十一長假，保障網路不受病毒侵害(轉)

十一長假，保障網路不受病毒侵害(轉)[@more@]

　　網路世界的開啟彷佛是開啟了一個潘多拉魔盒，給你美好幻象的同時也把那些吃人的魔鬼給放了出來。Internet迅速普及的同時也帶來了無國界的計算機網路病毒、駭客攻擊、作業系統漏洞、垃圾郵件以及內部使用者網路攻擊等一系列嚴峻的網路安全問題，各行各業的使用者與個人使用者越來越多地遭受著不同程度網路病毒的困擾。

    安全問題是一個永恆的話題。在如今駭客猖獗，“殺機”重重的時代，網路之路比江湖之路更難走，我們都意識到，因特網是很不安全的，隨時都可能遭受病毒侵害，所以，如何保障自身的網路安全成了時下使用者最關注的一個熱門話題。俗話說得好，“預防勝於治療’，相信大家還沒有淡忘2004年末東南亞海嘯的那場慘劇，它以極其沉重的代價告訴我們，預警機制的先知先覺、防患於未然是多麼的重要，亡了羊才去補牢所付出的代價就相當慘重了。自然災害如此，網路安全亦然，良好的安全策略和實施只能是預防行動，而不是補救方法。在十?一這個即將到來的黃金週裡，病毒或許會蜂擁而至，駭客或許會攻擊不斷，所以，網路安全的防護工作一點也不能鬆懈，做好預防措施，避免病毒侵害是至關重要的。

    網路安全實際上是一項系統工程，它既涉及對外部攻擊（病毒侵襲，駭客攻擊等）的有效防範，又涵蓋了實時檢測、制定內部安全保障制度等內容。因此，網路安全解決方案應該是一個動態的方案，是涵蓋著對於各種有可能造成網路安全隱患問題的整體防禦能力。一提到網路安全人們很自然地就會想到防火牆，防火牆產品是保障網路安全的第一道防線，承擔著防禦來自Internet的各種攻擊，是保護使用者網路資訊保安不可或缺的一道屏障。當然，防毒牆、安全閘道器、IDS、IPS、VPN閘道器，還有安全交換機、帶防火牆的路由器等各種網路安全產品和解決方案同樣也是各使用者和廠商們的聚焦點。在眾多的安全產品中，很多的政府部門、金融、電信、企業網路等使用者為了保障自身伺服器或資料安全都採用了防火牆作為防護的核心，而個人使用者或一些小型網路對安全產品的需求則主要集中在防病毒、入侵檢測、加密認證或者是安裝一些安全交換機、帶防火牆的路由器等。

    誠然，網路安全產品可以在一定程度上保障網路安全，但是網路是不可能有100%安全的，即使有了防火牆、安全閘道器或VPN等各式各樣的安全裝置，但網路卻不一定就安全，因為雖然現有的安全解決方案可以儘量減少出現漏洞的機會，但網路上單靠這些保護還是不夠的。網路好比一間房子，為防止不法之徒進入房內，裝門上鎖是必然的，防火牆在網路上的位置就相當於房子門上的鎖，它控制著訪問網路的許可權，只允許特許使用者進出網路。但是，房子不是單靠一把鎖就可以保障其安全的，為了更有效地滿足網路安全需求，還需要其它技術，如使用者驗證、虛擬專用網和入侵檢測等。然而，防火牆、身份驗證等針對的是來自系統外部的攻擊，只能儘量防止入侵者進入網路，但是一旦外部入侵者進入了系統，他們便只能愛莫能助了。現在很多安全威脅來自企業網路內部而非Internet的已是事實，在網路安全部署時，要慎重留意可能存在的內部風險。眾多的安全產品與解決方案都帶有一定不可避免的侷限性，這並不是說我們在病毒面前無可奈何，而是要提醒大家當你進行了安全方面的投入後，應該清楚自己保護了哪些部分，還存在有哪些安全隱患，以便進行不斷改善修補。同時，在進行網路安全防護部署之前，結合自己的投資成本與網路規模更合理地設計一個儘可能完善的網路安全解決方案，選購更實惠更合適自身使用的安全產品或安全產品組合。

