建立防火牆的主動性網絡安全體系

防火牆和其它反病毒類軟件都是很好的安全產品，但是要讓你的網絡體系具有最高級別的安全等級，還需要你具有一定的主動性。

你是不是每天都會留意各種黑客攻擊、病毒和蠕蟲入侵等消息，不過當你看到這些消息時，也許你的系統已經受到攻擊了。而現在，我要給你介紹一種更具主動性的網絡安全模型，通過它，就算再出現什麼新病毒，你也可以對企業的網絡系統感到放心。

類似於防火牆或者反XX類軟件(如反病毒、反垃圾郵件、反間諜軟件等)，都是屬於被動型或者說是反應型安全措施。在攻擊到來時，這類軟件都會產生相應的對抗動作，它們可以作為整個安全體系的一部分，但是，你還需要建立一種具有主動性的安全模型，防護任何未知的攻擊，保護網絡安全。另外，雖然在安全方面時刻保持警惕是非常必要的，但是事實上很少有企業有能力24小時不間斷的派人守護網絡。

在實現一個具有主動性的網絡安全架構前，你需要對現有的主流網絡安全體系有一個大概的了解。防護方法包括四個方面：防火牆、VPN、反病毒軟件，以及入侵檢測系統(IDS)。防火牆可以檢測數據包並試圖阻止有問題的數據包，但是它並不能識別入侵，而且有時候會將有用的數據包阻止。VPN則是在兩個不安全的計算機間建立起一個受保護的專用通道，但是它並不能保護網絡中的資料。反病毒軟件是與其自身的規則密不可分的，而且面對黑客攻擊，基本沒有什麼反抗能力。同樣，入侵檢測系統也是一個純粹的受激反應系統，在入侵發生後才會有所動作。

雖然這四項基本的安全措施對企業來說至關重要，但是實際上，一個企業也許花費了上百萬購買和建立的防火牆、VPN、反病毒軟件以及IDS系統，但是面對黑客所采用的“通用漏洞批露”(CVE)攻擊方法卻顯得無能為力。CVE本質上說是應用程序內部的漏洞，它可以被黑客利用，用來攻擊網絡、竊取信息，並使網絡癱瘓。據2004 E-Crime Survey(2004 電子犯罪調查)顯示，90%的網絡安全問題都是由於CVE引起的。

具有主動性的網絡安全模式是對上述四種安全措施的綜合管理，使得用戶可以從這四種安全措施中獲得最大的安全性，同時也是為用戶添加一個漏洞管理系統。在這種系統中，一個更有效的防火牆可以正確的攔截數據資料。一個更有效的反病毒程序則更少機會被激活，因為攻擊系統的病毒數量更少了。而IDS則成為了一個備份系統，因為很少人能入侵系統而激活報警機制。而使用漏洞管理系統來防止CVE帶來的入侵則是整個系統最重要的部分。

為什麼這麼說呢？從上面提到的調查看，95%的攻擊是由於系統的漏洞或對系統的錯誤配置而造成的。在現實生活中也是一樣，大家都試圖將竊賊拒之門外，而很少考慮到當盜賊已經進入屋子後該怎防護。正如你不會在外出時讓大門敞開，為什麼不給網絡再加一把鎖呢。

實現主動性的網絡安全模型

那麼作為一家企業的技術人員，你該如何保護企業的網絡呢？下面我會介紹幾個簡單的步驟，幫助你實現一個具有主動性的安全網絡。首先你需要開發一套安全策略，並強迫所有企業人員遵守這一規則。同時，你需要屏蔽所有的移 動設備，並開啟無線網絡的加密功能以增強網絡的安全級別。為你的無線路由器打好補丁並確保防火牆可以正常工作是非常重要的。之後檢查系統漏洞，51自學網，如果發現漏洞就立即用補丁或其它方法將其保護起來，這樣可以防止黑客利用這些漏洞竊取公司的資料，或者令你的網絡癱瘓。以下是各個步驟的實現細節：

開發一個安全策略

實現良好的網絡安全總是以一個能夠起到作用的安全策略為開始的。就算這個安全策略只有一頁，公司的全體人員包括總經理在內，都必須按照這個策略來執行。基本的規則包括從指導員工如何建立可靠的密碼到業務連續計劃以及災難恢復計劃(BCP和DRP)。比如，你應該有針對客戶的財產和其它保密信息的備份策略，比如一個鏡象系統，以便在災難發生後可以迅速恢復數據。在有些情況，你的BCP和DRP也許需要一個“冷”或“熱”的站點，以便當災難發生或者有攻擊時你可以快速將員工的工作重新定向到新的站點。執行一個共同的安全策略也就意味著你向具有主動性安全網絡邁出了第一步。

減少對安全策略的破壞

不論是有限網絡，還是筆記本或者無線設備，都很有可能出現破壞安全策略的情況。很多系統沒有裝防病毒軟件、防火牆軟件，同時卻安裝了很多點對點的傳輸程序(如Kazaa、Napster、Gnutella、BT、eMule等)以及即時消息軟件等，它們都是網絡安全漏洞的根源。因此，你必須強制所有的終端安裝反病毒軟件，並開啟Windows XP內建的防火牆，或者安裝商業級的桌面防火牆軟件，同時卸載點對點共享程序以及亂七八糟的聊天軟件。

