解析網路安全設計中的常見錯誤（1）

網路安全設計常見錯誤—設定好就高枕無憂了

我要講到的第乙個錯誤更偏重於計畫而不是網路設計。這種錯誤我一般將它稱之為「設計好就高枕無憂」。犯這種錯誤的企業一般會下大力氣去設計乙個安全的網路，但是卻忽略了後期對於這個設計的定期性的重新評估。因為網路風險是在不斷變化的，因此企業的網路安全設計也應該不斷進化。最好的辦法就是定期對網路安全設計進行重新評估。

網路安全設計常見錯誤—在防火牆上開放過多的埠

我們都知道開放過多的埠沒有好處，但是有時候又不得不多開放幾個埠。就拿 microsoft office communications server 2007 r2來說吧，如果你計畫提供外部訪問功能，那要多開十幾個埠。另外， ocs 2007 r2還會隨機開放大量的埠。這種情況下，網路安全管理員該怎麼辦呢？

最好的解決方案之一是採用逆向**（如微軟的forefront threat management gateway）。逆向**的位置介於網際網路和本地需要開放多個埠的伺服器之間。這樣設定後，伺服器不需要再開放大量的埠，而外界對伺服器的連線請求會先經過逆向**進行攔截和過濾，並傳遞給伺服器。這種設計不但能讓伺服器在外網前隱藏起來，還能幫助確保外部的惡意請求不會到達伺服器。

網路安全設計常見錯誤—不同應用程式混在一起

在經濟危機下，企業很少會花錢添置新裝置，因此盡可能壓榨現有裝置資源就成了唯一選擇。在這種前提下，企業一般會在一台伺服器上安裝多個應用服務，讓一台伺服器扮演多個角色。雖然這麼做並不是被禁止的，但是在計算機行業有乙個規律，即**越多，出現安全漏洞的機會就越多。

我並不是說每個伺服器只能執行一種應用程式，或者扮演一種服務角色，但是至少我們應該仔細考慮應該把哪些應用程式或服務角色合併到一台伺服器上。比如，在最小需求下，乙個exchange 2007需要三個伺服器角色（hub transport, client access, 以及 mailbox server），你可以將這三個角色整合到一台伺服器上。但是如果你要為外部客戶提供outlook web access服務就不要這樣做了。因為client access server伺服器角色需要用到iis來實現outlook web access，也就是說，如果你將客戶接入伺服器角色和hub transport以及mailbox server 角色放在了一台伺服器上，實際上就是把你的郵箱資料庫開放給了網際網路上的所有黑客。

網路安全設計常見錯誤—忽略了網路中的工作站

去年有個記者通過**採訪我，他問：您覺得對於網路安全威脅最大的是什麼。我的回答是：網路裡的工作站是網路安全的最大威脅。現在我仍持同樣看法。我總是看到企業在不但的加強網路伺服器的安全性，但同時卻忽視了網路內的每一台工作站。除非工作站的安全防護措施非常好，否則使用它的員工很容易在不經意間讓系統被惡意軟體入侵。

網路安全設計常見錯誤—在必要的情況下沒有使用ssl加密

我們都知道，當使用者需要在**上輸入敏感資訊時（比如使用者名稱，密碼，信用卡卡號等），**都會使用ssl 技術對資訊進行加密。但是很多企業在這個問題上犯了錯。我曾經遇見過很多次，企業將敏感資訊和非敏感資訊混合在乙個網頁中，當使用者訪問該頁面時，會收到一條提示，詢問使用者是否同時檢視安全內容和非安全的內容。大部分使用者在面對這個提示時都是選擇同時顯示安全和非安全的內容，這就為網路安全帶來了隱患。

乙個不太明顯但是更常見的錯誤是，企業很少加密自己**上的一些關鍵頁面。在我看來，任何涉及安全資訊，安全裝置以及聯絡人方式的資訊都應該經過ssl 加密。這並不是因為這些內容都屬於敏感資訊，而是通過這些加密頁面讓使用者確信自己所訪問的是官方**，而不是似是而非的網路釣魚**。

解析網路安全設計中的常見錯誤（1）

網路安全的簡單整理1

網路安全模型雲計算基礎網路安全中的資料加密模型

網路安全中的「瑞士軍刀」 nc

解析網路安全設計中的常見錯誤（1）

網路安全的簡單整理1

網路安全模型 雲計算基礎 網路安全中的資料加密模型

網路安全中的「瑞士軍刀」 nc

相關推薦

網路安全模型雲計算基礎網路安全中的資料加密模型