5。有效利用VPN技術
目前,防火墻產品通常都集成了VPN功能,這也為遠程用戶和企業的分支機構訪問企業內部網絡資源提供了一個非常好的途徑。通常情況下�����,一個網絡要提供遠程用戶或分支機構進行訪問的能力需要采用遠程訪問服務器���、Modem池��、電話交換機以及足夠的通信線路來構造專門的遠程訪問系統�,這樣做不但需要較大的投資��,而且通信的安全性也得不到足夠的保證����。而在VPN方式下��,VPN客戶端(遠程用戶或分支機構)和設置在內部網絡邊界的VPN服務器(防火墻或專用的VPN服務器)使用隧道協議���,利用Internet或公用網絡建立一條“隧道”作為傳輸通道��,同時VPN連接采用身份認證和數據加密等技術避免數據在傳輸過程中受到偵聽和篡改,從而保證了數據的完整性、機密性和合法性�。通過VPN方式���,企業可以利用現有的網絡資源實現遠程用戶和分支機構對內部網絡資源的訪問�,不但節省了大量的資金����,而且具有很高的安全性。這種方式對中小企業的Intranet尤其適用,實現起來也比較方便��。VPN服務器可以由內部網絡的防火墻來擔當��。對于客戶端,如果為遠程用戶��,可以利用Windows 98或Windows 2000系統中內嵌的虛擬專用網絡(VPN)功能��,也可以安裝專業的VPN客戶端軟件��;如果為分支機構的小型辦公網絡�,可以在分支機構網絡的邊緣處設置一個具有VPN功能的性能相對較低的防火墻�,這樣可以實現在兩個網絡之間利用Internet或公用網絡進行安全通信。
6����。網絡安全
(1). 電源的安全
電源不僅是一個計算機網絡能夠運行的最基本條件����,同時電源的安全也是計算機網絡安全運行的最基本要素�����。這里電源的安全不僅要求為所有的工作站��、服務器和網絡設備提供一個高質量的電源,同時還要設置良好的接地系統。對于服務器和網絡設備還要設置不間斷電源(UPS)裝置��,這不但可以增加網絡的連續運行能力�����,而且可以防止因為突然斷電對網絡硬件造成的損壞�。特別是服務器�����,如果正在運行的服務器突然斷電��,不但硬件設備可能出現問題,而且操作系統或應用因為沒有正常關閉可能導致數據不能提交或系統不能正常啟動�,甚至造成服務器或應用的癱瘓。這是任何一個企業都不愿看到的�。
在網絡建設和維護中���,電源是最穩定的一個部分��,一般情況下,它不會隨著應用的發展頻繁地升級�����,因此��,中小企業在構建自己的網絡系統時���,進行相應的投資建立一個安全的電源系統是非常值得的�����。
(2). 數據存儲的安全
保存在服務器中的數據是網絡應用的核心,如果由于服務器磁盤故障造成數據的損壞或丟失����,可能會造成無法估量的損失�����。因此必須采取相應的容錯及災難恢復手段來加強服務器存儲系統的可靠性。目前��,構建服務器存儲系統使用最廣泛的技術是RAID����。RAID的實現策略主要是用多個磁盤驅動器替換單一的大容量的磁盤驅動器,并將數據在各個磁盤上進行分布存放并支持同時在多個磁盤進行并行讀寫��,同時利用冗余的磁盤空間將數據從錯誤中恢復����。由于服務器中構成RAID的磁盤通常為熱插拔磁盤���,因此磁盤出現故障時�����,可以不停機地對故障進行修復�����,增加了網絡系統的連續工作能力����。RAID分為好幾個級別�����,每個級別在I/O性能和安全性方面各具特點�,其中RAID1和RAID5使用最多�。
RAID1—磁盤鏡像。它由磁盤對組成���,每一個工作盤都有對應的鏡像盤,保存著和工作盤完全相同的數據拷貝�����。當對邏輯塊進行寫入操作時����,工作盤和鏡像盤都進行實時更新����。如果磁盤對中任一個磁盤失敗,所有的讀寫請求立刻會轉移到另一塊磁盤上�����。因此它具有最高的可靠性�,但它的I/O性能和空間利用率不高,只用50%��,適用于訪問量不大但比較注重數據安全性的應用環境���。從性能價格比看�,中小企業網絡的應用服務器采用RAID1是非常合適的選擇。
