建立防火牆的主動性網路安全防護模型(轉)

建立防火牆的主動性網路安全防護模型(轉)[@more@]　　防火牆和其它反病毒類軟體都是很好的安全產品，但是要讓你的網路體系具有最高階別的安全等級，還需要你具有一定的主動性。

　　你是不是每天都會留意各種駭客攻擊、病毒和蠕蟲入侵等訊息?不過當你看到這些訊息時，也許你的系統已經受到攻擊了。而現在，我要給你介紹一種更具主動性的網路安全模型，透過它，就算再出現什麼新病毒，你也可以對企業的網路系統感到放心。

　　類似於防火牆或者反XX類軟體(如反病毒、反垃圾郵件、反間諜軟體等)，都是屬於被動型或者說是反應型安全措施。在攻擊到來時，這類軟體都會產生相應的對抗動作，它們可以作為整個安全體系的一部分，但是，你還需要建立一種具有主動性的安全模型，防護任何未知的攻擊，保護網路安全。另外，雖然在安全方面時刻保持警惕是非常必要的，但是事實上很少有企業有能力24小時不間斷的派人守護網路。

　　在實現一個具有主動性的網路安全架構前，你需要對現有的主流網路安全體系有一個大概的瞭解。防護方法包括四個方面:防火牆、VPN、反病毒軟體，以及入侵檢測系統(IDS)。防火牆可以檢測資料包並試圖阻止有問題的資料包，但是它並不能識別入侵，而且有時候會將有用的資料包阻止。VPN則是在兩個不安全的計算機間建立起一個受保護的專用通道，但是它並不能保護網路中的資料。反病毒軟體是與其自身的規則密不可分的，而且面對駭客攻擊，基本沒有什麼反抗能力。同樣，入侵檢測系統也是一個純粹的受激反應系統，在入侵發生後才會有所動作。

　　雖然這四項基本的安全措施對企業來說至關重要，但是實際上，一個企業也許花費了上百萬購買和建立的防火牆、VPN、反病毒軟體以及IDS系統，但是面對駭客所採用的“通用漏洞批露”(CVE)攻擊方法卻顯得無能為力。CVE本質上說是應用程式內部的漏洞，它可以被駭客利用，用來攻擊網路、竊取資訊，並使網路癱瘓。據2004 E-Crime Survey(2004 電子犯罪調查)顯示，90%的網路安全問題都是由於CVE引起的。

　　具有主動性的網路安全模式是對上述四種安全措施的綜合管理，使得使用者可以從這四種安全措施中獲得最大的安全性，同時也是為使用者新增一個漏洞管理系統。在這種系統中，一個更有效的防火牆可以正確的攔截資料資料。一個更有效的反病毒程式則更少機會被啟用，因為攻擊系統的病毒數量更少了。而IDS則成為了一個備份系統，因為很少人能入侵系統而啟用報警機制。而使用漏洞管理系統來防止CVE帶來的入侵則是整個系統最重要的部分。

　　為什麼這麼說呢?從上面提到的調檢視，95%的攻擊是由於系統的漏洞或對系統的錯誤配置而造成的。在現實生活中也是一樣，大家都試圖將竊賊拒之門外，而很少考慮到當盜賊已經進入屋子後該怎防護。正如你不會在外出時讓大門敞開，為什麼不給網路再加一把鎖呢。

　　實現主動性的網路安全模型

　　那麼作為一家企業的技術人員，你該如何保護企業的網路呢?下面我會介紹幾個簡單的步驟，幫助你實現一個具有主動性的安全網路。首先你需要開發一套安全策略，並強迫所有企業人員遵守這一規則。同時，你需要遮蔽所有的移動裝置，並開啟無線網路的加密功能以增強網路的安全級別。為你的無線路由器打好補丁並確保防火牆可以正常工作是非常重要的。之後檢查系統漏洞，如果發現漏洞就立即用補丁或其它方法將其保護起來，這樣可以防止駭客利用這些漏洞竊取公司的資料，或者令你的網路癱瘓。以下是各個步驟的實現細節:

　　開發一個安全策略

　　實現良好的網路安全總是以一個能夠起到作用的安全策略為開始的。就算這個安全策略只有一頁，公司的全體人員包括總經理在內，都必須按照這個策略來執行。基本的規則包括從指導員工如何建立可靠的密碼到業務連續計劃以及災難恢復計劃(BCP和DRP)。比如，你應該有針對客戶的財產和其它保密資訊的備份策略，比如一個鏡象系統，以便在災難發生後可以迅速恢復資料。在有些情況，你的BCP和DRP也許需要一個“冷”或“熱”的站點，以便當災難發生或者有攻擊時你可以快速將員工的工作重新定向到新的站點。執行一個共同的安全策略也就意味著你向具有主動性安全網路邁出了第一步。

　　減少對安全策略的破壞

　　不論是有限網路，還是筆記本或者無線裝置，都很有可能出現破壞安全策略的情況。很多系統沒有裝防病毒軟體、防火牆軟體，同時卻安裝了很多點對點的傳輸程式 (如Kazaa、Napster、Gnutella、BT、eMule等)以及即時訊息軟體等，它們都是網路安全漏洞的根源。因此，你必須強制所有的終端安裝反病毒軟體，並開啟Windows XP內建的防火牆，或者安裝商業級的桌面防火牆軟體，同時解除安裝點對點共享程式以及亂七八糟的聊天軟體。