企業(yè)內(nèi)網(wǎng)怎么保證安全？

1、注意內(nèi)網(wǎng)安全與網(wǎng)絡(luò)邊界安全的不同

創(chuàng)新互聯(lián)建站堅(jiān)持“要么做到，要么別承諾”的工作理念，服務(wù)領(lǐng)域包括：成都網(wǎng)站設(shè)計(jì)、成都網(wǎng)站建設(shè)、企業(yè)官網(wǎng)、英文網(wǎng)站、手機(jī)端網(wǎng)站、網(wǎng)站推廣等服務(wù)，滿足客戶于互聯(lián)網(wǎng)時(shí)代的梧州網(wǎng)站設(shè)計(jì)、移動(dòng)媒體設(shè)計(jì)的需求，幫助企業(yè)找到有效的互聯(lián)網(wǎng)解決方案。努力成為您成熟可靠的網(wǎng)絡(luò)建設(shè)合作伙伴！

內(nèi)網(wǎng)安全的威脅不同于網(wǎng)絡(luò)邊界的威脅。網(wǎng)絡(luò)邊界安全技術(shù)防范來自Internet上的攻擊，主要是防范來自公共的網(wǎng)絡(luò)服務(wù)器如HTTP或SMTP的攻 擊。網(wǎng)絡(luò)邊界防范(如邊界防火墻系統(tǒng)等)減小了資深黑客僅僅只需接入互聯(lián)網(wǎng)、寫程序就可訪問企業(yè)網(wǎng)的幾率。內(nèi)網(wǎng)安全威脅主要源于企業(yè)內(nèi)部。惡性的黑客攻擊 事件一般都會(huì)先控制局域網(wǎng)絡(luò)內(nèi)部的一臺(tái)Server，然后以此為基地，對(duì)Internet上其他主機(jī)發(fā)起惡性攻擊。因此，應(yīng)在邊界展開黑客防護(hù)措施，同時(shí) 建立并加強(qiáng)內(nèi)網(wǎng)防范策略。

2、限制VPN的訪問

虛擬專用網(wǎng)(VPN)用戶的 訪問對(duì)內(nèi)網(wǎng)的安全造成了巨大的威脅。因?yàn)樗鼈儗⑷趸淖烂娌僮飨到y(tǒng)置于企業(yè)防火墻的防護(hù)之外。很明顯VPN用戶是可以訪問企業(yè)內(nèi)網(wǎng)的。因此要避免給每一位 VPN用戶訪問內(nèi)網(wǎng)的全部權(quán)限。這樣可以利用登錄控制權(quán)限列表來限制VPN用戶的登錄權(quán)限的級(jí)別，即只需賦予他們所需要的訪問權(quán)限級(jí)別即可，如訪問郵件服 務(wù)器或其他可選擇的網(wǎng)絡(luò)資源的權(quán)限。

3、為合作企業(yè)網(wǎng)建立內(nèi)網(wǎng)型的邊界防護(hù)

合作企業(yè)網(wǎng)也是造成內(nèi)網(wǎng)安全問題的一大原因。例如安全管理員雖然知道怎樣利用實(shí)際技術(shù)來完固防火墻，保護(hù)MS-SQL，但是Slammer蠕蟲仍能侵入 內(nèi)網(wǎng)，這就是因?yàn)槠髽I(yè)給了他們的合作伙伴進(jìn)入內(nèi)部資源的訪問權(quán)限。由此，既然不能控制合作者的網(wǎng)絡(luò)安全策略和活動(dòng)，那么就應(yīng)該為每一個(gè)合作企業(yè)創(chuàng)建一個(gè) DMZ，并將他們所需要訪問的資源放置在相應(yīng)的DMZ中，不允許他們對(duì)內(nèi)網(wǎng)其他資源的訪問。