封鎖移 動設備

對於企業的網絡來說，最大的威脅可能就是來自那些隨處移 動的筆記本或其它移 動終端，它們具有網絡的接入權限，可以隨時接入公司的網絡。但是正因為它們具有移 動特性，可以隨著員工遷移到其它不安全的網絡並暴露在黑客的攻擊之下，當這些筆記本電腦再次回到公司的網絡環境時，就成了最大的安全隱患。其它無線終端也和筆記本有類似的情況。

據Forrester Research調查，到2005年，世界總共將有3500萬移 動設備用戶，而到2010年，這個數字將增加到150億。我們不是數學家，不需要具體算出到底這些移 動設備會給企業的網絡增加多少受攻擊的幾率，只需要知道這將是企業網絡安全所面臨的巨大考驗。任何一個系統都有可能由於未經驗證的用戶的訪問而被感染。

通過安全策略，你可以讓網絡針對無線終端具有更多的審核，比如快速檢測到無線終端的接入，然後驗證這些終端是否符合你的安全策略，是否是經過認證的用戶，是否有明顯的系統漏洞等。
開啟無線網絡加密功能

在無線網絡系統中，無線網絡加密 (Wireless Encryption，WEP)應該處於開啟狀態，並應該設置為最高安全級別。而且管理者的用戶名和密碼需要經常及時更換。但是這些措施也並不能夠完全防止黑客通過你的無線路由器入侵企業內部網絡。這是由於在大多數無線路由器中，都包含有目前尚未被修補的CVE，黑客可以利用這些CVE進行攻擊。一些高級的黑客會下載免費的工具對這些漏洞進行更高級的利用，以此完全攻破你的安全系統。

為無線路由器打補丁，並使用其自帶的防火牆功能

我強烈建議用戶在使用無線路由器時及時更新產品的固件，而且如果無線路由器有內置防火牆功能，一定學習如何使用並配置它，開啟這個防火牆。你也可以限制同時接入無線路由器的用戶數量，如果企業員工數量不是很多，完全沒有必要讓路由器設置為可以接納無限多的用戶。比如企業只有十五個員工，那麼就設置無線路由器只能同時接入十五個連接好了。

設置你的防火牆

雖然防火牆並沒有特別強的安全主動性，但是它可以很好的完成自己該做的那份工作。你應該為防火牆設置智能化的規則，以便關閉那些可能成為黑客入侵途徑的端口。比如1045端口就是SASSER蠕蟲的攻擊端口，因此你需要為防火牆建立規則，屏蔽所有系統上的1045端口。另外，當筆記本或其它無線設備連接到網絡中時，防火牆也應該具有動態的規則來屏蔽這些移 動終端的危險端口。

下載安裝商業級的安全工具

目前與安全有關的商業軟件相當豐富，你可以從網上下載相應的產品來幫助你保護企業網絡。這類產品從安全策略模板到反病毒、反垃圾郵件程序等，應有盡有。微軟也針對系統的漏洞不斷給出升級補丁。所有這些工具都可以有效地提升網絡的安全等級，因此你應該充分利用它們。

禁止潛在的可被黑客利用的對象

“浏覽器助手(BHO)”是最常見的可被黑客利用的對象。它一般用來監測用戶的頁面導航情況以及監控文件下載。BHO一般是在用戶不知情的情況下被安裝在系統中的，由於它可以將外界的信息存入你的系統，因此對網絡安全來說是一個威脅。有些人利用BHO對象開發出了間諜軟件，並盡量將起隱藏起來。一般來說，間諜軟件都會不斷變種，盡量避免被流行的間諜軟件檢測程序所發現，直到間諜軟件檢測程序進行了升級。如果你想看看自己的系統中到底有多少BHO，可以從Definitive Solutions公司的網站上下載BHODemon工具進行檢測。

BHO是通過ADODB流對象在IE中運行的。通過禁止ADODB流對象，你就可以防止BHO寫入文件、運行程序以及在你的系統上進行其它一些動作。要禁止ADODB流對象，你可以訪問微軟的技術支持頁面。

留意最新的威脅

據計算機安全協會 (CSI)表示，2002 CSI/FBI計算機犯罪和安全調查顯示，“計算機犯罪和信息安全的威脅仍然不衰退，並且趨向於金融領域”。因此，你需要時刻留意網絡上的最新安全信息，以便保護自己的企業。網絡上很多地方可以提供最新的安全信息。

彌補已知的漏洞

系統上已知的漏洞被稱為“通用漏洞批露”(CVEs)，它是由MITRE組織匯編整理的漏洞信息。通過打補丁或其它措施，你可以將網絡中所有系統的CVE漏洞彌補好。目前通過工具軟件，你可以快速檢測系統的CVE漏洞並將其修補好。有關這方面更多的信息，你可以查閱cve.mitre.org網站。

總的來說，一個具有主動性的網絡安全模型是以一個良好的安全策略為起點的。之後你需要確保這個安全策略可以被徹底貫徹執行。最後，由於移 動辦公用戶的存在，你的企業和網絡經常處在變化中，你需要時刻比那些黑客、蠕蟲、惡意員工以及各種互聯網罪犯提前行動。要做到先行一步，你應該時刻具有主動性的眼光並在第一時刻更新的你安全策略，同時你要確保系統已經安裝了足夠的防護產品，來阻止黑客的各種進攻嘗試。雖然安全性永遠都不是百分之百的，但這樣做足可以使你處於優勢地位。