下面列出的幾種在網(wǎng)絡(luò)安全設(shè)計時常見的錯誤會對未來企業(yè)的網(wǎng)絡(luò)安全構(gòu)成嚴(yán)重影響。

1、設(shè)置好就高枕無憂了

犯這種錯誤的企業(yè)一般會下大力氣去設(shè)計一個安全的網(wǎng)絡(luò)，但是卻忽略了后期對于這個設(shè)計的定期的重新評估。因為網(wǎng)絡(luò)風(fēng)險是在不斷變化的，因此企業(yè)的網(wǎng) 絡(luò)安全設(shè)計也應(yīng)該不斷進(jìn)化。最好的辦法就是定期對網(wǎng)絡(luò)安全設(shè)計進(jìn)行重新評估。

2、在防火墻上開放過多的端口

我們都知道開放過多的端口沒有好處，但是有時候又不得不多開放幾個端口。這時，網(wǎng)絡(luò)安全管理員該怎么辦呢?

最好的解決方案之一是采用逆向代理。逆向代理的位置介于互聯(lián)網(wǎng)和本地需要開放多個端口的服務(wù)器之間。這樣設(shè)置后，服務(wù)器不需要再開放大量的端口，而 外界對服務(wù)器的連接請求會先經(jīng)過逆向代理進(jìn)行攔截和過濾，并傳遞給服務(wù)器。這種設(shè)計不但能讓服務(wù)器對外網(wǎng)而言是不可見的，還能確保外部的惡意請求不會到達(dá) 服務(wù)器。

3、不同應(yīng)用程序混在一起

企業(yè)一般會在一臺服務(wù)器上安裝多個應(yīng)用服務(wù)，讓一臺服務(wù)器扮演多個角色。雖然這么做并不是被禁止的，但是在計算機(jī)行業(yè)有一個規(guī)律，即代碼越多，出現(xiàn) 安全漏洞的機(jī)會就越多。

這并不是說每個服務(wù)器只能運行一種應(yīng)用程序，或者扮演一種服務(wù)角色，但是至少我們應(yīng)該仔細(xì)考慮應(yīng)該把哪些應(yīng)用程序或服務(wù)角色合并到一臺服務(wù)器上。比 如，在最小需求下，一個Exchange 2007需要三個服務(wù)器角色(Hub transport、Client access、Mailbox server)，你可以將這三個角色整合到一臺服務(wù)器上。但是如果你要為外部客戶提供Outlook Web Access服務(wù)就不要這樣做了。因為Client Access Server服務(wù)器角色需要用到IIS來實現(xiàn)Outlook Web Access，也就是說，如果你將客戶接入服務(wù)器角色和Hub transport以及Mailbox server 角色放在了一臺服務(wù)器上，實際上就是把你的郵箱數(shù)據(jù)庫開放給了互聯(lián)網(wǎng)上的所有黑客。

4、忽略了網(wǎng)絡(luò)中的工作站

網(wǎng)絡(luò)里的工作站是網(wǎng)絡(luò)安全的最大威脅。很多企業(yè)在不斷加強(qiáng)網(wǎng)絡(luò)服務(wù)器的安全性，但同時卻忽視了網(wǎng)絡(luò)內(nèi)的每一臺工作站。除非工作站的安全防護(hù)措施非常 好，否則使用它的員工很容易在不經(jīng)意間讓系統(tǒng)被惡意軟件入侵。

5、在必要的情況下沒有使用SSL加密

我們都知道，當(dāng)用戶需要在網(wǎng)站上輸入敏感信息時，網(wǎng)站都會使用SSL 技術(shù)對信息進(jìn)行加密。但是很多企業(yè)在這個問題上犯了錯。很多時候企業(yè)將敏感信息和非敏感信息混合在一個網(wǎng)頁中，當(dāng)用戶訪問該頁面時，會收到一條提示，詢問 用戶是否同時查看安全內(nèi)容和非安全的內(nèi)容。大部分用戶在面對這個提示時都是選擇同時顯示安全和非安全的內(nèi)容，這就為網(wǎng)絡(luò)安全帶來了隱患。

