關于網絡安全基礎的這一期指南旨在幫助你把重點放在你的網絡和服務的策略領域，確保在不超出你的預算(盡管有時候超出預算是不可避免的)的前提下獲得最佳的安全效果。我將介紹網絡基礎設施、活動目錄、蜜罐(honey pots)和一些能夠幫助你解決網絡安全問題的資源。

　　網絡基礎設施:你的網絡的核心

　　隨著本地網絡用戶數量的不斷增長，你的網絡進行適當的分段是不可避免的。如果你的局域網有50個以上的用戶，這就是開始考慮建立VLAN(虛擬局域網)的時候了。使用VLAN，你可以通過創建不同的廣播域來為你的網絡分段，并且同時提供增強水平的安全。敏感的部門和重要的服務可以很容易地與網絡的其它部分隔離開來，有控制的訪問你的網絡資源在可能發生的內部或者外部攻擊中將發揮重要的作用。

　　你還可以配置一個來賓VLAN(Guest VLAN)，這對大多數企業來收都是一個很普通的要求。來賓VLAN是限定訪問互連網的來訪者可以訪問的網絡，這個網絡不會暴露我們的網絡的其它內容。你可以按照你喜歡的任何方式配置來賓VLAN，如，是否規定只能有限地訪問互聯網或者嚴格限制訪問內部資源和服務。

　　如果你需要在VLAN之間傳送數據包，就需要一臺3層交換機。這種交換機的起始價格為幾千美元，是比較經濟的選擇。如果你的預算確實緊張，你可以考慮購買3550/3560或者3750型思科Catalyst系列交換機。這種交換機采用了合適的互聯網操作系統，能夠提供這種功能。然而，如果有可能增加一點預算，Catalyst 4500系列產品將是你最好的朋友。有些型號的交換機，如4507R，提供了全面的“監控引擎冗余”(Supervisor Engine Redundancy)功能，因此，在你的網絡核心不會出現任何一點故障，深受工程師的喜愛。

　　活動目錄:釋放Windows的力量

　　Windows操作系統最近在服務器市場肯定占統治地位。你肯定有一些服務器至少安裝了Windows 2000操作系統。通過安裝活動目錄，你能夠自動地把你的網絡資源連接在一起，提供一個管理的重心點。雖然這個規劃和實施是一個很耗費時間的過程，不過，從活動目錄提供的好處和安全性來看，耗費這些時間是值得的。

　　使用活動目錄簡單地點擊幾下鼠標，在用戶級限制對工作站的修改、安裝程序、改變網絡設置和強制執行安全策略等工作就可以很容易地完成了。包括操作系統補丁和殺毒軟件更新等在內的應用程序更新不再是令人擔心的需要耗費很長時間的任務了，因為這些任務通過設置可以由活動目錄自動完成。

　　如果你到目前為止還沒有使用過活動目錄，你可以花點時間研究一下這個課題。這肯定能夠使你大開眼界。

　　網絡備份:如果你沒有測試，你就不要用

　　目前，每個人肯定都使用一種備份技術。如果你還沒有使用，那么，現在就是你認真考慮這個問題的時候了。

　　無論你如何進行你的備份，一些簡單的做法被證明是非常有用的，并且能夠幫助你節省很多時間，緩解緊張，甚至在某種情況下還能挽救你的工作。如果你正在使用最新的技術進行備份，你必須進行一次全面的恢復工作以確保這種最新的備份技術能夠正常工作。

　　每一周或者兩周進行一次全面的恢復工作是必要的，這可以根據工作量和你要處理的數據類型而定。由于存儲介質出現故障，一個公司最近的備份不能恢復了。這是非常尷尬的事情。我確認你一定不會愿意陷入這樣的窘境。

　　如果由于敏感性的原因你不相信傳統的備份磁帶方式，你可以選擇能夠滿足你的備份需求的RAID解決方案“RAID 10”。這個解決方案包括了兩臺RAID 5磁盤陣列，能夠提供多個硬盤故障的冗余。當然，不利的因素是這些設備的成本高一些。

　　有付出就有回報。因此，你需要問自己(或者你的經理):你的數據確實值多少錢?

　　蜜罐:抓住壞蛋

　　我們都知道，防火墻是設計用來保護網絡不受攻擊和阻止非法訪問的。這就是我們把防火墻稱作保護/防御技術的原因。入侵檢測系統是用來監控和檢測網絡突破企圖的設備。入侵防御系統是以預防技術為基礎的，主要是采取措施阻止非法的訪問。

　　蜜罐是一個相當新的概念，然而遺憾的是沒有廣泛應用。雖然蜜罐還不能確切地定義為哪一類產品，但是，蜜罐是介于入侵檢測和防御技術之間的一種技術。正如名稱解釋的那樣，蜜罐是運行特別的檢測和審計程序的沒有使用補丁的機器，裝扮成包含重要數據的服務器，等待黑客的攻擊。正如你了解的那樣，蜜罐很容易吸引到非法的訪問。

　　蜜罐通常放在重要的區域，如公共服務器或者內部服務器群，能夠迅速發現試圖攻破這些系統的黑客。然后，從這些攻擊中收集到的信息將用于防御黑客對真正的服務器的攻擊。由于蜜罐確實沒有防御攻擊或者黑客的安全措施，蜜罐連接到互聯網上之后通常是最先受到掃描和攻擊的機器。

　　恢復和安全監控

　　最后，監控你的資源。你通過簡單地監控你工作中正在使用的資源就可以防御可能造成災難的攻擊是很神奇的。好消息是有一些開源軟件工具能夠完全滿足你監控的需求，如監控你的服務器資源、主干網絡連接以及公共網絡服務器等各種需求。這些工具包括Nessus、Snort、MRTG、Nagios和Cacti等。

　　網絡安全顯然并不只是處理防火墻的問題。網絡安全包含努力的工作以及根據復雜性、規模和你的網絡的需求提供的不同層次的保護措施。沒有一種具體策略能夠適用于所有的網絡。每一個網絡都是獨特的，必須要采取那種方式對待才能產生理想的結果。

　　如果你對網絡安全還是一個新手，或者僅僅是為了獲得一個包羅萬象的指南，你可以查看“Firewall.cx”網站并且閱讀“網絡安全介紹”部分。這部分內容包括:對企業的威脅、入侵檢測系統、攻擊者使用的工具、入侵測試等內容。

　　跟上最新的技術和了解網絡安全領域各個不同方面的新聞報道。互聯網上有很多極好的資源。你要做的所有的事情就是搜索這些資源。