下面列出的幾種在網絡安全設計時常見的錯誤會對未來企業的網絡安全構成嚴重影響。
1、設置好就高枕無憂了
犯這種錯誤的企業一般會下大力氣去設計一個安全的網絡,但是卻忽略了后期對于這個設計的定期的重新評估。因為網絡風險是在不斷變化的,因此企業的網 絡安全設計也應該不斷進化。最好的辦法就是定期對網絡安全設計進行重新評估。
2、在防火墻上開放過多的端口
我們都知道開放過多的端口沒有好處,但是有時候又不得不多開放幾個端口。這時,網絡安全管理員該怎么辦呢?
最好的解決方案之一是采用逆向代理。逆向代理的位置介于互聯網和本地需要開放多個端口的服務器之間。這樣設置后,服務器不需要再開放大量的端口,而 外界對服務器的連接請求會先經過逆向代理進行攔截和過濾,并傳遞給服務器。這種設計不但能讓服務器對外網而言是不可見的,還能確保外部的惡意請求不會到達 服務器。
3、不同應用程序混在一起
企業一般會在一臺服務器上安裝多個應用服務,讓一臺服務器扮演多個角色。雖然這么做并不是被禁止的,但是在計算機行業有一個規律,即代碼越多,出現 安全漏洞的機會就越多。
這并不是說每個服務器只能運行一種應用程序,或者扮演一種服務角色,但是至少我們應該仔細考慮應該把哪些應用程序或服務角色合并到一臺服務器上。比 如,在最小需求下,一個Exchange 2007需要三個服務器角色(Hub transport、Client access、Mailbox server),你可以將這三個角色整合到一臺服務器上。但是如果你要為外部客戶提供Outlook Web Access服務就不要這樣做了。因為Client Access Server服務器角色需要用到IIS來實現Outlook Web Access,也就是說,如果你將客戶接入服務器角色和Hub transport以及Mailbox server 角色放在了一臺服務器上,實際上就是把你的郵箱數據庫開放給了互聯網上的所有黑客。
4、忽略了網絡中的工作站
網絡里的工作站是網絡安全的最大威脅。很多企業在不斷加強網絡服務器的安全性,但同時卻忽視了網絡內的每一臺工作站。除非工作站的安全防護措施非常 好,否則使用它的員工很容易在不經意間讓系統被惡意軟件入侵。
5、在必要的情況下沒有使用SSL加密
我們都知道,當用戶需要在網站上輸入敏感信息時,網站都會使用SSL 技術對信息進行加密。但是很多企業在這個問題上犯了錯。很多時候企業將敏感信息和非敏感信息混合在一個網頁中,當用戶訪問該頁面時,會收到一條提示,詢問 用戶是否同時查看安全內容和非安全的內容。大部分用戶在面對這個提示時都是選擇同時顯示安全和非安全的內容,這就為網絡安全帶來了隱患。
一個不太明顯但是更常見的錯誤是,企業很少加密自己網站上的一些關鍵頁面。實際上,任何涉及安全信息、安全設備以及聯系人方式的信息都應該經過 SSL加密。這并不是因為這些內容都屬于敏感信息,而是通過這些加密頁面讓用戶確信自己所訪問的是官方網站,而不是網絡釣魚網站。
6、使用自簽名證書
由于一些企業完全忽視了SSL加密的重要性,因此微軟開始在它的一些產品中加入了自簽名的證書。這樣用戶在瀏覽網頁時,就算企業的網站沒有要求獲得 證書情況下,也可以使用SSL加密。雖然自簽名證書要比沒有證書強,但它并不能作為一個來自受信的證書頒發機構所頒發的證書的替代品。另外,一些基于 SSL的Web服務(比如ActiveSync),由于信任關系,并不完全兼容自簽名證書。
7、過多的安全記錄
太長的日志會讓管理員很難從中發現重要的安全事件。與其將所有系統事件都記錄下來,還不如將重點放在那些真正重要的事件上。
8、隨機分組虛擬服務器
虛擬服務器一般會根據其性能在主機上進行分組。比如在一臺服務器上搭建了一個對性能要求較高的虛擬服務器應用后,與之搭配幾個對系統性能要求較低的 虛擬服務器,可以實現資源的合理化應用。從資源利用的角度上說,這么做非常正確,但是從安全性的角度看,就不見得了。
建議在一臺獨立的服務器上放置針對互聯網應用的虛擬服務器。換句話說,如果你需要搭建三個針對互聯網用戶的虛擬服務器,你可以考慮將這三個虛擬服務 器分為一組,放置在同一臺主機上,但是不要將架構類服務器(如域控制器)放在同一臺主機上。
之所以這樣建議,是考慮到針對虛擬服務器的溢出攻擊。雖然目前還沒有真正出現過此類攻擊,但這是遲早要發生的事。一旦那一天到來,同一臺主機上如果 還安裝了其他重要的虛擬服務器,那么對整個企業網絡來說,將是一個災難。
9、將成員服務器置于DMZ
能避免的話,就盡量不要將任何成員服務器置于DMZ中。否則,一旦被入侵,這臺成員服務器將可能泄露出很多有關活動目錄的信息。
10、升級補丁需要用戶自己安裝
很多公司網絡中的電腦都依賴于Windows的自動更新服務進行自動打補丁。不幸的是,這類設計需要用戶自己點擊鼠標來進行補丁安裝確認,而很多用 戶都知道,安裝完補丁后系統會重新啟動。為了避免這種麻煩,很多用戶選擇了停止自動更新。因此,與其將安裝補丁的權利交給用戶,不如通過某種補丁管理解決 方案,自動將系統補丁分發到每臺電腦上,繞過用戶的任何操作。