4、自動(dòng)跟蹤的安全策略

智能的自動(dòng)執(zhí)行實(shí)時(shí)跟蹤的安全策略是有效地實(shí)現(xiàn)網(wǎng)絡(luò)安全實(shí)踐的關(guān)鍵。它帶來了商業(yè)活動(dòng)中一大改革，極大的超過了手動(dòng)安全策略的功效。商業(yè)活動(dòng)的現(xiàn)狀需要 企業(yè)利用一種自動(dòng)檢測(cè)方法來探測(cè)商業(yè)活動(dòng)中的各種變更，因此，安全策略也必須與相適應(yīng)。例如實(shí)時(shí)跟蹤企業(yè)員工的雇傭和解雇、實(shí)時(shí)跟蹤網(wǎng)絡(luò)利用情況并記錄與 該計(jì)算機(jī)對(duì)話的文件服務(wù)器。總之，要做到確保每天的所有的活動(dòng)都遵循安全策略。

5、關(guān)掉無用的網(wǎng)絡(luò)服務(wù)器

大型企業(yè)網(wǎng)可能同時(shí)支持四到五個(gè)服務(wù)器傳送e-mail，有的企業(yè)網(wǎng)還會(huì)出現(xiàn)幾十個(gè)其他服務(wù)器監(jiān)視SMTP端口的情況。這些主機(jī)中很可能有潛在的郵件服 務(wù)器的攻擊點(diǎn)。因此要逐個(gè)中斷網(wǎng)絡(luò)服務(wù)器來進(jìn)行審查。若一個(gè)程序(或程序中的邏輯單元)作為一個(gè)window文件服務(wù)器在運(yùn)行但是又不具有文件服務(wù)器作用 的，關(guān)掉該文件的共享協(xié)議。

6、首先保護(hù)重要資源

若一個(gè)內(nèi)網(wǎng)上連了千萬臺(tái) (例如30000臺(tái))機(jī)子，那么要期望保持每一臺(tái)主機(jī)都處于鎖定狀態(tài)和補(bǔ)丁狀態(tài)是非常不現(xiàn)實(shí)的。大型企業(yè)網(wǎng)的安全考慮一般都有擇優(yōu)問題。這樣，首先要對(duì)服 務(wù)器做效益分析評(píng)估，然后對(duì)內(nèi)網(wǎng)的每一臺(tái)網(wǎng)絡(luò)服務(wù)器進(jìn)行檢查、分類、修補(bǔ)和強(qiáng)化工作。必定找出重要的網(wǎng)絡(luò)服務(wù)器(例如實(shí)時(shí)跟蹤客戶的服務(wù)器)并對(duì)他們進(jìn)行 限制管理。這樣就能迅速準(zhǔn)確地確定企業(yè)最重要的資產(chǎn)，并做好在內(nèi)網(wǎng)的定位和權(quán)限限制工作。

7、建立可靠的無線訪問

審查網(wǎng)絡(luò)，為實(shí)現(xiàn)無線訪問建立基礎(chǔ)。排除無意義的無線訪問點(diǎn)，確保無線網(wǎng)絡(luò)訪問的強(qiáng)制性和可利用性，并提供安全的無線訪問接口。將訪問點(diǎn)置于邊界防火墻之外，并允許用戶通過VPN技術(shù)進(jìn)行訪問。

8、建立安全過客訪問

對(duì)于過客不必給予其公開訪問內(nèi)網(wǎng)的權(quán)限。許多安全技術(shù)人員執(zhí)行的“內(nèi)部無Internet訪問”的策略，使得員工給客戶一些非法的訪問權(quán)限，導(dǎo)致了內(nèi)網(wǎng)實(shí)時(shí)跟蹤的困難。因此，須在邊界防火墻之外建立過客訪問網(wǎng)絡(luò)塊。

9、創(chuàng)建虛擬邊界防護(hù)

主機(jī)是被攻擊的主要對(duì)象。與其努力使所有主機(jī)不遭攻擊(這是不可能的)，還不如在如何使攻擊者無法通過受攻擊的主機(jī)來攻擊內(nèi)網(wǎng)方面努力。于是必須解決企 業(yè)網(wǎng)絡(luò)的使用和在企業(yè)經(jīng)營(yíng)范圍建立虛擬邊界防護(hù)這個(gè)問題。這樣，如果一個(gè)市場(chǎng)用戶的客戶機(jī)被侵入了，攻擊者也不會(huì)由此而進(jìn)入到公司的RD。因此 要實(shí)現(xiàn)公司RD與市場(chǎng)之間的訪問權(quán)限控制。大家都知道怎樣建立互聯(lián)網(wǎng)與內(nèi)網(wǎng)之間的邊界防火墻防護(hù)，現(xiàn)在也應(yīng)該意識(shí)到建立網(wǎng)上不同商業(yè)用戶群之間 的邊界防護(hù)。

