网管在网络管理中的十一大绝招

还有很多人认为在网络中使用一层安全就足够了，但事实并非如此。第一层根本挡不住病毒和黑客。接下来我将逐点介绍网络安全的多点做法。

首先，人身安全

除了保证电脑锁，还要多注意防火，把电线和网络放在相对隐蔽的地方。我们还要准备UPS，保证网络能在恒定电压下运行。在电子学中，峰值电压是一个非常重要的概念。峰值电压高的时候可以烧坏电器，迫使网络瘫痪。峰值电压最小时，网络根本无法运行。使用UPS可以消除这些事故。另外要防止老鼠咬网线。

二、系统安全(密码安全)

我们应该尽量使用大小写字母和数字以及特殊符号混合的密码，但是要记住我见过很多这样的网络管理员。他们的密码确实很复杂，也很安全，但是他们经常自己记不住，所以我们每次都要翻翻笔记本。另外，还是不要用空密码或者空框吧，容易被一些黑客看到。

我们还可以给屏保和重要应用添加密码，确保双重安全。

第三，补丁

我们需要及时更新系统补丁。大多数病毒和黑客都是通过系统漏洞进来的。比如今年五一席卷全球的臭名昭著的振荡波，就是利用微软漏洞ms04-011进来的。而SQLSERVER上一直杀不死的病毒slammer也是通过SQL的漏洞进来的。所以要及时给最新的系统和应用打补丁，比如IE、OUTLOOK、SQL、OFFICE等应用。

此外，我们需要关闭那些不必要的服务，如TELNET，并关闭Guset帐户。

第四，安装杀毒软件。

病毒扫描是扫描机器中的所有文件和邮件内容。Exe可执行文件，扫描结果包括清除病毒、删除受感染文件或将受感染文件和病毒放在隔离文件夹中。所以我们需要知道，从网站服务器到邮件服务器到文件服务器的所有机器都必须安装杀毒软件，并保持最新的病毒定义代码。我们知道，病毒一旦进入电脑，就会疯狂复制自己，遍布全球，造成极大的危害，甚至导致系统崩溃，丢失所有重要数据。所以每周至少要对自己的电脑进行一次集中杀毒，定期清理隔离病毒的文件夹。

现在很多防火墙等网关产品都有杀毒功能，比如网屏总裁谢青旗下的Fortigate防火墙。它有杀毒功能。

五、申请程序

我们都知道超过一半的病毒是通过电子邮件进来的，所以除了在邮件服务器上安装杀毒软件，还要保护好PC上的outlook。我们应该提高警惕。当我们收到那些无标题的邮件，或者是你不认识的人发来的邮件，或者是全英文的邮件，比如happy99，money，然后还有附件，我们建议你直接删除，不要点击附件，因为90%以上都是病毒。前段时间，我在付正的一个部门遇到了这样的情况。他们单位三个人一直收邮件，一个小时奇迹般的收了2000多封，最后导致邮件爆仓。起初，他们怀疑黑客进入了他们的网络。最后问到这些人的时候，他们都说收到了邮件和附件。当他们打开附件时，他们不断收到电子邮件，直到电子邮件最终破裂。最终，是病毒造成了这场灾难。

除了不检查这些邮件，我们还应该利用outlook中的黑名单功能和邮件过滤功能。

当你访问网页时，许多黑客进来了。你经常遇到这种情况吗？打开一个网页，会不断弹出很多窗口，你关不掉。这意味着黑客已经进入你的电脑并试图控制它。

所以要提高IE的安全性，经常删除一些cookies和离线文件，禁用那些Active X控件。

第六，代理服务器

代理服务器首先是用来加快访问我们经常看的网站，因为代理服务器有缓冲功能，一些网站和IP地址的对应关系可以保存在这里。

要了解代理服务器，您必须首先了解它是如何工作的:

