第一、物理安全 

      除了要保證要有電腦(計算機(電腦))鎖之外，我們更多的要注意防火，要將電線和網絡放在比較隱蔽的地方。我們還要準備UPS，以確保網絡能夠以持續的電壓運行，在電子學中，峰值電壓是一個非常重要的概念，峰值電壓高的時候可以燒壞電器，迫使網絡癱瘓，峰值電壓 小的時候，網絡根本不能運行。使用UPS可以排除這些意外。另外我們要做好防老鼠咬壞網線。

　　第二、系統安全（口令安全）

　　我們要盡量使用大小寫字母和數字以及特殊符號混合的密碼，但是自己要記住，我也見過很多這樣的網管，他的密碼設置的的確是復雜也安全，但是經常自己都記不來，每次都要翻看筆記本。另外我們 好不要使用空口令或者是帶有空格的，這樣很容易被一些黑客識破。

　　我們也可以在屏保、重要的應用程序上添加密碼，以確保雙重安全。

　　第三、打補丁

　　我們要及時的對系統補丁進行更新，大多數病毒和黑客都是通過系統漏洞進來的，例如今年五一風靡全球臭名昭著的振蕩波就是利用了微軟的漏洞ms04-011進來的。還有一直殺不掉的SQLSERVER上的病毒slammer也是通過SQL的漏洞進來的。所以我們要及時對系統和應用程序打上 新的補丁，例如IE、OUTLOOK、SQL、OFFICE等應用程序。

　　另外我們要把那些不需要的服務關閉，例如TELNET，還有關閉Guset帳號等。

　　第四、安裝防病毒軟件

　　病毒掃描就是對機器中的所有文件和郵件內容以及帶有。exe的可執行文件進行掃描，掃描的結果包括清除病毒，刪除被感染文件，或將被感染文件和病毒放在一臺隔離文件夾里面。所以我們要對全網的機器從網站服務器(server網絡資源下載)到郵件服務器(server網絡資源下載)到文件服務器(server網絡資源下載)知道客戶機都要安裝殺毒軟件（反病毒軟件或防毒軟件殺毒軟件下載），并保持 新的病毒定義碼。我們知道病毒一旦進入電腦(計算機(電腦))，他會瘋狂的自我復制，遍布全網，造成的危害巨大，甚至可以使得系統崩潰，丟失所有的重要資料。所以我們要至少每周一次對全網的電腦(計算機(電腦))進行集中殺毒，并定期的清除隔離病毒的文件夾。

　　第五、應用程序

　　我們都知道病毒有超過一半都是通過電子郵件進來的，所以除了在郵件服務器(server網絡資源下載)上安裝防病毒軟件之外，還要對PC機上的outlook防護，我們要提高警惕性，當收到那些無標題的郵件，或是你不認識的人發過來的，或是全是英語例如什么happy99，money，然后又帶有一個附件的郵件，建議您 好直接刪除，不要去點擊附件，因為百分之九十以上是病毒。我前段時間就在一個政府部門碰到這樣的情況，他們單位有三個人一直收到郵件，一個小時竟然奇跡般的收到了2000多封郵件，致使 后郵箱爆破，起初他們懷疑是黑客進入了他們的網絡， 后當問到這幾個人他們都說收到了一封郵件，一個附件，當去打開附件的時候，便不斷的收到郵件了，直至 后郵箱撐破。 后查出還是病毒惹的禍。

　　除了不去查看這些郵件之外，我們還要利用一下outlook中帶有的黑名單功能和郵件過慮的功能。

　　很多黑客都是通過你訪問網頁的時候進來的，你是否經常碰到這種情況，當你打開一個網頁的時候，會不斷的跳出非常多窗口，你關都關不掉，這就是黑客已經進入了你的電腦(計算機(電腦))，并試圖控制你的電腦(計算機(電腦))。

　　所以我們要將IE的安全性調高一點，經常刪除一些cookies和脫機文件，還有就是禁用那些ActiveX的控件。

　　第六、代理服務器(server網絡資源下載)

　　代理服務器(server網絡資源下載) 先被利用的目的是可以加速訪問我們經常看的網站，因為代理服務器(server網絡資源下載)都有緩沖的功能，在這里可以保留一些網站與IP地址的對應關系。

　　要想了解代理服務器(server網絡資源下載)，首先要了解它的工作原理：

　　環境：局域網里面有一臺機器裝有雙網卡，充當代理服務器(server網絡資源下載)，其余電腦(計算機(電腦))通過它來訪問網絡。

　　1、內網一臺機器要訪問新浪，于是將請求發送給代理服務器(server網絡資源下載)。

　　2、代理服務器(server網絡資源下載)對發來的請求進行檢查，包括題頭和內容，然后去掉不必要的或違反約定的內容。

　　3、代理服務器(server網絡資源下載)重新整合數據包，然后將請求發送給下一級網關。

　　4、新浪網回復請求，找到對應的IP地址。

　　5、代理服務器(server網絡資源下載)依然檢查題頭和內容是否合法，去掉不適當的內容。

　　6、重新整合請求，然后將結果發送給內網的那臺機器。

　　由此可以看出，代理服務器(server網絡資源下載)的優點是可以隱藏內網的機器，這樣可以防止黑客的直接攻擊，另外可以節省公網IP。缺點就是每次都要經由服務器(server網絡資源下載)，這樣訪問速度會變慢。另外當代理服務器(server網絡資源下載)被攻擊或者是損壞的時候，其余電腦(計算機(電腦))將不能訪問網絡。