一個不太明顯但是更常見的錯誤是，企業(yè)很少加密自己網(wǎng)站上的一些關(guān)鍵頁面。實際上，任何涉及安全信息、安全設(shè)備以及聯(lián)系人方式的信息都應(yīng)該經(jīng)過 SSL加密。這并不是因為這些內(nèi)容都屬于敏感信息，而是通過這些加密頁面讓用戶確信自己所訪問的是官方網(wǎng)站，而不是網(wǎng)絡(luò)釣魚網(wǎng)站。

6、使用自簽名證書

由于一些企業(yè)完全忽視了SSL加密的重要性，因此微軟開始在它的一些產(chǎn)品中加入了自簽名的證書。這樣用戶在瀏覽網(wǎng)頁時，就算企業(yè)的網(wǎng)站沒有要求獲得 證書情況下，也可以使用SSL加密。雖然自簽名證書要比沒有證書強(qiáng)，但它并不能作為一個來自受信的證書頒發(fā)機(jī)構(gòu)所頒發(fā)的證書的替代品。另外，一些基于 SSL的Web服務(wù)(比如ActiveSync)，由于信任關(guān)系，并不完全兼容自簽名證書。

7、過多的安全記錄

太長的日志會讓管理員很難從中發(fā)現(xiàn)重要的安全事件。與其將所有系統(tǒng)事件都記錄下來，還不如將重點放在那些真正重要的事件上。

8、隨機(jī)分組虛擬服務(wù)器

虛擬服務(wù)器一般會根據(jù)其性能在主機(jī)上進(jìn)行分組。比如在一臺服務(wù)器上搭建了一個對性能要求較高的虛擬服務(wù)器應(yīng)用后，與之搭配幾個對系統(tǒng)性能要求較低的 虛擬服務(wù)器，可以實現(xiàn)資源的合理化應(yīng)用。從資源利用的角度上說，這么做非常正確，但是從安全性的角度看，就不見得了。

建議在一臺獨立的服務(wù)器上放置針對互聯(lián)網(wǎng)應(yīng)用的虛擬服務(wù)器。換句話說，如果你需要搭建三個針對互聯(lián)網(wǎng)用戶的虛擬服務(wù)器，你可以考慮將這三個虛擬服務(wù) 器分為一組，放置在同一臺主機(jī)上，但是不要將架構(gòu)類服務(wù)器(如域控制器)放在同一臺主機(jī)上。

之所以這樣建議，是考慮到針對虛擬服務(wù)器的溢出攻擊。雖然目前還沒有真正出現(xiàn)過此類攻擊，但這是遲早要發(fā)生的事。一旦那一天到來，同一臺主機(jī)上如果 還安裝了其他重要的虛擬服務(wù)器，那么對整個企業(yè)網(wǎng)絡(luò)來說，將是一個災(zāi)難。

9、將成員服務(wù)器置于DMZ

能避免的話，就盡量不要將任何成員服務(wù)器置于DMZ中。否則，一旦被入侵，這臺成員服務(wù)器將可能泄露出很多有關(guān)活動目錄的信息。

10、升級補(bǔ)丁需要用戶自己安裝

很多公司網(wǎng)絡(luò)中的電腦都依賴于Windows的自動更新服務(wù)進(jìn)行自動打補(bǔ)丁。不幸的是，這類設(shè)計需要用戶自己點擊鼠標(biāo)來進(jìn)行補(bǔ)丁安裝確認(rèn)，而很多用 戶都知道，安裝完補(bǔ)丁后系統(tǒng)會重新啟動。為了避免這種麻煩，很多用戶選擇了停止自動更新。因此，與其將安裝補(bǔ)丁的權(quán)利交給用戶，不如通過某種補(bǔ)丁管理解決 方案，自動將系統(tǒng)補(bǔ)丁分發(fā)到每臺電腦上，繞過用戶的任何操作。