环境:局域网中有一台双网卡的机器，充当代理服务器，其他计算机通过它访问网络。

1.内部网中的一台机器想要访问Sina，所以它将请求发送到代理服务器。

2.代理服务器检查发送的请求，包括头和内容，然后删除不必要或非法的内容。

3.代理服务器重新整合数据包，然后将请求发送到下一个网关。

4.Sina.com回复请求并找到相应的IP地址。

5.代理服务器仍然检查标题和内容是否合法，并删除不适当的内容。

6.重新整合请求，然后将结果发送到intranet上的机器。

由此可见，代理服务器的优势在于可以将机器隐藏在内网中，可以防止黑客的直接攻击，另外还可以节省公网的IP。缺点是每次都要经过服务器，所以访问速度会变慢。此外，当代理服务器受到攻击或损坏时，其他计算机将无法访问网络。

第七，防火墙

说到防火墙，顾名思义，就是防火墙。防火墙最基本的工作原理是数据过滤。其实在数据过滤提出之前，防火墙就已经出现了。

数据过滤是检查头包是否包含非法数据，我们屏蔽掉。

举个简单的例子，如果体育中心有刘德华的演唱会，检票员会坐在门口。首先，他会检查你的票是不是今天的，然后撕掉正确的，把剩下的给你，然后告诉你音乐会在哪里，怎么去。这基本上是数据过滤的工作流程。

你可能经常听到你的老板说:要加一台机器，它可以禁掉我们不想要的网站，它可以禁掉一些邮件。它经常给我们发垃圾邮件和病毒，但是没有哪个老板会说:加一台机器，它就可以禁止我们不想访问的数据包。实际上就是这个意思。接下来推荐几个常用的数据过滤工具。

最常见的数据过滤工具是路由器。

此外，系统中还有数据过滤工具，如Linux TCP/IP中的ipchain。

Windows 2000自带TCP/IP过滤过滤器等。，通过它我们可以过滤掉不需要的数据包。

也许防火墙是最常用的数据过滤工具。现在软件防火墙和硬件防火墙都有数据过滤的功能。接下来，我们将重点关注防火墙。防火墙通过以下方面加强网络的安全性:

1、政策设定

的策略设置包括允许和禁止。比如允许我们的客户收发邮件，允许他们访问一些必要的网站等等。例如，防火墙通常被设置成允许内部网机器访问网站、发送和接收电子邮件、从FTP下载资料等。所以我们要打开端口80，25，110，21，打开HTTP，SMTP，POP3，FTP等。

这是为了禁止我们的客户访问哪些服务。例如，我们禁止邮件客户访问网站，所以我们为他们打开25、110并关闭80。

2、NAT

NAT(网络地址转换)是指当我们内网的机器想要访问一个没有公网IP地址的网站时，需要使用NAT。这就是它的工作原理。内网的一台机器想在192.168.0.10访问新浪，到达防火墙时，会被防火墙转换成公共IP地址。通常，我们为每个工作站分配一个公共IP地址。

防火墙应该使用上述的数据过滤器和代理服务器，两者各有利弊。数据过滤器只检查标题的内容，而代理服务器除了检查标题之外还检查内容。当数据过滤工具关闭时，所有数据包将进入内部网，而当代理服务器关闭时，内部网中的机器将无法访问网络。

此外，防火墙还提供加密、认证等功能。还可以为外部用户提供VPN的功能。

第八，非军事区

DMZ原本是韩国在内战时期提出的停火区。但是在我们的网络安全中，DMZ是用来放置网站、邮件服务器、DNS服务器、FTP服务器等的。

我们可以通过DMZ出去，DMZ为黑客进来提供了通道，所以我们有必要增加第二道防火墙来加强我们的网络安全。

这种麻烦就是从网上下载。首先，我们必须验证安全性。下载的时候要等一会儿。

九。标识部分(Identification Section)

在使用防火墙和反病毒之后，我们使用IDS来防止黑客攻击。

IDS是对攻击事件、攻击目标和攻击来源的分析。我们可以用这些来抵御攻击，把损失降到最低。

目前，IDS还不像防火墙那样普遍，但这将是未来几年的趋势，现在一些付正已经开始使用它。

靳诺网安、中联绿盟、启明星辰等国内知名IDS厂商。

第十，VPN

过去，我们通过电话和邮件联系其他地方的分公司。分公司通过拨号的方式从总公司找一些文件，也就是使用点对点的协议，安全，但是费用高。VPN可以解决这个问题。

第十一，分析时间日志和记录。

我们应该经常检查防火墙日志、入侵检测日志，并检查防病毒软件的更新组件是否是最新的。