【IT168 专稿】上期笔者为各位读者介绍了在企业网络存在的前五大安全隐患，这些安全隐患都是针对员工计算机而言的，在保证员工使用计算机都没有隐患的前提下，我们才能就网络这个整体的安全来预防。今天笔者将介绍从网络形式到访问控制列表以及服务漏洞等多个存在于企业网的安全隐患。

    数据冲突与广播风暴问题源于网络结构：
    有的时候即使保证每台员工计算机没有任何安全问题，但是由于网络结构规划不合理，也会带来一定的安全问题，其中数据冲突与广播风暴是两个最常见的隐患。

    危险指数：★★★★

    隐患症状：
    以往很多企业都是使用集线器来建立网络的，众所周知集线器属于物理层设备，连接到集线器上的每个设备都在同一个冲突域中，这样就造成了一个问题，那就是在一个冲突域中同一时间只能有一个数据在传输，当其他设备也要传输时只能等待该数据传完，因此设备传输数据就变得缓慢。而广播风暴同样是因为网络规划不合理，网络中存在环路造成的一种安全隐患。最终结果是网络中所有设备都无法连接网络，网卡负载100%。

    应对方法：
    首先我们说下数据冲突的应对方法，数据冲突问题是不能彻底解决的，我们只能最大限度的减少冲突域中的设备数量，减少这种冲突发生的机率。最有效的方法就是用交换机来搭建企业网络，这种搭建方法已经非常普遍的，连接到交换机的每个端口都拥有自己独立的冲突域，和集线器那种到其所有端口在同一个冲突域相比优势是非常明显的。

    然而我们说下减少广播风暴的方法，第一是减少网络中环路问题的发生，不要出现两根交换机用两条网线连接；第二是尽量在交换机上通过配置VLAN虚拟局域网来分割广播域，这样即使有广播风暴现象发生，也不会造成太大的损失。

    ARP欺骗源于管理不严：
    如果询问网络管理员对目前的哪种攻击最为头疼，恐怕十有八九会选择ARP欺骗，所谓ARP欺骗就是通过修改MAC地址的方法，让网络数据不知道如何传输，从而让某些计算机无法上网。

    危险指数：★★★★★

    隐患症状：
    非法用户或感染病毒的计算机会自动启动ARP欺骗扫描程序，扫描网络中所有在线计算机，然而通过ARP欺骗的方法阻止部分计算机的上网，特别是当他对网关地址进行ARP欺骗时，企业内部所有计算机都将无法正常上网。

    应对方法：
    对付ARP欺骗的方法不多，重要的是在于网络管理员对网络的管理，一个好的网络管理员会在安装操作系统时将每台员工计算机的IP地址，MAC地址等信息做一个记录，然而把这个记录进行统计，在交换机上执行MAC地址与IP地址绑定的操作。这样即使某台计算机执行了ARP欺骗操作，也会因为MAC地址与IP地址不符而失败。当然网络管理员除了制定MAC地址与IP地址绑定的操作外，还可以通过一些专门的对付ARP欺骗的软件来解决ARP欺骗带来的问题。

    交换路由设备不设防：
    很多企业的网络管理员只注重员工计算机和企业服务器的防范工作，然而他们却忽视了另外一个重要的因素，如果这个因素没有处理好，那么企业的网络将存在巨大的安全隐患，更有甚者会造成企业网络的全部瘫痪。

    危险指数：★★★★★

    隐患症状：
    企业的核心设备路由器和交换机没有妥善的保管，没有设置安全防范措施，造成非法黑客可以通过不停的TELNET来尝试密码，如果密码设置的不强大，很有可能出现黑客登录到核心路由交换设备上随意更改企业的网络设置，想让哪个设备上不了网都可以做到，甚至让企业内部网络彻底崩溃。

    应对方法：
    一方面我们可以为自己的路由交换设备添加一个强大的登录密码，一些厂商的路由交换设备不仅仅通过密码来保护设备的安全，有的时候还会添加用户名这个参数，所以设置一个强大的用户名和密码是必不可少的。

    但是这种设置密码的方法仍然治标不治本，只要时间和网络带宽容许，黑客依然可以通过暴力破解的方法进行入侵。根据笔者经验对付这种外网入侵的唯一办法就是通过访问控制列表来实现。我们可以设置使用telnet的IP地址只能是企业内部的计算机，甚至只容许你这个网络管理员所使用的计算机IP地址，而其他地址都不容许telnet登录，这样即使黑客知道了你的路由交换设备密码，只要不能夺取网络管理员自己计算机的控制权就永远无法控制路由器和交换机。 

    服务漏洞要当心：
    企业内部网络除了方便员工共享资源外，还要开展自己的服务。例如开一个FTP服务或者WWW网站服务。这些服务同样存在漏洞，如果处理不当依然会带来安全隐患。

    危险指数：★★★★★

    隐患症状：
    如果企业发布了一个网络服务，而这个服务存在着漏洞，网络管理员又没有通过多种途径将漏洞弥补上的话，轻者黑客可以利用这个漏洞入侵服务，停止服务或者修改服务内容；重者黑客将能够掌握服务器的控制权，对服务器上存储的信息任意修改，为所欲为。

    应对方法：
    一方面网络管理员应该随时留意企业发布的服务是否存在着漏洞，发布服务的工具是否有新版本或者新的补丁更新包。一般情况我们安装新版本发布服务工具可以最大限度的减少漏洞的存在。另一方面网络管理员应该对那些天生就容易出现漏洞的语言和软件避而远之，例如ASP建立的论坛和网站经常出现漏洞，所以应该使用PHP语言；SQL语句会因注入漏洞而异常，应该选择稳定的mysql来搭建数据库；windows系统的漏洞出现比较多，可以选择linux建立网络服务。

    企业网络安全关键靠制度：
    最后要说说企业网络的安全最终还要靠制度，一个企业只有制定行之有效的网络管理制度才能够从根上约束员工，让他们对自己的行为负责。

    危险指数：★★★★★

    隐患症状：
    员工随意使用BT和P2P软件下载电影，利用公司网络带宽玩游戏，随意安装软件，随意下载恶意程序，让员工计算机运行速度变得及其缓慢，使公司网络总体速度降到最低。

    应对方法：
    人一定要用制度管理，只有企业制定严格的网络管理制度才能约束员工的行为，不容许上班时间看电影，玩游戏和聊天；把这些禁止的行为和效益挂钩，发现一例就扣除当事人的奖金。这样比从技术上下手更有效果。另外在约束企业员工的同时，还应该对网络管理员进行约束，因为就笔者经验来说，很多时候管理制度都是对普通员工而言的，企业网络管理员会因为管理网络的权限过大而随意使用网络，例如在服务器上建立网络游戏服务器，或者长年24小时开着服务器进行BT下载，甚至开启了企业内部电影服务器提供给员工娱乐。所以制度也应该涉及到网络管理员自身，让他们更专心更敬业的为企业服务，将网络维护得井井有条。 

    总结：
    经过两篇文章的介绍，我们了解了企业网络十大安全隐患以及对付这些安全问题的方法。不管怎么说要想保证企业网络的安全，肯定需要一名合格的网络管理员来维护，一个好的网管比任何一款网络管理工具都要好使。网管可以在管好网络的同时为企业带来更多的效益。