10、可靠的安全決策

網(wǎng)絡(luò)用戶也存在著安全隱患。有的用戶或 許對(duì)網(wǎng)絡(luò)安全知識(shí)非常欠缺，例如不知道RADIUS和TACACS之間的不同，或不知道代理網(wǎng)關(guān)和分組過濾防火墻之間的不同等等，但是他們作為公司的合作 者，也是網(wǎng)絡(luò)的使用者。因此企業(yè)網(wǎng)就要讓這些用戶也容易使用，這樣才能引導(dǎo)他們自動(dòng)的響應(yīng)網(wǎng)絡(luò)安全策略。

另外，在技術(shù)上，采用安全交換機(jī)、重要數(shù)據(jù)的備份、使用代理網(wǎng)關(guān)、確保操作系統(tǒng)的安全、使用主機(jī)防護(hù)系統(tǒng)和入侵檢測(cè)系統(tǒng)等等措施也不可缺少。

如何保障局域網(wǎng)內(nèi)共享文件安全性？

在企業(yè)的網(wǎng)絡(luò)中，最常用的功能莫過于“共享文件”了。財(cái)務(wù)部門需要當(dāng)月員工的考勤信息，人事部門可能不會(huì)親自拿過去，而是在網(wǎng)絡(luò)上共享；生產(chǎn)部門的生產(chǎn)報(bào)表也不會(huì)用書面的資料分發(fā)，而是放在網(wǎng)絡(luò)的共享文件夾下，誰需要的話，就自己去查看就可以了，等等。類似的需求還有很多。\x0d\x0a可見，共享文件的功能，提高了企業(yè)辦公的效率，使企業(yè)局域網(wǎng)應(yīng)用中的一個(gè)不可缺的功能。但是，由于共享文件夾管理不當(dāng)，往往也給企業(yè)帶來了一些安全上的風(fēng)險(xiǎn)。如某些共享文件莫名其妙的被刪除或者修改；有些對(duì)于企業(yè)來說數(shù)據(jù)保密的內(nèi)容在網(wǎng)絡(luò)上被共享，所有員工都可以訪問；共享文件成為病毒、木馬等傳播的最好載體，等等。\x0d\x0a一、實(shí)時(shí)查看誰在訪問我的共享文件\x0d\x0a第二步：依次選擇“系統(tǒng)工具”、共享文件夾、打開文件，此時(shí)，在窗口中就會(huì)顯示本機(jī)上的一些共享資源，被哪些電腦在訪問。同時(shí)，在這個(gè)窗口中還會(huì)顯示一些有用的信息，如其打開了哪一個(gè)共享文件；是什么時(shí)候開始訪問的；已經(jīng)閑置了多少時(shí)間。也就是所，只要其打開了某個(gè)共享文件夾，即使其沒有打開共享文件，也會(huì)在這里顯示。\x0d\x0a另外，我們有時(shí)候可能出于某些目的，如員工可能認(rèn)為不能讓這個(gè)人訪問這個(gè)文件。此時(shí)，我們就可以直接右鍵點(diǎn)擊這個(gè)會(huì)話，然后從快捷菜單中選擇關(guān)閉會(huì)話，我們就可以阻止這個(gè)用戶訪問這個(gè)共享文件，而不會(huì)影響其他用戶的正常訪問。\x0d\x0a二、設(shè)置共享文件夾時(shí)，最好把文件與文件夾設(shè)置為只讀\x0d\x0a在大部分時(shí)候，用戶都只需要查看或者復(fù)制這個(gè)共享文件即可，而往往不會(huì)在共享文件夾上進(jìn)行直接修改。但是，有些員工為了貪圖方便，就直接以可讀寫的方式共享某個(gè)文件夾以及文件。這是非常危險(xiǎn)的。\x0d\x0a一方面，這些不受限制的共享文件家與共享文件成為了病毒傳播的載體。