网管在网络管理中的十一大绝招

如今仍然有不少人这么认为，只要网络中使用了一层安全就够了，事实并非这样，一层根本挡不住病毒和***的侵袭。接下来我将逐点介绍网络安全的多点作法。

第1、物理安全
　　除了要保证要有电脑锁以外，咱们更多的要注意防火，要将电线和网络放在比较隐蔽的地方。咱们还要准备UPS，以确保网络可以以持续的电压运行，在电子学中，峰值电压是一个很是重要的概念，峰值电压高的时候能够烧坏电器，迫使网络瘫痪，峰值电压最小的时候，网络根本不能运行。使用UPS能够排除这些意外。另外咱们要作好防老鼠咬坏网线。

第2、系统安全（口令安全）
　　咱们要尽可能使用大小写字母和数字以及特殊符号混合的密码，可是本身要记住，我也见过不少这样的网管，他的密码设置的的确是复杂也安全，可是常常本身都记不来，每次都要翻看笔记本。另外咱们最好不要使用空口令或者是带有空格的，这样很容易被一些***识破。
　　咱们也能够在屏保、重要的应用程序上添加密码，以确保双重安全。

第3、打补丁
　　咱们要及时的对系统补丁进行更新，大多数病毒和***都是经过系统漏洞进来的，例现在年五一风靡全球臭名昭著的振荡波就是利用了微软的漏洞ms04-011
进来的。还有一直杀不掉的SQLSERVER上的病毒slammer也是经过SQL的漏洞进来的。因此咱们要及时对系统和应用程序打上最新的补丁，例如
IE、OUTLOOK、SQL、OFFICE等应用程序。
　　另外咱们要把那些不须要的服务关闭，例如TELNET，还有关闭Guset账号等。

第4、安装防病毒软件
　　病毒扫描就是对机器中的全部文件和邮件内容以及带有。exe的可执行文件进行扫描，扫描的结果包括清除病毒，删除被感染文件，或将被感染文件和病毒放在一台隔离文件夹里面。因此咱们要对全网的机器从网站服务器到邮件服务器到文件服务器知道客户机都要安装杀毒软件，并保持最新的病毒定义码。咱们知道病毒一旦进入电脑，他会疯狂的自我复制，遍及全网，形成的危害巨大，甚至可使得系统崩溃，丢失全部的重要资料。因此咱们要至少每周一次对全网的电脑进行集中杀毒，并按期的清除隔离病毒的文件夹。
　　如今有不少防火墙等网关产品都带有反病毒功能，例如netscreen总裁谢青旗下的美国飞塔Fortigate防火墙就是，她具备防病毒的功能。

第5、应用程序
　　咱们都知道病毒有超过一半都是经过电子邮件进来的，因此除了在邮件服务器上安装防病毒软件以外，还要对PC机上的outlook防御，咱们要提升警戒性，当收到那些无标题的邮件，或是你不认识的人发过来的，或是全是英语例如什么happy99，money，而后又带有一个附件的邮件，建议您最好直接删除，不要去点击附件，由于百分之九十以上是病毒。我前段时间就在一个zhengfu部门碰到这样的状况，他们单位有三我的一直收到邮件，一个小时居然奇迹般的收到了2000多封邮件，导致最后邮箱爆破，起初他们怀疑是***进入了他们的网络，最后当问到这几我的他们都说收到了一封邮件，一个附件，当去打开附件的时候，便不断的收到邮件了，直至最后邮箱撑破。最后查出仍是病毒惹的祸。
　　除了不去查看这些邮件以外，咱们还要利用一下outlook中带有的黑名单功能和邮件过虑的功能。
　　不少***都是经过你访问网页的时候进来的，你是否常常碰到这种状况，当你打开一个网页的时候，会不断的跳出很是多窗口，你关都关不掉，这就是***已经进入了你的电脑，并试图控制你的电脑。
　　因此咱们要将IE的安全性调高一点，常常删除一些cookies和脱机文件，还有就是禁用那些Active X的控件。

第6、代理服务器
　　代理服务器最早被利用的目的是能够加速访问咱们常常看的网站，由于代理服务器都有缓冲的功能，在这里能够保留一些网站与IP地址的对应关系。
　　要想了解代理服务器，首先要了解它的工做原理：
　　环境：局域网里面有一台机器装有双网卡，充当代理服务器，其他电脑经过它来访问网络。
　　1、内网一台机器要访问新浪，因而将请求发送给代理服务器。
　2、代理服务器对发来的请求进行检查，包括题头和内容，而后去掉没必要要的或违反约定的内容。
　　3、代理服务器从新整合数据包，而后将请求发送给下一级网关。
　　4、新浪网回复请求，找到对应的IP地址。
　　5、代理服务器依然检查题头和内容是否合法，去掉不适当的内容。
　　6、从新整合请求，而后将结果发送给内网的那台机器。
　　由此能够看出，代理服务器的优势是能够隐藏内网的机器，这样能够防止***的直接***，另外能够节省公网IP.缺点就是每次都要经由服务器，这样访问速度会变慢。另外当代理服务器被***或者是损坏的时候，其他电脑将不能访问网络。

