网络安全设计十大常见错误.docVIP

网络安全设计十大常见错误 下面列出的几种在网络安全设计时常见的错误会对未来企业的网络安全构成严重影响。1、设置好就高枕无忧了犯这种错误的企业一般会下大力气去设计一个安全的网络，但是却忽略了后期对于这个设计的定期的重新评估。因为网络风险是在不断变化的，因此企业的网络安全设计也应该不断进化。最好的办法就是定期对网络安全设计进行重新评估。2、在防火墙上开放过多的端口我们都知道开放过多的端口没有好处，但是有时候又不得不多开放几个端口。这时，网络安全管理员该怎么办呢?最好的解决方案之一是采用逆向代理。逆向代理的位置介于互联网和本地需要开放多个端口的服务器之间。这样设置后，服务器不需要再开放大量的端口，而外界对服务器的连接请求会先经过逆向代理进行拦截和过滤，并传递给服务器。这种设计不但能让服务器对外网而言是不可见的，还能确保外部的恶意请求不会到达服务器。3、不同应用程序混在一起企业一般会在一台服务器上安装多个应用服务，让一台服务器扮演多个角色。虽然这么做并不是被禁止的，但是在计算机行业有一个规律，即代码越多，出现安全漏洞的机会就越多。这并不是说每个服务器只能运行一种应用程序，或者扮演一种服务角色，但是至少我们应该仔细考虑应该把哪些应用程序或服务角色合并到一台服务器上。比如，在最小需求下，一个Exchange 2007需要三个服务器角色(Hub transport、Client access、Mailbox server)，你可以将这三个角色整合到一台服务器上。但是如果你要为外部客户提供Outlook Web Access服务就不要这样做了。因为Client Access Server服务器角色需要用到IIS来实现Outlook Web Access，也就是说，如果你将客户接入服务器角色和Hub transport以及Mailbox server 角色放在了一台服务器上，实际上就是把你的邮箱数据库开放给了互联网上的所有黑客。4、忽略了网络中的工作站网络里的工作站是网络安全的最大威胁。很多企业在不断加强网络服务器的安全性，但同时却忽视了网络内的每一台工作站。除非工作站的安全防护措施非常好，否则使用它的员工很容易在不经意间让系统被恶意软件入侵。5、在必要的情况下没有使用SSL加密我们都知道，当用户需要在网站上输入敏感信息时，网站都会使用SSL 技术对信息进行加密。但是很多企业在这个问题上犯了错。很多时候企业将敏感信息和非敏感信息混合在一个网页中，当用户访问该页面时，会收到一条提示，询问用户是否同时查看安全内容和非安全的内容。大部分用户在面对这个提示时都是选择同时显示安全和非安全的内容，这就为网络安全带来了隐患。一个不太明显但是更常见的错误是，企业很少加密自己网站上的一些关键页面。实际上，任何涉及安全信息、安全设备以及联系人方式的信息都应该经过SSL加密。这并不是因为这些内容都属于敏感信息，而是通过这些加密页面让用户确信自己所访问的是官方网站，而不是网络钓鱼网站。6、使用自签名证书由于一些企业完全忽视了SSL加密的重要性，因此微软开始在它的一些产品中加入了自签名的证书。这样用户在浏览网页时，就算企业的网站没有要求获得证书情况下，也可以使用SSL加密。虽然自签名证书要比没有证书强，但它并不能作为一个来自受信的证书颁发机构所颁发的证书的替代品。另外，一些基于SSL的Web服务(比如ActiveSync)，由于信任关系，并不完全兼容自签名证书。7、过多的安全记录太长的日志会让管理员很难从中发现重要的安全事件。与其将所有系统事件都记录下来，还不如将重点放在那些真正重要的事件上。8、随机分组虚拟服务器虚拟服务器一般会根据其性能在主机上进行分组。比如在一台服务器上搭建了一个对性能要求较高的虚拟服务器应用后，与之搭配几个对系统性能要求较低的虚拟服务器，可以实现资源的合理化应用。从资源利用的角度上说，这么做非常正确，但是从安全性的角度看，就不见得了。建议在一台独立的服务器上放置针对互联网应用的虚拟服务器。换句话说，如果你需要搭建三个针对互联网用户的虚拟服务器，你可以考虑将这三个虚拟服务器分为一组，放置在同一台主机上，但是不要将架构类服务器(如域控制器)放在同一台主机上。之所以这样建议，是考虑到针对虚拟服务器的溢出攻击。虽然目前还没有真正出现过此类攻击，但这是迟早要发生的事。一旦那一天到来，同一台主机上如果还安装了其他重要的虚拟服务器，那么对整个企业网络来说，将是一个灾难。9、将成员服务器置于DMZ能避免的话，就尽量不要将任何成员服务器置于DMZ中。否则，一旦被入侵，这台成员服务器将可能泄露出很多有关活动目录的信息。10、升级补丁需要用户自己安装很多公司网络中的电脑都依赖于Windows的自动更新服务进行自动打补丁