筆者在工作中發(fā)現(xiàn)，有些用戶在共享文件的時(shí)候，沒有權(quán)限限制。一段時(shí)間后，再去看這個(gè)共享文件，發(fā)現(xiàn)有些共享文件或者共享文件夾中有病毒或者木馬的蹤影。原來由于這個(gè)共享文件夾有寫的權(quán)限，所以，其他用戶如何打開這個(gè)文件，恰巧這臺(tái)電腦中有病毒或者木馬的話，就會(huì)傳染給這個(gè)共享文件夾。從而讓其他訪問這個(gè)共享文件夾的電腦也中招。可見，沒有保護(hù)措施的共享文件夾以及里面的共享文件，已經(jīng)成為了病毒傳播的一個(gè)很好的載體。\x0d\x0a另一方面，當(dāng)數(shù)據(jù)非法更改時(shí)，很難發(fā)現(xiàn)是誰在惡作劇。雖然可以通過相關(guān)的日志信息可以查詢到有哪些人訪問過這個(gè)共享文件，以及是否進(jìn)行了更改的動(dòng)作。但是，光憑這些信息的話，是不能夠知道這個(gè)用戶對(duì)這個(gè)共享文件夾作了哪些更改。有時(shí)候，我們打開一個(gè)共享文件，會(huì)不小心的按了一個(gè)空格鍵或者一個(gè)字符鍵，不小心的把某個(gè)字覆蓋了，等等。這些情況在實(shí)際工作中經(jīng)常會(huì)遇到。有時(shí)候，即使找到了責(zé)任人，他也不知道到底修改了哪些內(nèi)容。所以，當(dāng)把共享文件設(shè)置為可寫的話，則很難防止員工有意或者無意的更改。\x0d\x0a第三，若以可寫的方式共享文件的話，可能無法保證數(shù)據(jù)的統(tǒng)一。如人事部門以可讀寫的方式共享了一個(gè)考勤文件。此時(shí)，若財(cái)務(wù)部門修改了這個(gè)文件，而人事部門并不知道。因?yàn)樨?cái)務(wù)人員可能忘記告訴了人事部門，此時(shí)，就會(huì)導(dǎo)致兩個(gè)部門之間的數(shù)據(jù)不一致，從而可能會(huì)造成一些不必要的麻煩。而且，由于沒有相關(guān)的證據(jù)，到時(shí)候誰對(duì)誰錯(cuò)，大家都說不清楚。\x0d\x0a為了解決這些問題，筆者建議企業(yè)用戶，在共享文件夾的時(shí)候，最好把文件夾的權(quán)限設(shè)置為只讀。若這個(gè)共享文件夾有時(shí)候其他用戶需要往這個(gè)文件夾中存文件，不能設(shè)置為只讀。那我們也可以把共享文件夾中的文件設(shè)置為只讀。如此的話，由于文件夾為只讀的，則病毒、木馬也就不能夠感染這些文件夾，從而避免成為散播病毒的污染源；而且，也可以防止用戶未經(jīng)授權(quán)的更改，從而導(dǎo)致數(shù)據(jù)的不統(tǒng)一等等。\x0d\x0a三、建立文件共享服務(wù)器，統(tǒng)一管理共享文件的訪問權(quán)限\x0d\x0a另外，若把企業(yè)的共享文件分散在各個(gè)用戶終端管理的話，有一個(gè)問題，就是用戶對(duì)于共享操作的熟悉程度不同或者安全觀念有差異，所以，很難從部署一個(gè)統(tǒng)一的文件共享安全策略。如分散在用戶主機(jī)的共享文件，員工一般不會(huì)定期對(duì)其進(jìn)行備份，以防止因?yàn)橐馔鈸p害而進(jìn)行及時(shí)恢復(fù)；一般也不會(huì)設(shè)置具體的訪問權(quán)限，如只允許一些特定的員工訪問等等。