今有不少防火牆等網關產品都帶有反病毒功能，例如netscreen總裁謝青旗下的美國飛塔Fortigate防火牆就是，她具備防病毒的功能。

第5、應用程序
　　咱們都知道病毒有超過一半都是經過電子郵件進來的，因此除了在郵件服務器上安裝防病毒軟件以外，還要對PC機上的outlook防禦，咱們要提升警戒性，當收到那些無標題的郵件，或是你不認識的人發過來的，或是全是英語例如什麼happy99，money，而後又帶有一個附件的郵件，建議您最好直接刪除，不要去點擊附件，由於百分之九十以上是病毒。我前段時間就在一個zhengfu部門碰到這樣的狀況，他們單位有三我的一直收到郵件，一個小時居然奇蹟般的收到了2000多封郵件，導致最後郵箱爆破，起初他們懷疑是***進入了他們的網絡，最後當問到這幾我的他們都說收到了一封郵件，一個附件，當去打開附件的時候，便不斷的收到郵件了，直至最後郵箱撐破。最後查出仍是病毒惹的禍。
　　除了不去查看這些郵件以外，咱們還要利用一下outlook中帶有的黑名單功能和郵件過慮的功能。
　　不少***都是經過你訪問網頁的時候進來的，你是否常常碰到這種狀況，當你打開一個網頁的時候，會不斷的跳出很是多窗口，你關都關不掉，這就是***已經進入了你的電腦，並試圖控制你的電腦。
　　因此咱們要將IE的安全性調高一點，常常刪除一些cookies和脫機文件，還有就是禁用那些Active X的控件。

第6、代理服務器
　　代理服務器最早被利用的目的是能夠加速訪問咱們常常看的網站，由於代理服務器都有緩衝的功能，在這裏能夠保留一些網站與IP地址的對應關係。
　　要想了解代理服務器，首先要了解它的工做原理：
　　環境：局域網裏面有一臺機器裝有雙網卡，充當代理服務器，其他電腦經過它來訪問網絡。
　　1、內網一臺機器要訪問新浪，因而將請求發送給代理服務器。
　2、代理服務器對發來的請求進行檢查，包括題頭和內容，而後去掉沒必要要的或違反約定的內容。
　　3、代理服務器從新整合數據包，而後將請求發送給下一級網關。
　　4、新浪網回覆請求，找到對應的IP地址。
　　5、代理服務器依然檢查題頭和內容是否合法，去掉不適當的內容。
　　6、從新整合請求，而後將結果發送給內網的那臺機器。
　　由此能夠看出，代理服務器的優勢是能夠隱藏內網的機器，這樣能夠防止***的直接***，另外能夠節省公網IP.缺點就是每次都要經由服務器，這樣訪問速度會變慢。另外當代理服務器被***或者是損壞的時候，其他電腦將不能訪問網絡。

第7、防火牆
　　提到防火牆，顧名思義，就是防火的一道牆。防火牆的最根本工做原理就是數據包過濾。實際上在數據包過濾的提出以前，都已經出現了防火牆。
　　數據包過濾，就是經過查看題頭的數據包是否含有非法的數據，咱們將此屏蔽。
　　舉個簡單的例子，假如體育中心有一場劉德華演唱會，檢票員坐鎮門口，他首先檢查你的票是否對應，是否今天的，而後撕下右邊的一條，將剩餘的給你，而後告訴你演唱會現場在哪裏，告訴你怎麼走。這個基本上就是數據包過濾的工做流程吧。
　　你也許常常聽到大家老闆說：要增長一臺機器它能夠禁止咱們不想要的網站，能夠禁止一些郵件它常常給咱們發送垃圾郵件和病毒等，可是沒有一個老闆會說：要增長一臺機器它能夠禁止咱們不肯意訪問的數據包。實際意思就是這樣。接下來咱們推薦幾個經常使用的數據包過濾工具。
　　最多見的數據包過濾工具是路由器。
　　另外系統中帶有數據包過濾工具，例如Linux TCP/IP中帶有的ipchain等
　　windows 2000帶有的TCP/IP Filtering篩選器等，經過這些咱們就能夠過濾掉咱們不想要的數據包。
　　防火牆也許是使用最多的數據包過濾工具了，如今的軟件防火牆和硬件防火牆都有數據包過濾的功能。接下來咱們會重點介紹防火牆的。防火牆經過如下方面來增強網絡的安全：
　　1、策略的設置
　　策略的設置包括容許與禁止。容許例如容許咱們的客戶機收發電子郵件，容許他們訪問一些必要的網站等。例如防火牆常常這麼設置，容許內網的機器訪問網站、收發電子郵件、從FTP下載資料等。這樣咱們就要打開80、25、110、21端口，開HTTP、SMTP、POP3、FTP等。
　　禁止就是禁止咱們的客戶機去訪問哪些服務。例如咱們禁止郵件客戶來訪問網站，因而咱們就給他打開25、110，關閉80.
　　2、NAT
　　NAT，即網絡地址轉換，當咱們內網的機器在沒有公網IP地址的狀況下要訪問網站，這就要用到NAT.工做過程就是這樣，內網一臺機器
192.168.0.10要訪問新浪，當到達防火牆時，防火牆給它轉變成一個公網IP地址出去。通常咱們爲每一個工做站分配一個公網IP地址。
　　防火牆中要用到以上提到的數據包過濾和代理服務器，二者各有優缺點，數據包過濾僅僅檢查題頭的內容，而代理服務器除了檢查標題以外還要檢查內容。當數據包過濾工具癱瘓的時候，數據包就都會進入內網，而當代理服務器癱瘓的時候內網的機器將不能訪問網絡。
　　另外，防火牆還提供了加密、身份驗證等功能。還能夠提供對外部用戶×××的功能。

第8、DMZ
　　DMZ原本是朝鮮的南北大戰的時候，提出的停火帶。可是在咱們網絡安全裏面，DMZ來放置例如網站服務器、郵件服務器、DNS服務器、FTP服務器等。
　　咱們能夠經過DMZ出去，這樣就爲***進來提供了通道，因此咱們有必要添加第二臺防火牆，來增強咱們的網絡安全。
　　這樣帶來的麻煩就是從網上下載，首先要來驗證安全性，下載的時候要等一會。

　第9、IDS
　　咱們使用了防火牆和防病毒以後，使用IDS來預防******。
　　IDS，就是分析***事件以及***的目標與***源，咱們利用這些能夠來抵禦***，以將損壞下降到最低限度。
　　目前IDS尚未象防火牆那樣用的廣泛，可是這個也將是將來幾年的趨勢，如今一些zhengfu已經開始使用。
　　國內著名的IDS廠家例如金諾網安、中聯綠盟、啓明星辰。
第10、×××
　　之前咱們都是經過電話和郵件來和外地的分公司聯繫。分公司從總公司找一些文件都是經過撥號上網，即便用點對點協議，這樣安全，可是花費很高。×××能夠解決這一點。

第11、分析時間日誌與記錄
　　咱們要常常的來查看防火牆日誌、***檢測的日誌以及查看防病毒軟件的更新組件是否最新等。