【IT168 专稿】随着网络深入千家万户，问题也接踵而来！恶意用户与病毒木马的来袭更是让内网用户为之惊魂不定，而某些早年公司的网络问题也日益老化，问题是层出不群，有些老练的计算机管理人员自然能手工解决，但每次都感觉特累，为了能更好的应付网络老化所带来的危机，不少公司的网络及安全开始转型，加固防线……

    网络结构重组化

    老式公司的网络布局只能适应在原古时代，没有特定的专线网络，有时只能靠一台ADSL及路由器来勉强拖动网络连接，频频的数据流时常会阻塞掉仅有的带宽，重新组建是唯一的出路……首先到当地的电信部门申请一条专业通道（本公司使用的为4M带宽），相关部门会分配一个固态IP地址，使用上虽然网络速度很快，但固态IP由于是直接暴露在公网之上，要注意很多安全事项才能避免恶意用户的攻击，具体实施方案如下……

    步骤一
    在网络布局上采用质量好点的网线和水晶头（小提示：在网线的两头各自标上代码如：1号线、2号线，这样可以方便管理员在线路出现故障时及时查找），在布线过程中要避免将网线与水晶头临近，以免电线所产生的电磁波干扰网络接入或输出信号，造成网络不稳定因素出现，在路由的选用上要采用稳定性强、散热性好的硬件（小提示：最好选用带VPN的硬件，这样中、小型企业可以更方便的建公司与客户之间的专业遂道）。

    步骤二
    依次打开服务器主机：开始-程序-控制面板-管理工具-本地安全策略，创建策略并命名，打开[管理IP筛选器列表]选项卡中的[添加]按钮，启动[IP筛选器列表]对话框，在[名称]编辑框中键入新创建IP过滤器的名称(如“我的IP地址”)并单击[添加]按钮，然后单击[下一步]按钮，开始配制计算机的组策略进行高危端口的拦截如：69、67、6588、4899、3899、80、8080、25、24、23等禁止从互联网外部连接本机，依相关提示完成，并禁止Ping入，实际端口封律要根据实际网络情况因地制宜！完成后开始安装防火墙及杀毒软件（切记一定要安装正版软件并设置好规则）并要经常升级系统补丁程序，除此之外还要对默认的磁盘共享、默认用户名、密码访问、来宾（guest）和匿名帐户，一一进行删除或更改，并修改所有身份验证凭据的默认值，方可安全于百步之内！

    步骤三
    当硬件及网络布局检测完成后，开始配制路由器安全，可以利用路由器中自带安全项，开启其中的防火墙并进行MAC地址过滤（小提示：这里可以设置允许连接外网的计算机网卡地址，以让其访问Internet公网资源，而不在路由器列表MAC地址中的内网用户是访问不了Internet的），但为了能防止恶意用户使用工具更改MAC地址，还得使用命令或相关软件，将静态IP地址与网卡地址绑定在一起，以实现不能重复使用相同的IP地址的效果。接下来在路由中配备远端管理WEB管理地址及端口并更改默认的路由访问地址、密码与端口以防止恶意用户的恶意破解，如果内网计算机中安装有虚拟主机程序时也要在其[转发规则]里的[虚拟服务器]中进行相关配置。

    安全相关
    而身为一名管理人员也不能闲着要经常不定时使用DOS命令net user查看本机的所有用户，如发现可疑用户立即使用命令net user+用户名来查看用户组及权限，发现恶意用户后使用命令net user 用户名/del来将其删除及可，而netsatat -an在DOS下执行命令后，可以立即看到所有和本地计算机建立连接的IP(小提示：英方对照proto=连接方式、local address=本地连接地址、foreign address=和本地建立连接的地址、state=当前端口状态)，还可以使用命令net start来查看系统中所有以开启的服务项，如果发现可疑服务开启可以使用命令net stop server来停止服务，再进行相关处理，另外，在技术上，要对重要数据进行备份、确保操作系统的安全、使用主机防护系统和入侵检测系统等等措施也不可缺少，并重新配置防火墙，进行网络监控、分析封包内容的动作，当窃取者入侵时可以立刻终止相关服务，及时预防企业机密信息被窃取，而VPN虚拟通道的建立，企业完全可以考虑一下，建立专用通道可以有效地防止恶意用户的进袭，维护更加简单方便，可以直接进行点对点式传输，不受第三方干扰从速保障网络安全！