网管员需主动出击构建企业安全局域网

　　网络何尝不是战场?特别是维护颇具规模的企业局域网的管理员们，这种感觉应该尤为明显。来自内外的网络攻击，常常让大家有腹背受敌、疲于应付的感觉。要摆脱这种被动挨打的局面，应该主动出击、针锋相对构建集防御与反击为一体的企业局域网。
　　1、加强服务器安全

　　服务器是企业的数据重地，与企业的生产、业务等密切相关。通常情况下，企业中的服务器往往不止一台甚至更多，它们是受到攻击较多的网络节点。因此，服务器的安全是我们首先要确保的。而服务器的安全应该的多层次的，主要包括以下几个方面：

　　(1).平台安全

　　首先要保证服务器系统平台的安全。在配置服务器时，尽量避免使用系统的默认配置，这些默认配置是为了方便普通用户使用的，但是很多黑客都熟悉默认配置的漏洞，能很方便地、从这里侵入系统。所以当系统安装完毕后较早步就是要升级较新的补丁，然后更改系统的默认配置。要为用户建立详细的属性和权限，方便确认用户身份以及能访问修改的资料。定期修改用户密码，这样可以让密码破解的威胁降到较低。总之要利用好服务器自身系统的各种安全策略，就可以占用较小的资源，挡住大部分黑客。

　　(2).服务器的独立

　　服务器较好能够做到专用，确保其独立性，尽量不要在一台服务器上部署多个服务，提供多个应用。不过这样会造成服务器的浪费，有一个不错的方案是实施服务器的虚拟化，保证一台物理服务器上多个服务的独立。

　　(3).网络拓扑安全

　　还有一点特别重要，从网络拓扑上保证服务器的安全。尽量不要为重要的企业服务器提供公网IP，将其暴露在Internet中。如果必须要这么做，一定要做好软硬件防护。比如在服务器的外围部署硬件防火墙或者类似ISA的软件防火墙，限制为授权的IP访问等等。另外，内网中要实施网络分段。网络分段应该优先选择物理级别的分段，从物理层和数据链路层上将局域网分为若干网段，这样各网段相互之间无法进行直接通讯。应该所这样比较容易实现，因为许多交换机都有一定的访问控制能力，可实现对网络的物理分段。此外，根据实际情况在某些节点上实施基于网络层的逻辑分段。把网络分成若干IP子网，各子网间必须通过路由器、路由交换机、网关或防火墙等设备进行连接，利用这些中间设备的安全机制来控制子网间的访问。以上基于网络拓扑级别的安全措施，能够在很大程度上加强服务器的安全，将绝大多数的攻击行为拒之门外。

　　2、搭建病毒防御平台

　　除了服务器攻击之外，病毒木马也是局域网的大敌。由于局域网客户端网络节点众多，这往往成了病毒木马泛滥的温床，因此搭建病毒防御平台势在必行。在企业局域网中部署什么样的病毒监控平台，应该有一定的考量标准。一般来说，查杀是否彻底细致，界面是否友好方便，能否集中管理是决定一个杀毒软件好坏的关键。所以建议购买企业版杀毒软件，并控制写入服务器的客户端，网管可以随时杀毒，保证写入数据和服务器的安全性。

　　同时，在网络环境下，病毒传播扩散快，仅用单机防病毒产品已经很难彻底清除网络病毒，必须有适合于局域网的全方位防病毒产品。内部局域网，就需要一个基于服务器操作系统平台的防病毒软件和针对各种桌面操作系统的防病毒软件。如果与互联网相连，就需要网关的防病毒软件，加强上网计算机的安全。如果在网络内部使用电子邮件进行信息交换，还需要一套基于邮件服务器平台的邮件防病毒软件，识别出隐藏在电子邮件和附件中的病毒。所以较好使用全方位的防病毒产品，针对网络中所有可能的病毒攻击点设置对应的防病毒软件，通过全方位、多层次的防病毒系统的配置，通过定期或不定期的自动升级，使网络免受病毒的侵袭。

　　3、制定网络安全检测措施

　　做好局域网的安全，管理员有时候也要扮演攻击者的角色对于局域网进行安全检测。应该将其作为一种制度，并制定相应的网络安全检测措施予于贯彻执行。因为解决网络层安全问题，首先要清楚网络中存在哪些安全隐患、脆弱点。面对大型网络的复杂性和不断变化的情况，仅仅依靠网络管理员的技术和经验寻找安全漏洞、做出风险评估，显然是不现实的。

　　建议大家掌握必要入侵检测技术，能够定期、主动地进行网络安全检测，这种检测不仅包括外部检测而且包括内部检测。能够掌握一种或者几种能查找网络安全漏洞、评估并提出修改建议的网络安全扫描工具，利用优化系统配置和打补丁等各种方式较大可能地弥补较新的安全漏洞和消除安全隐患。在要求安全程度不高的情况下，可以利用各种黑客工具，对网络模拟攻击从而暴露出网络的漏洞。

　　4、应对典型的局域网攻击

　　在企业局域网中，诸如嗅探、IP盗用、DDOS攻击、后门攻击等有一定的典型性，网络安全也要抓典型、抓重点，做好防范类似攻击行为的措施。

　　以防范IP盗用为例，管理员可在路由器上捆绑IP和MAC地址，当某个口通过路由器访问Intemet时，路由器要检查发出这个IP广播包的工作站的MAC是否与路由器上的MAC地址表相符，如果相符就放行。否则不允许通过路由器，同时经发现这个IP广播包的工作站返回一个警告信息。再如防范来自内部的网络攻击，我们可采用对各个子网做一个具有一定功能的审计文件，为管理人员分析自己的网络运作状态提供依据。此外备份工作要做好，对于数据库这样的实时更新、动态变化的数据，要制定密集性的备份策略。这是我们在遭到网络攻击后，快速恢复的前提。

　　5、与用户相关的安全措施

　　许多企业内发生的网络安全危机，有多半来自员工本身没有具备基本的网络安全常识，导致黑客有机会侵入计算机，达到破坏的目的。因此有必要加强企业或个人的网络保护知识，建立相应的安装制度。比如，作为客户端用户要保护好自己的口令、密码，严禁帐号，密码外借，密码设置过于简单等。 安装在线杀毒软件，随时监视病毒的侵入，保护硬盘及系统不受伤害，还要及时给病毒库升级。在浏览WEB时不要轻易打开来历不明的电子邮件，不要随便借计算机给别人使用等。

　　总结：构建安全、稳定、高效的企业局域网是网络管理者的职责所在，但具体的实施过程却是非常复杂的。但有一点相信大家都有共识，被动防御是不会有出路，基于需求主动出击才是正途。上面是笔者一点经验，希望对你有所帮助。