因?yàn)檫@些操作的話，一方面可能需要一些專業(yè)知識(shí)，另一方面，設(shè)置企業(yè)也比較繁瑣。所以，即使我們出了相關(guān)的制度，但是，員工一般很難遵守。\x0d\x0a所以，筆者建議，在一些有條件的企業(yè)，部署一個(gè)文件共享服務(wù)器，來統(tǒng)一管理共享文件。采取這種策略的話，有如下好處。\x0d\x0a一是可以定時(shí)的對(duì)共享文件進(jìn)行備份，從而減少因?yàn)橐馔庑薷幕蛘邉h除而導(dǎo)致的損失。若能夠把共享文件夾都放在文件服務(wù)器上，則我們就可以定時(shí)的對(duì)文件服務(wù)器上的文件進(jìn)行備份。如此的話，即使因?yàn)闄?quán)限設(shè)置不合理，導(dǎo)致文件被意外修改或者刪除；有時(shí)會(huì)，員工自己也會(huì)在不經(jīng)意中刪除不該刪的文件，遇到這種情況的時(shí)候，則我們可以通過文件恢復(fù)作業(yè)，把原有的文件恢復(fù)過來，從而減少這些不必要的損失。\x0d\x0a二是可以統(tǒng)一制定文件訪問權(quán)限策略。在共享文件服務(wù)器上，我們可以根據(jù)各個(gè)員工的需求，在文件服務(wù)中預(yù)先設(shè)置一些文件夾，并設(shè)置好具體的權(quán)限。如此的話，放到共享文件服務(wù)器中的文件就自動(dòng)繼承了文件服務(wù)器文件夾的訪問權(quán)限，從而實(shí)現(xiàn)統(tǒng)一管理文件訪問權(quán)限的目的。如對(duì)于一些全公司都可以訪問的行政通知類文件，我們可以為此設(shè)立一個(gè)通知類文件夾，這個(gè)文件夾只有行政人員具有讀寫權(quán)限，而其他職工都只有只讀權(quán)限。如此的話，其他員工就不能夠?qū)@些通知進(jìn)行更改或者刪除。所以，對(duì)共享文件夾進(jìn)行統(tǒng)一的管理，可以省去用戶每次設(shè)置權(quán)限的麻煩，從而提高共享文件的安全性。\x0d\x0a三是可以統(tǒng)一進(jìn)行防毒管理。對(duì)于共享文件來說，我們除了要關(guān)心其數(shù)據(jù)是否為泄露或者非法訪問外，另外一個(gè)問題就是共享文件是否會(huì)被病毒感染。病毒或者木馬是危害企業(yè)網(wǎng)絡(luò)安全的第一把殺手，而共享文件又是其很好的載體。若能夠有效的解決共享文件的病毒木馬感染問題，必定可以有效的抑制病毒或者木馬在企業(yè)網(wǎng)絡(luò)中為非作歹。而我們?nèi)裟軌蛟谄髽I(yè)中統(tǒng)一部署文件服務(wù)器，則我們就可以利用下班的空閑時(shí)間，對(duì)文件服務(wù)器上的共享文件統(tǒng)一進(jìn)行殺毒，以保證共享文件服務(wù)器上的文件都是干凈的，沒有被木馬或者病毒所感染，從而避免其成為病毒或者木馬的有效載體。\x0d\x0a綜上所述，共享文件夾以及共享文件的安全性問題，是企業(yè)網(wǎng)絡(luò)安全管理中的一個(gè)比較薄弱的環(huán)節(jié)，但是，又是一個(gè)十分重要的環(huán)節(jié)。筆者相信，做好這件工作，必定可以提高企業(yè)網(wǎng)絡(luò)的利用價(jià)值，減少網(wǎng)絡(luò)安全事故。

