关于网络安全基础的这一期指南旨在帮助你把重点放在你的网络和服务的策略领域,确保在不超出你的预算(尽管有时候超出预算是不可避免的)的前提下获得最佳的安全效果。我将介绍网络基础设施、活动目录、蜜罐(honey pots)和一些能够帮助你解决网络安全问题的资源。
网络基础设施:你的网络的核心
随着本地网络用户数量的不断增长,你的网络进行适当的分段是不可避免的。如果你的局域网有50个以上的用户,这就是开始考虑建立VLAN(虚拟局域网)的时候了。使用VLAN,你可以通过创建不同的广播域来为你的网络分段,并且同时提供增强水平的安全。敏感的部门和重要的服务可以很容易地与网络的其它部分隔离开来,有控制的访问你的网络资源在可能发生的内部或者外部攻击中将发挥重要的作用。
你还可以配置一个来宾VLAN(Guest VLAN),这对大多数企业来收都是一个很普通的要求。来宾VLAN是限定访问互连网的来访者可以访问的网络,这个网络不会暴露我们的网络的其它内容。你可以按照你喜欢的任何方式配置来宾VLAN,如,是否规定只能有限地访问互联网或者严格限制访问内部资源和服务。
如果你需要在VLAN之间传送数据包,就需要一台3层交换机。这种交换机的起始价格为几千美元,是比较经济的选择。如果你的预算确实紧张,你可以考虑购买3550/3560或者3750型思科Catalyst系列交换机。这种交换机采用了合适的互联网操作系统,能够提供这种功能。然而,如果有可能增加一点预算,Catalyst 4500系列产品将是你最好的朋友。有些型号的交换机,如4507R,提供了全面的“监控引擎冗余”(Supervisor Engine Redundancy)功能,因此,在你的网络核心不会出现任何一点故障,深受工程师的喜爱。
活动目录:释放Windows的力量
Windows操作系统最近在服务器市场肯定占统治地位。你肯定有一些服务器至少安装了Windows 2000操作系统。通过安装活动目录,你能够自动地把你的网络资源连接在一起,提供一个管理的重心点。虽然这个规划和实施是一个很耗费时间的过程,不过,从活动目录提供的好处和安全性来看,耗费这些时间是值得的。
使用活动目录简单地点击几下鼠标,在用户级限制对工作站的修改、安装程序、改变网络设置和强制执行安全策略等工作就可以很容易地完成了。包括操作系统补丁和杀毒软件更新等在内的应用程序更新不再是令人担心的需要耗费很长时间的任务了,因为这些任务通过设置可以由活动目录自动完成。
如果你到目前为止还没有使用过活动目录,你可以花点时间研究一下这个课题。这肯定能够使你大开眼界。
网络备份:如果你没有测试,你就不要用
目前,每个人肯定都使用一种备份技术。如果你还没有使用,那么,现在就是你认真考虑这个问题的时候了。
无论你如何进行你的备份,一些简单的做法被证明是非常有用的,并且能够帮助你节省很多时间,缓解紧张,甚至在某种情况下还能挽救你的工作。如果你正在使用最新的技术进行备份,你必须进行一次全面的恢复工作以确保这种最新的备份技术能够正常工作。
每一周或者两周进行一次全面的恢复工作是必要的,这可以根据工作量和你要处理的数据类型而定。由于存储介质出现故障,一个公司最近的备份不能恢复了。这是非常尴尬的事情。我确认你一定不会愿意陷入这样的窘境。
如果由于敏感性的原因你不相信传统的备份磁带方式,你可以选择能够满足你的备份需求的RAID解决方案“RAID 10”。这个解决方案包括了两台RAID 5磁盘阵列,能够提供多个硬盘故障的冗余。当然,不利的因素是这些设备的成本高一些。
有付出就有回报。因此,你需要问自己(或者你的经理):你的数据确实值多少钱?
蜜罐:抓住坏蛋
我们都知道,防火墙是设计用来保护网络不受攻击和阻止非法访问的。这就是我们把防火墙称作保护/防御技术的原因。入侵检测系统是用来监控和检测网络突破企图的设备。入侵防御系统是以预防技术为基础的,主要是采取措施阻止非法的访问。
蜜罐是一个相当新的概念,然而遗憾的是没有广泛应用。虽然蜜罐还不能确切地定义为哪一类产品,但是,蜜罐是介于入侵检测和防御技术之间的一种技术。正如名称解释的那样,蜜罐是运行特别的检测和审计程序的没有使用补丁的机器,装扮成包含重要数据的服务器,等待黑客的攻击。正如你了解的那样,蜜罐很容易吸引到非法的访问。
蜜罐通常放在重要的区域,如公共服务器或者内部服务器群,能够迅速发现试图攻破这些系统的黑客。然后,从这些攻击中收集到的信息将用于防御黑客对真正的服务器的攻击。由于蜜罐确实没有防御攻击或者黑客的安全措施,蜜罐连接到互联网上之后通常是最先受到扫描和攻击的机器。
恢复和安全监控
最后,监控你的资源。你通过简单地监控你工作中正在使用的资源就可以防御可能造成灾难的攻击是很神奇的。好消息是有一些开源软件工具能够完全满足你监控的需求,如监控你的服务器资源、主干网络连接以及公共网络服务器等各种需求。这些工具包括Nessus、Snort、MRTG、Nagios和Cacti等。
网络安全显然并不只是处理防火墙的问题。网络安全包含努力的工作以及根据复杂性、规模和你的网络的需求提供的不同层次的保护措施。没有一种具体策略能够适用于所有的网络。每一个网络都是独特的,必须要采取那种方式对待才能产生理想的结果。
如果你对网络安全还是一个新手,或者仅仅是为了获得一个包罗万象的指南,你可以查看“Firewall.cx”网站并且阅读“网络安全介绍”部分。这部分内容包括:对企业的威胁、入侵检测系统、攻击者使用的工具、入侵测试等内容。
跟上最新的技术和了解网络安全领域各个不同方面的新闻报道。互联网上有很多极好的资源。你要做的所有的事情就是搜索这些资源。