第7、防火墙
　　提到防火墙，顾名思义，就是防火的一道墙。防火墙的最根本工做原理就是数据包过滤。实际上在数据包过滤的提出以前，都已经出现了防火墙。
　　数据包过滤，就是经过查看题头的数据包是否含有非法的数据，咱们将此屏蔽。
　　举个简单的例子，假如体育中心有一场刘德华演唱会，检票员坐镇门口，他首先检查你的票是否对应，是否今天的，而后撕下右边的一条，将剩余的给你，而后告诉你演唱会现场在哪里，告诉你怎么走。这个基本上就是数据包过滤的工做流程吧。
　　你也许常常听到大家老板说：要增长一台机器它能够禁止咱们不想要的网站，能够禁止一些邮件它常常给咱们发送垃圾邮件和病毒等，可是没有一个老板会说：要增长一台机器它能够禁止咱们不肯意访问的数据包。实际意思就是这样。接下来咱们推荐几个经常使用的数据包过滤工具。
　　最多见的数据包过滤工具是路由器。
　　另外系统中带有数据包过滤工具，例如Linux TCP/IP中带有的ipchain等
　　windows 2000带有的TCP/IP Filtering筛选器等，经过这些咱们就能够过滤掉咱们不想要的数据包。
　　防火墙也许是使用最多的数据包过滤工具了，如今的软件防火墙和硬件防火墙都有数据包过滤的功能。接下来咱们会重点介绍防火墙的。防火墙经过如下方面来增强网络的安全：
　　1、策略的设置
　　策略的设置包括容许与禁止。容许例如容许咱们的客户机收发电子邮件，容许他们访问一些必要的网站等。例如防火墙常常这么设置，容许内网的机器访问网站、收发电子邮件、从FTP下载资料等。这样咱们就要打开80、25、110、21端口，开HTTP、SMTP、POP3、FTP等。
　　禁止就是禁止咱们的客户机去访问哪些服务。例如咱们禁止邮件客户来访问网站，因而咱们就给他打开25、110，关闭80.
　　2、NAT
　　NAT，即网络地址转换，当咱们内网的机器在没有公网IP地址的状况下要访问网站，这就要用到NAT.工做过程就是这样，内网一台机器
192.168.0.10要访问新浪，当到达防火墙时，防火墙给它转变成一个公网IP地址出去。通常咱们为每一个工做站分配一个公网IP地址。
　　防火墙中要用到以上提到的数据包过滤和代理服务器，二者各有优缺点，数据包过滤仅仅检查题头的内容，而代理服务器除了检查标题以外还要检查内容。当数据包过滤工具瘫痪的时候，数据包就都会进入内网，而当代理服务器瘫痪的时候内网的机器将不能访问网络。
　　另外，防火墙还提供了加密、身份验证等功能。还能够提供对外部用户×××的功能。

第8、DMZ
　　DMZ原本是朝鲜的南北大战的时候，提出的停火带。可是在咱们网络安全里面，DMZ来放置例如网站服务器、邮件服务器、DNS服务器、FTP服务器等。
　　咱们能够经过DMZ出去，这样就为***进来提供了通道，因此咱们有必要添加第二台防火墙，来增强咱们的网络安全。
　　这样带来的麻烦就是从网上下载，首先要来验证安全性，下载的时候要等一会。

　第9、IDS
　　咱们使用了防火墙和防病毒以后，使用IDS来预防******。
　　IDS，就是分析***事件以及***的目标与***源，咱们利用这些能够来抵御***，以将损坏下降到最低限度。
　　目前IDS尚未象防火墙那样用的广泛，可是这个也将是将来几年的趋势，如今一些zhengfu已经开始使用。
　　国内著名的IDS厂家例如金诺网安、中联绿盟、启明星辰。
第10、×××
　　之前咱们都是经过电话和邮件来和外地的分公司联系。分公司从总公司找一些文件都是经过拨号上网，即便用点对点协议，这样安全，可是花费很高。×××能够解决这一点。

第11、分析时间日志与记录
　　咱们要常常的来查看防火墙日志、***检测的日志以及查看防病毒软件的更新组件是否最新等。