如何保護(hù)內(nèi)網(wǎng)安全

內(nèi)網(wǎng)是網(wǎng)絡(luò)應(yīng)用中的一個(gè)主要組成部分，其安全性也受到越來越多的重視。今天就給大家腦補(bǔ)一下內(nèi)網(wǎng)安全的保護(hù)方法。

對(duì)于大多數(shù)企業(yè)局域網(wǎng)來說，路由器已經(jīng)成為正在使用之中的最重要的安全設(shè)備之一。一般來說，大多數(shù)網(wǎng)絡(luò)都有一個(gè)主要的接入點(diǎn)。這就是通常與專用防火墻一起使用的“邊界路由器”。

經(jīng)過恰當(dāng)?shù)脑O(shè)置，邊緣路由器能夠把幾乎所有的最頑固的壞分子擋在網(wǎng)絡(luò)之外。如果你愿意的話，這種路由器還能夠讓好人進(jìn)入網(wǎng)絡(luò)。不過，沒有恰當(dāng)設(shè)置的路由器只是比根本就沒有安全措施稍微好一點(diǎn)。

在下列指南中，我們將研究一下你可以用來保護(hù)網(wǎng)絡(luò)安全的9個(gè)方便的步驟。這些步驟能夠保證你擁有一道保護(hù)你的網(wǎng)絡(luò)的磚墻，而不是一個(gè)敞開的大門。

1.修改默認(rèn)的口令!

據(jù)國(guó)外調(diào)查顯示，80%的安全突破事件是由薄弱的口令引起的。網(wǎng)絡(luò)上有大多數(shù)路由器的廣泛的默認(rèn)口令列表。你可以肯定在某些地方的某個(gè)人會(huì)知道你的生日。SecurityStats.com網(wǎng)站維護(hù)一個(gè)詳盡的可用/不可用口令列表，以及一個(gè)口令的可靠性測(cè)試。

2.關(guān)閉IP直接廣播(IP Directed Broadcast)

你的服務(wù)器是很聽話的。讓它做什么它就做什么，而且不管是誰發(fā)出的指令。Smurf攻擊是一種拒絕服務(wù)攻擊。在這種攻擊中，攻擊者使用假冒的源地址向你的網(wǎng)絡(luò)廣播地址發(fā)送一個(gè)“ICMP echo”請(qǐng)求。這要求所有的主機(jī)對(duì)這個(gè)廣播請(qǐng)求做出回應(yīng)。這種情況至少會(huì)降低你的網(wǎng)絡(luò)性能。

參考你的路由器信息文件，了解如何關(guān)閉IP直接廣播。例如，“Central(config)#no ip source-route”這個(gè)指令將關(guān)閉思科路由器的IP直接廣播地址。

3.如果可能，關(guān)閉路由器的HTTP設(shè)置

正如思科的技術(shù)說明中簡(jiǎn)要說明的那樣，HTTP使用的身份識(shí)別協(xié)議相當(dāng)于向整個(gè)網(wǎng)絡(luò)發(fā)送一個(gè)未加密的口令。然而，遺憾的是，HTTP協(xié)議中沒有一個(gè)用于驗(yàn)證口令或者一次性口令的有效規(guī)定。

雖然這種未加密的口令對(duì)于你從遠(yuǎn)程位置(例如家里)設(shè)置你的路由器也許是非常方便的，但是，你能夠做到的事情其他人也照樣可以做到。特別是如果你仍在使用默認(rèn)的口令!如果你必須遠(yuǎn)程管理路由器，你一定要確保使用SNMPv3以上版本的協(xié)議，因?yàn)樗С指鼑?yán)格的口令。

4.封鎖ICMP ping請(qǐng)求

ping的主要目的是識(shí)別目前正在使用的主機(jī)。因此，ping通常用于更大規(guī)模的協(xié)同性攻擊之前的偵察活動(dòng)。通過取消遠(yuǎn)程用戶接收ping請(qǐng)求的應(yīng)答能力，你就更容易避開那些無人注意的掃描活動(dòng)或者防御那些尋找容易攻擊的'目標(biāo)的“腳本小子”(script kiddies)。

請(qǐng)注意，這樣做實(shí)際上并不能保護(hù)你的網(wǎng)絡(luò)不受攻擊，但是，這將使你不太可能成為一個(gè)攻擊目標(biāo)。

5.關(guān)閉IP源路由

IP協(xié)議允許一臺(tái)主機(jī)指定數(shù)據(jù)包通過你的網(wǎng)絡(luò)的路由，而不是允許網(wǎng)絡(luò)組件確定最佳的路徑。這個(gè)功能的合法的應(yīng)用是用于診斷連接故障。但是，這種用途很少應(yīng)用。這項(xiàng)功能最常用的用途是為了偵察目的對(duì)你的網(wǎng)絡(luò)進(jìn)行鏡像，或者用于攻擊者在你的專用網(wǎng)絡(luò)中尋找一個(gè)后門。除非指定這項(xiàng)功能只能用于診斷故障，否則應(yīng)該關(guān)閉這個(gè)功能。

