构建企业安全局域网 网管员要主动出击

    网络何尝不是战场?特别是维护颇具规模的企业局域网的管理员们，这种感觉应该尤为明显。来自内外的网络攻击，常常让大家有腹背受敌、疲于应付的感觉。要摆脱这种被动挨打的局面，应该主动出击、针锋相对构建集防御与反击为一体的企业局域网。

　　1、加强服务器安全

　　服务器是企业的数据重地，与企业的生产、业务等密切相关。通常情况下，企业中的服务器往往不止一台甚至更多，它们是受到攻击最多的网络节点。因此，服务器的安全是我们首先要确保的。而服务器的安全应该的多层次的，主要包括以下几个方面：

　　(1).平台安全

　　首先要保证服务器系统平台的安全。在配置服务器时，尽量避免使用系统的默认配置，这些默认配置是为了方便普通用户使用的，但是很多黑客都熟悉默认配置的漏洞，能很方便地、从这里侵入系统。所以当系统安装完毕后第一步就是要升级最新的补丁，然后更改系统的默认配置。要为用户建立详细的属性和权限，方便确认用户身份以及能访问修改的资料。定期修改用户密码，这样可以让密码破解的威胁降到最低。总之要利用好服务器自身系统的各种安全策略，就可以占用最小的资源，挡住大部分黑客。

　　(2).服务器的独立

　　服务器最好能够做到专用，确保其独立性，尽量不要在一台服务器上部署多个服务，提供多个应用。不过这样会造成服务器的浪费，有一个不错的方案是实施服务器的虚拟化，保证一台物理服务器上多个服务的独立。

　　(3).网络拓扑安全

　　还有一点特别重要，从网络拓扑上保证服务器的安全。尽量不要为重要的企业服务器提供公网IP，将其暴露在Internet中。如果必须要这么做，一定要做好软硬件防护。比如在服务器的外围部署硬件防火墙或者类似ISA的软件防火墙，限制为授权的IP访问等等。另外，内网中要实施网络分段。网络分段应该优先选择物理级别的分段，从物理层和数据链路层上将局域网分为若干网段，这样各网段相互之间无法进行直接通讯。应该所这样比较容易实现，因为许多交换机都有一定的访问控制能力，可实现对网络的物理分段。此外，根据实际情况在某些节点上实施基于网络层的逻辑分段。把网络分成若干IP子网，各子网间必须通过路由器、路由交换机、网关或防火墙等设备进行连接，利用这些中间设备的安全机制来控制子网间的访问。以上基于网络拓扑级别的安全措施，能够在很大程度上加强服务器的安全，将绝大多数的攻击行为拒之门外。