毫無疑問，網(wǎng)絡(luò)安全一直是一個(gè)熱門話題，并且在未來幾年里仍將是一個(gè)熱門話題，

企業(yè)網(wǎng)絡(luò)安全基礎(chǔ)

。這個(gè)基本的思想保護(hù)你的網(wǎng)絡(luò)不受外部世界的影響。然而，你也不能忘記從內(nèi)部保護(hù)你的網(wǎng)絡(luò)的安全�，F(xiàn)在，有各種各樣為中小企業(yè)提供的服務(wù)，然而，很難確定把重點(diǎn)放在哪個(gè)方面才能達(dá)到充分的網(wǎng)絡(luò)安全。

　　關(guān)于網(wǎng)絡(luò)安全基礎(chǔ)的這一期指南旨在幫助你把重點(diǎn)放在你的網(wǎng)絡(luò)和服務(wù)的策略領(lǐng)域，確保在不超出你的預(yù)算(盡管有時(shí)候超出預(yù)算是不可避免的)的前提下獲得最佳的安全效果。我將介紹網(wǎng)絡(luò)基礎(chǔ)設(shè)施、活動(dòng)目錄、蜜罐(honey pots)和一些能夠幫助你解決網(wǎng)絡(luò)安全問題的資源。

　　網(wǎng)絡(luò)基礎(chǔ)設(shè)施:你的網(wǎng)絡(luò)的核心

　　隨著本地網(wǎng)絡(luò)用戶數(shù)量的不斷增長，你的網(wǎng)絡(luò)進(jìn)行適當(dāng)?shù)姆侄问遣豢杀苊獾�。如果你的局域網(wǎng)有50個(gè)以上的用戶，這就是開始考慮建立VLAN(虛擬局域網(wǎng))的時(shí)候了。使用VLAN，你可以通過創(chuàng)建不同的廣播域來為你的網(wǎng)絡(luò)分段，并且同時(shí)提供增強(qiáng)水平的安全。敏感的部門和重要的服務(wù)可以很容易地與網(wǎng)絡(luò)的其它部分隔離開來，有控制的訪問你的網(wǎng)絡(luò)資源在可能發(fā)生的內(nèi)部或者外部攻擊中將發(fā)揮重要的作用。

　　你還可以配置一個(gè)來賓VLAN(Guest VLAN)，這對(duì)大多數(shù)企業(yè)來收都是一個(gè)很普通的要求。來賓VLAN是限定訪問互連網(wǎng)的來訪者可以訪問的網(wǎng)絡(luò)，這個(gè)網(wǎng)絡(luò)不會(huì)暴露我們的網(wǎng)絡(luò)的其它內(nèi)容。你可以按照你喜歡的任何方式配置來賓VLAN，如，是否規(guī)定只能有限地訪問互聯(lián)網(wǎng)或者嚴(yán)格限制訪問內(nèi)部資源和服務(wù)。

　　如果你需要在VLAN之間傳送數(shù)據(jù)包，就需要一臺(tái)3層交換機(jī)。這種交換機(jī)的起始價(jià)格為幾千美元，是比較經(jīng)濟(jì)的選擇。如果你的預(yù)算確實(shí)緊張，你可以考慮購買3550/3560或者3750型思科Catalyst系列交換機(jī)。這種交換機(jī)采用了合適的互聯(lián)網(wǎng)操作系統(tǒng)，能夠提供這種功能。然而，如果有可能增加一點(diǎn)預(yù)算，Catalyst 4500系列產(chǎn)品將是你最好的朋友。有些型號(hào)的交換機(jī)，如4507R，提供了全面的“監(jiān)控引擎冗余”(Supervisor Engine Redundancy)功能，因此，在你的網(wǎng)絡(luò)核心不會(huì)出現(xiàn)任何一點(diǎn)故障，深受工程師的喜愛。

　　活動(dòng)目錄:釋放Windows的力量

　　Windows操作系統(tǒng)最近在服務(wù)器市場(chǎng)肯定占統(tǒng)治地位。你肯定有一些服務(wù)器至少安裝了Windows 2000操作系統(tǒng)。通過安裝活動(dòng)目錄，你能夠自動(dòng)地把你的網(wǎng)絡(luò)資源連接在一起，提供一個(gè)管理的重心點(diǎn)。雖然這個(gè)規(guī)劃和實(shí)施是一個(gè)很耗費(fèi)時(shí)間的過程，不過，從活動(dòng)目錄提供的好處和安全性來看，耗費(fèi)這些時(shí)間是值得的。

　　使用活動(dòng)目錄簡單地點(diǎn)擊幾下鼠標(biāo)，在用戶級(jí)限制對(duì)工作站的修改、安裝程序、改變網(wǎng)絡(luò)設(shè)置和強(qiáng)制執(zhí)行安全策略等工作就可以很容易地完成了。包括操作系統(tǒng)補(bǔ)丁和殺毒軟件更新等在內(nèi)的應(yīng)用程序更新不再是令人擔(dān)心的需要耗費(fèi)很長時(shí)間的任務(wù)了，因?yàn)檫@些任務(wù)通過設(shè)置可以由活動(dòng)目錄自動(dòng)完成。