    使用者在購買安全產品時，在充分考慮目前安全威脅形勢的同時理應本著整體部署的思路去選購，實現以主動防禦為主，深入到各個層面，儘量消除各種安全隱患的網路安全解決方案。

    1．內網安全的防護。

    這個層面主要採取的是主動防禦的理念，防火牆，專用內網安全產品以及IPS等裝置都可以很好地起到保護內網安全的作用。

    現在的防火牆的效能在傳統的Internal、DMZ和External三埠模式的基礎上大大改善了，提供更多的埠，可以將更多的內網子網用防火牆隔離開。防火牆保護的是一個內部網路，把安全防範策略應用到防火牆上即可抗擊絕大部分的外部攻擊，就可以輕鬆實現加強內部網路的安全性。而倘若沒有防火牆，即使給每臺PC都打上最新補丁，所能提供的實際防範能力也只能保證每個獨立主機達到一定安全性，但是它們之間仍然無法實現資料傳輸的安全保證。專用內網安全產品是一種針對性很強的產品，在應用層防禦上增添了很多內容，如針對HTTP蠕蟲的防禦，與傳統防火牆單純增加埠數目有很大的不同，對病毒的防護起到有的放矢的作用。其部署方式也比較靈活，可以將其放在核心交換機與工作組交換機之間。IPS不僅能實現檢測攻擊，還能有選擇地阻斷攻擊，是一種主動型的防禦技術。另外，IPS裝置多用於保護內網重點網段或主機的安全。

    2．邊界安全的保障。

    邊界安全產品保障使用者內網與因特網之間的安全堡壘。防火牆是這個層面忠誠的守護神，另外帶有防火牆功能的安全閘道器、路由器、交換機等也是其衛士佇列中的一員，而IPS則是邊界安全的新加入的生力軍。

    不同的網路環境，由於使用的對安全程度的要求不盡相同，因而對防火牆的要求也各不一樣。比如說一些擴充套件功能，如NAT功能、DNS功能、IDS功能、VPN 功能等，對於一些小型的公司來說就不需要這些功能。在防火牆的應用上，一些防火牆廠商把一些擴充套件的功能劃分出來，分成許多個模組，使用者可按實際需要分開購買。這樣不但可以為客戶提供靈活的組合，也可以使使用者避免了白花錢買多餘的功能。現在很多的安全閘道器、路由器、交換機等在原有的基本功能上都附帶有防火牆的功能，雖然跟真正的防火牆比起來，還是有一定差距的，然而對於網路安全性要求不是很高的大中型網路或者一般的小型網路來說，這樣的產品確實也是一個理想的選擇。另外，IPS不是一種單一產品，而是多種產品的配合，集防火牆與防病毒軟體等多種技術於一身，對網路的邊界安全起到一定的防護作用。

    3．整合閘道器的應用。

    整合閘道器集多種安全功能於一身，最為常用的是：防火牆產品、防病毒軟體、IPS裝置和反垃圾郵件。它最大的優勢是可以為使用者節省網路投資成本。

    4．實行嚴謹的網路安全管理。

    網路安全產品提供的是一種硬體上的保障，而專門的管理人員可以地靈活排程各產品之間的最佳化組合，發揮出安全產品及其組合的更強勁效能，還可以及時解決相關的問題，因而，對於安全效能較高的網路來說，一個專門的網路管理人員是必不可少的。

    網路安全技術水平在與病毒、駭客等的不斷較量中得到了大大的提高，雖然離安全網路的實現還有一段距離，只要提高足夠的警惕性，網路安全還是可以實現的。建設一個安全的網路不是把各種安全產品簡單堆砌，而是把網路安全和業務安全等多層次的安全相結合起來，使用者在選購安全產品時，要與自身網路的實際環境緊密結合，找最合適的產品或產品組合，然後結合一定的管理制度及措施，在這樣充分的防禦體系下，安全的網路環境陪伴你度過這個將至的黃金週乃至以後的日子是不成問題的。