网络通信 频道

网络改造实施方案之安全手册

    【IT168 专稿】随着网络深入千家万户,问题也接踵而来!恶意用户与病毒木马的来袭更是让内网用户为之惊魂不定,而某些早年公司的网络问题也日益老化,问题是层出不群,有些老练的计算机管理人员自然能手工解决,但每次都感觉特累,为了能更好的应付网络老化所带来的危机,不少公司的网络及安全开始转型,加固防线……

    网络结构重组化

    老式公司的网络布局只能适应在原古时代,没有特定的专线网络,有时只能靠一台ADSL及路由器来勉强拖动网络连接,频频的数据流时常会阻塞掉仅有的带宽,重新组建是唯一的出路……首先到当地的电信部门申请一条专业通道(本公司使用的为4M带宽),相关部门会分配一个固态IP地址,使用上虽然网络速度很快,但固态IP由于是直接暴露在公网之上,要注意很多安全事项才能避免恶意用户的攻击,具体实施方案如下……

    步骤一
    在网络布局上采用质量好点的网线和水晶头(小提示:在网线的两头各自标上代码如:1号线、2号线,这样可以方便管理员在线路出现故障时及时查找),在布线过程中要避免将网线与水晶头临近,以免电线所产生的电磁波干扰网络接入或输出信号,造成网络不稳定因素出现,在路由的选用上要采用稳定性强、散热性好的硬件(小提示:最好选用带VPN的硬件,这样中、小型企业可以更方便的建公司与客户之间的专业遂道)。

    步骤二
    依次打开服务器主机:开始-程序-控制面板-管理工具-本地安全策略,创建策略并命名,打开[管理IP筛选器列表]选项卡中的[添加]按钮,启动[IP筛选器列表]对话框,在[名称]编辑框中键入新创建IP过滤器的名称(如“我的IP地址”)并单击[添加]按钮,然后单击[下一步]按钮,开始配制计算机的组策略进行高危端口的拦截如:69、67、6588、4899、3899、80、8080、25、24、23等禁止从互联网外部连接本机,依相关提示完成,并禁止Ping入,实际端口封律要根据实际网络情况因地制宜!完成后开始安装防火墙及杀毒软件(切记一定要安装正版软件并设置好规则)并要经常升级系统补丁程序,除此之外还要对默认的磁盘共享、默认用户名、密码访问、来宾(guest)和匿名帐户,一一进行删除或更改,并修改所有身份验证凭据的默认值,方可安全于百步之内!

    步骤三
    当硬件及网络布局检测完成后,开始配制路由器安全,可以利用路由器中自带安全项,开启其中的防火墙并进行MAC地址过滤(小提示:这里可以设置允许连接外网的计算机网卡地址,以让其访问Internet公网资源,而不在路由器列表MAC地址中的内网用户是访问不了Internet的),但为了能防止恶意用户使用工具更改MAC地址,还得使用命令或相关软件,将静态IP地址与网卡地址绑定在一起,以实现不能重复使用相同的IP地址的效果。接下来在路由中配备远端管理WEB管理地址及端口并更改默认的路由访问地址、密码与端口以防止恶意用户的恶意破解,如果内网计算机中安装有虚拟主机程序时也要在其[转发规则]里的[虚拟服务器]中进行相关配置。

    安全相关
    而身为一名管理人员也不能闲着要经常不定时使用DOS命令net user查看本机的所有用户,如发现可疑用户立即使用命令net user+用户名来查看用户组及权限,发现恶意用户后使用命令net user 用户名/del来将其删除及可,而netsatat -an在DOS下执行命令后,可以立即看到所有和本地计算机建立连接的IP(小提示:英方对照proto=连接方式、local address=本地连接地址、foreign address=和本地建立连接的地址、state=当前端口状态),还可以使用命令net start来查看系统中所有以开启的服务项,如果发现可疑服务开启可以使用命令net stop server来停止服务,再进行相关处理,另外,在技术上,要对重要数据进行备份、确保操作系统的安全、使用主机防护系统和入侵检测系统等等措施也不可缺少,并重新配置防火墙,进行网络监控、分析封包内容的动作,当窃取者入侵时可以立刻终止相关服务,及时预防企业机密信息被窃取,而VPN虚拟通道的建立,企业完全可以考虑一下,建立专用通道可以有效地防止恶意用户的进袭,维护更加简单方便,可以直接进行点对点式传输,不受第三方干扰从速保障网络安全!

0
相关文章