6.確定你的數(shù)據(jù)包過濾的需求

封鎖端口有兩項(xiàng)理由。其中之一根據(jù)你對(duì)安全水平的要求對(duì)于你的網(wǎng)絡(luò)是合適的。

對(duì)于高度安全的網(wǎng)絡(luò)來說，特別是在存儲(chǔ)或者保持秘密數(shù)據(jù)的時(shí)候，通常要求經(jīng)過允許才可以過濾。在這種規(guī)定中，除了網(wǎng)路功能需要的之外，所有的端口和IP地址都必要要封鎖。例如，用于web通信的端口80和用于SMTP的110/25端口允許來自指定地址的訪問，而所有其它端口和地址都可以關(guān)閉。

大多數(shù)網(wǎng)絡(luò)將通過使用“按拒絕請(qǐng)求實(shí)施過濾”的方案享受可以接受的安全水平。當(dāng)使用這種過濾政策時(shí)，可以封鎖你的網(wǎng)絡(luò)沒有使用的端口和特洛伊木馬或者偵查活動(dòng)常用的端口來增強(qiáng)你的網(wǎng)絡(luò)的安全性。例如，封鎖139端口和445(TCP和UDP)端口將使黑客更難對(duì)你的網(wǎng)絡(luò)實(shí)施窮舉攻擊。封鎖31337(TCP和UDP)端口將使Back Orifice木馬程序更難攻擊你的網(wǎng)絡(luò)。

這項(xiàng)工作應(yīng)該在網(wǎng)絡(luò)規(guī)劃階段確定，這時(shí)候安全水平的要求應(yīng)該符合網(wǎng)絡(luò)用戶的需求。查看這些端口的列表，了解這些端口正常的用途。

7.建立準(zhǔn)許進(jìn)入和外出的地址過濾政策

在你的邊界路由器上建立政策以便根據(jù)IP地址過濾進(jìn)出網(wǎng)絡(luò)的違反安全規(guī)定的行為。除了特殊的不同尋常的案例之外，所有試圖從你的網(wǎng)絡(luò)內(nèi)部訪問互聯(lián)網(wǎng)的IP地址都應(yīng)該有一個(gè)分配給你的局域網(wǎng)的地址。例如，192.168.0.1 這個(gè)地址也許通過這個(gè)路由器訪問互聯(lián)網(wǎng)是合法的。但是，216.239.55.99這個(gè)地址很可能是欺騙性的，并且是一場(chǎng)攻擊的一部分。

相反，來自互聯(lián)網(wǎng)外部的通信的源地址應(yīng)該不是你的內(nèi)部網(wǎng)絡(luò)的一部分。因此，應(yīng)該封鎖入網(wǎng)的192.168.X.X、172.16.X.X和10.X.X.X等地址。

最后，擁有源地址的通信或者保留的和無法路由的目標(biāo)地址的所有的通信都應(yīng)該允許通過這臺(tái)路由器。這包括回送地址127.0.0.1或者E類(class E)地址段240.0.0.0-254.255.255.255。

8.保持路由器的物理安全

從網(wǎng)絡(luò)嗅探的角度看，路由器比集線器更安全。這是因?yàn)槁酚善鞲鶕?jù)IP地址智能化地路由數(shù)據(jù)包，而集線器相所有的節(jié)點(diǎn)播出數(shù)據(jù)。如果連接到那臺(tái)集線器的一個(gè)系統(tǒng)將其網(wǎng)絡(luò)適配器置于混亂的模式，它們就能夠接收和看到所有的廣播，包括口令、POP3通信和Web通信。

然后，重要的是確保物理訪問你的網(wǎng)絡(luò)設(shè)備是安全的，以防止未經(jīng)允許的筆記本電腦等嗅探設(shè)備放在你的本地子網(wǎng)中。