第七、防火墻

　　提到防火墻，顧名思義，就是防火的一道墻。防火墻的 根本工作原理就是數據包過濾。實際上在數據包過濾的提出之前，都已經出現了防火墻。

　　數據包過濾，就是通過查看題頭的數據包是否含有非法的數據，我們將此屏蔽。

　　舉個簡單的例子，假如體育中心有一場劉德華演唱會，檢票員坐鎮門口，他首先檢查你的票是否對應，是否今天的，然后撕下右邊的一條，將剩余的給你，然后告訴你演唱會現場在哪里，告訴你怎么走。這個基本上就是數據包過濾的工作流程吧。

　　你也許經常聽到你們老板說：要增加一臺機器它可以禁止我們不想要的網站，可以禁止一些郵件它經常給我們發送垃圾郵件和病毒等，但是沒有一個老板會說：要增加一臺機器它可以禁止我們不愿意訪問的數據包。實際意思就是這樣。接下來我們推薦幾個常用的數據包過濾工具。

　　 常見的數據包過濾工具是路由器。

　　另外系統中帶有數據包過濾工具，例如LinuxTCP/IP中帶有的ipchain等windows2000帶有的TCP/IPFiLTEring篩選器等，通過這些我們就可以過濾掉我們不想要的數據包。

　　防火墻也許是使用 多的數據包過濾工具了，現在的軟件防火墻和硬件防火墻都有數據包過濾的功能。接下來我們會重點介紹防火墻的。

　　防火墻通過一下方面來加強網絡的安全：

　　1、策略的設置

　　策略的設置包括允許與禁止。允許例如允許我們的客戶機收發電子郵件，允許他們訪問一些必要的網站等。例如防火墻經常這么設置，允許內網的機器訪問網站、收發電子郵件、從FTP下載資料等。這樣我們就要打開80、25、110、21端口，開HTTP、SMTP、POP3、FTP等。

　　禁止就是禁止我們的客戶機去訪問哪些服務。例如我們禁止郵件客戶來訪問網站，于是我們就給他打開25、110，關閉80。

　　2、NAT

　　NAT，即網絡地址轉換，當我們內網的機器在沒有公網IP地址的情況下要訪問網站，這就要用到NAT。工作過程就是這樣，內網一臺機器192.168.0.10要訪問新浪，當到達防火墻時，防火墻給它轉變成一個公網IP地址出去。一般我們為每個工作站分配一個公網IP地址。

　　防火墻中要用到以上提到的數據包過濾和代理服務器(server網絡資源下載)，兩者各有優缺點，數據包過濾僅僅檢查題頭的內容，而代理服務器(server網絡資源下載)除了檢查標題之外還要檢查內容。當數據包過濾工具癱瘓的時候，數據包就都會進入內網，而當代理服務器(server網絡資源下載)癱瘓的時候內網的機器將不能訪問網絡。

　　另外，防火墻還提供了加密、身份驗證等功能。還可以提供對外部用戶VPN的功能。

　　第八、DMZ

　　DMZ本來是朝鮮的南北大戰的時候，提出的停火帶。但是在我們網絡安全里面，DMZ來放置例如網站服務器(server網絡資源下載)、郵件服務器(server網絡資源下載)、DNS服務器、FTP服務器等。

　　我們可以通過DMZ出去，這樣就為黑客進來提供了通道，所以我們有必要添加第二臺防火墻，來加強我們的網絡安全。

　　這樣帶來的麻煩就是從網上下載，首先要來驗證安全性，下載的時候要等一會。

　　第九、IDS

　　我們使用了防火墻和防病毒之后，使用IDS來預防黑客攻擊。

　　IDS，就是分析攻擊事件以及攻擊的目標與攻擊源，我們利用這些可以來抵御攻擊，以將損壞降低到 低限度。

　　目前IDS還沒有象防火墻那樣用的普遍，但是這個也將是未來幾年的趨勢，現在一些政府已經開始使用。

　　國內著名的IDS廠家例如金諾網安、中聯綠盟、啟明星辰。

　　第十、VPN

　　以前我們都是通過電話和郵件來和外地的分公司聯系。分公司從總公司找一些文件都是通過撥號上網，即使用點對點協議，這樣安全，但是花費很高。VPN可以解決這一點。

　　第十一、分析時間日志與記錄

　　我們要經常的來查看防火墻日志、入侵檢測的日志以及查看防病毒軟件的更新組件是否 新等。

　　第十二、網管軟件

　　千防萬防，家賊難防！所以說現在還要需要一款局域網網絡管理的軟件，一來可以更好的把網絡資源充分的利用起來，二是可以通過管理員工的上網行為來防止公司重要信息外泄，同時也能降到公司網絡中病毒的可能性。三是，可以記錄員工的網絡行為，如果出事了可以找到元兇！
【看看這篇文章在百度的收錄情況】

相關文章

• 上一篇： 小疏忽，讓“飯碗”險受威脅
• 下一篇： 網管IIS的十個黃金法則