　　如果你到目前為止還沒有使用過活動(dòng)目錄，你可以花點(diǎn)時(shí)間研究一下這個(gè)課題。這肯定能夠使你大開眼界。

　　網(wǎng)絡(luò)備份:如果你沒有測(cè)試，你就不要用

　　目前，每個(gè)人肯定都使用一種備份技術(shù)，

電腦資料

《企業(yè)網(wǎng)絡(luò)安全基礎(chǔ)》(http://www.msguai.com)。如果你還沒有使用，那么，現(xiàn)在就是你認(rèn)真考慮這個(gè)問題的時(shí)候了。

　　無論你如何進(jìn)行你的備份，一些簡單的做法被證明是非常有用的，并且能夠幫助你節(jié)省很多時(shí)間，緩解緊張，甚至在某種情況下還能挽救你的工作。如果你正在使用最新的技術(shù)進(jìn)行備份，你必須進(jìn)行一次全面的恢復(fù)工作以確保這種最新的備份技術(shù)能夠正常工作。

　　每一周或者兩周進(jìn)行一次全面的恢復(fù)工作是必要的，這可以根據(jù)工作量和你要處理的數(shù)據(jù)類型而定。由于存儲(chǔ)介質(zhì)出現(xiàn)故障，一個(gè)公司最近的備份不能恢復(fù)了。這是非常尷尬的事情。我確認(rèn)你一定不會(huì)愿意陷入這樣的窘境。

　　如果由于敏感性的原因你不相信傳統(tǒng)的備份磁帶方式，你可以選擇能夠滿足你的備份需求的RAID解決方案“RAID 10”。這個(gè)解決方案包括了兩臺(tái)RAID 5磁盤陣列，能夠提供多個(gè)硬盤故障的冗余。當(dāng)然，不利的因素是這些設(shè)備的成本高一些。

　　有付出就有回報(bào)。因此，你需要問自己(或者你的經(jīng)理):你的數(shù)據(jù)確實(shí)值多少錢?

　　蜜罐:抓住壞蛋

　　我們都知道，防火墻是設(shè)計(jì)用來保護(hù)網(wǎng)絡(luò)不受攻擊和阻止非法訪問的。這就是我們把防火墻稱作保護(hù)/防御技術(shù)的原因。入侵檢測(cè)系統(tǒng)是用來監(jiān)控和檢測(cè)網(wǎng)絡(luò)突破企圖的設(shè)備。入侵防御系統(tǒng)是以預(yù)防技術(shù)為基礎(chǔ)的，主要是采取措施阻止非法的訪問。

　　蜜罐是一個(gè)相當(dāng)新的概念，然而遺憾的是沒有廣泛應(yīng)用。雖然蜜罐還不能確切地定義為哪一類產(chǎn)品，但是，蜜罐是介于入侵檢測(cè)和防御技術(shù)之間的一種技術(shù)。正如名稱解釋的那樣，蜜罐是運(yùn)行特別的檢測(cè)和審計(jì)程序的沒有使用補(bǔ)丁的機(jī)器，裝扮成包含重要數(shù)據(jù)的服務(wù)器，等待 的攻擊。正如你了解的那樣，蜜罐很容易吸引到非法的訪問。

　　蜜罐通常放在重要的區(qū)域，如公共服務(wù)器或者內(nèi)部服務(wù)器群，能夠迅速發(fā)現(xiàn)試圖攻破這些系統(tǒng)的 。然后，從這些攻擊中收集到的信息將用于防御 對(duì)真正的服務(wù)器的攻擊。由于蜜罐確實(shí)沒有防御攻擊或者 的安全措施，蜜罐連接到互聯(lián)網(wǎng)上之后通常是最先受到掃描和攻擊的機(jī)器。

　　恢復(fù)和安全監(jiān)控

　　最后，監(jiān)控你的資源。你通過簡單地監(jiān)控你工作中正在使用的資源就可以防御可能造成災(zāi)難的攻擊是很神奇的。好消息是有一些開源軟件工具能夠完全滿足你監(jiān)控的需求，如監(jiān)控你的服務(wù)器資源、主干網(wǎng)絡(luò)連接以及公共網(wǎng)絡(luò)服務(wù)器等各種需求。這些工具包括Nessus、Snort、MRTG、Nagios和Cacti等。

　　網(wǎng)絡(luò)安全顯然并不只是處理防火墻的問題。網(wǎng)絡(luò)安全包含努力的工作以及根據(jù)復(fù)雜性、規(guī)模和你的網(wǎng)絡(luò)的需求提供的不同層次的保護(hù)措施。沒有一種具體策略能夠適用于所有的網(wǎng)絡(luò)。每一個(gè)網(wǎng)絡(luò)都是獨(dú)特的，必須要采取那種方式對(duì)待才能產(chǎn)生理想的結(jié)果。

　　如果你對(duì)網(wǎng)絡(luò)安全還是一個(gè)新手，或者僅僅是為了獲得一個(gè)包羅萬象的指南，你可以查看“Firewall.cx”網(wǎng)站并且閱讀“網(wǎng)絡(luò)安全介紹”部分。這部分內(nèi)容包括:對(duì)企業(yè)的威脅、入侵檢測(cè)系統(tǒng)、攻擊者使用的工具、入侵測(cè)試等內(nèi)容。

　　跟上最新的技術(shù)和了解網(wǎng)絡(luò)安全領(lǐng)域各個(gè)不同方面的新聞報(bào)道。互聯(lián)網(wǎng)上有很多極好的資源。你要做的所有的事情就是搜索這些資源。