9.花時(shí)間審閱安全記錄

審閱你的路由器記錄(通過其內(nèi)置的防火墻功能)是查出安全事件的最有效的方法，無論是查出正在實(shí)施的攻擊還是未來攻擊的征候都非常有效。利用出網(wǎng)的記錄，你還能夠查出試圖建立外部連接的特洛伊木馬程序和間諜軟件程序。用心的安全管理員在病毒傳播者作出反應(yīng)之前能夠查出“紅色代碼”和“Nimda”病毒的攻擊。

此外，一般來說，路由器位于你的網(wǎng)絡(luò)的邊緣，并且允許你看到進(jìn)出你的網(wǎng)絡(luò)全部通信的狀況。

內(nèi)網(wǎng)管理安全

信息技術(shù)在給我們的日常生活和工作帶來便利的同時(shí)，也存在很大的安全隱患，數(shù)字化傳輸數(shù)據(jù)使得企業(yè)數(shù)據(jù)變得更容易泄漏，而且企業(yè)內(nèi)網(wǎng)沒有絕對(duì)的安全，稍不留意或防護(hù)就可能會(huì)遭到病毒的入侵，所以就需要對(duì)內(nèi)網(wǎng)中各個(gè)環(huán)節(jié)的使用進(jìn)行全面管理。管理者可以用域之盾系統(tǒng)對(duì)企業(yè)內(nèi)網(wǎng)終端安全及數(shù)據(jù)安全進(jìn)行多角度管理，比如：

1.文檔透明加密

為保護(hù)企業(yè)文檔安全，可以通過文檔透明加密的方式對(duì)辦公常用文檔類型加密，加密文檔類型下的文件打開后都是加密狀態(tài)，且只能帶企業(yè)局域網(wǎng)下正常打開使用，私自外發(fā)出去都是亂碼的，想對(duì)文件外發(fā)需要提前向管理端審批；

2.文件外發(fā)操作及自動(dòng)備份

在文檔安全中可以對(duì)文檔修改或刪除時(shí)進(jìn)行自動(dòng)備份，和對(duì)文件的修改或刪除進(jìn)行操作記錄，并且可以限制郵件客戶端、網(wǎng)頁和聊天工具等外發(fā)文件行為，還能夠自定義程序的進(jìn)程來禁止外發(fā)文件；

3.U盤使用及usb接口管理

可以通過U盤管理限制員工隨意使用U盤，比如可以設(shè)置U盤僅讀取、僅寫入和禁止使用等權(quán)限，還可以設(shè)置U盤白名單、U盤文件加密和U盤插拔記錄等，還能夠在外設(shè)管理中禁用便攜式設(shè)備、移動(dòng)硬盤、usb外設(shè)、藍(lán)牙設(shè)備、紅外設(shè)備和無線網(wǎng)卡等；

4.屏幕錄制及本地操作審計(jì)

可以在本地審計(jì)中開啟屏幕錄制和屏幕快照審計(jì)，這樣就能夠記錄到員工在電腦上做了哪些操作，還可以開啟應(yīng)用程序?qū)徲?jì)、剪貼板審計(jì)、文件操作記錄和打印審計(jì)等；

5.上網(wǎng)行為審計(jì)與管理

可以對(duì)員工的上網(wǎng)行為進(jìn)行審計(jì)記錄，可以開啟瀏覽網(wǎng)站審計(jì)、網(wǎng)絡(luò)搜索審計(jì)、郵件發(fā)送審計(jì)、上傳下載審計(jì)和多種常用聊天工具的內(nèi)容審計(jì)，并且通過網(wǎng)站訪問控制和應(yīng)用程序管控的黑白名單可設(shè)置員工在電腦上只能夠做哪些事情，或禁止做哪些事情。

當(dāng)前名稱：內(nèi)網(wǎng)服務(wù)器怎么安全 內(nèi)網(wǎng)服務(wù)器怎么上網(wǎng)
分享URL：http://chinadenli.net/article30/dojoiso.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供品牌網(wǎng)站設(shè)計(jì)、網(wǎng)站策劃、手機(jī)網(wǎng)站建設(shè)、域名注冊(cè)、網(wǎng)頁設(shè)計(jì)公司、ChatGPT

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來源： 創(chuàng)新互聯(lián)