RAID5—沒有獨立校驗盤的奇偶校驗碼磁盤陣列。RAID5采用了獨立存取技術�����,校驗信息分布在陣列內的所有磁盤上���,如果陣列中有一個磁盤失敗�����,這個盤中的數據可以通過其他盤中的數據根據校驗碼進行異或運算獲得�����。RAID5至少需要3塊磁盤構成,每一塊磁盤上都要占用1/N的空間存放校驗信息(N為構成RAID5的磁盤數量)����。由于采用了獨立存取技術�����, RAID5對于大�、小批量的數據讀寫性能都很好,適用于訪問量很大的系統��。在中小企業構建網絡時����,可以將Web服務器或數據庫服務器的存儲系統設置為RAID5。
可以根據RAID的應用級別來選擇相應的服務器���,這樣配置起來更方便一些。
(3).防病毒設置
計算機病毒一直是困擾著計算機和網絡系統的最大問題之一�。隨著計算機技術的不斷進步�,計算機病毒也不斷地向智能化和網絡化發展�,具有更強大的攻擊力和破壞性,從以往的破壞軟件系統到現在的攻擊硬件系統和網絡系統�,尤其是借助于發展迅速的Internet和Intranet�,計算機病毒可以通過各種渠道迅速地蔓延并實施破壞。如果沒有防范措施的話�,一個企業的計算機網絡很容易因為計算機病毒的攻擊而陷入癱瘓����。這對于一個企業而言�,后果可能是致命的。因此中小企業同樣需要采取相應的防病毒措施來保證網絡系統不受病毒的侵害��?���?梢圆扇∫韵聝煞N措施:
(1)為每臺工作站和服務器安裝單機版的防病毒軟件,每臺計算機定時地下載病毒碼信息并進行更新��。這種方式投資小���,但是病毒碼信息更新不及時或不同步�����,不能對最新的病毒做出及時的響應,可能導致網絡系統受到病毒的侵害�����。
(2)安裝網絡防毒系統�。這種方式采用客戶機/服務器方式,選擇一臺微機或應用服務器安裝網絡防病毒系統的服務器端軟件�����,并通過Internet利用防毒系統的在線更新功能實時地進行病毒碼信息的更新����。網絡中的所有計算機和服務器均安裝防毒系統的客戶端軟件,利用服務器端獲得最新的病毒碼信息對計算機進行病毒掃描���。這種方式雖然投資較大,但是對病毒碼信息進行實時的更新�,可以保證網絡不受到病毒的侵害�����,控制病毒的大肆傳播。
(4).防火墻設置
企業構建了Intranet�����,實現了與Internet的接軌��,雖然為企業業務的開展和日常的工作�����、學習帶來了極大的方便,但是我們不得不面對的一個問題就是實現了與Internet的接入,企業的內部網絡就完全地暴露在外界了�����,也就可能受到各種有意或無意的攻擊����。因此建立企業的Intranet�,必須建立網絡的防火墻系統來保證內部網絡的安全。由于在Internet接入部分已經對防火墻的功能和工作方式進行了相關的介紹,這里就不再進行過多的描述了�����。
(5).網絡的安全教育
保證網絡的安全不僅需要通過相應的技術手段從硬件和軟件著手對網絡資源進行保護�����,對網絡用戶進行網絡的安全教育同樣重要����。首先��,要建立一套完整的網絡管理規定和網絡使用方法�����,并要求網絡管理員和網絡使用人員必須嚴格遵守�,否則的話����,再先進的網絡安全技術也不能阻止人為因素對網絡安全造成的威脅。其次,加強對網絡管理員和網絡使用人員的培訓����,讓他們明白什么是可以做的�,什么是嚴禁做的��,可能產生的嚴重后果是什么。對網絡了解得越多,自我約束的能力也就越強���。第三,制定合適的網絡安全策略,既不能讓網絡用戶無限制地使用網絡,也不能對用戶限定得太死,引發用戶設法繞過網絡安全系統、鉆網絡安全策略空子的現象。制定一種讓網絡管理員和網絡用戶都樂于接受的安全策略���,可以讓網絡用戶在使用網絡的過程中逐步把網絡當成工作中的一個得力工具,從而自覺地維護網絡的安全。
7.網絡管理
大型企業的網絡通常都通過功能完善的專業網管系統對網絡進行管理�����,這個投資對于中小企業來說可能是無法承擔的�。事實上,由于中小企業的網絡結構比較簡單�,一般不需要對網絡的流量����、網絡設備的狀態和端口設置等信息進行實時的控制和檢查�。網絡管理員可能對網絡的連通性、IP地址的設置情況和需要時能對設備進行設置更為關心一些����,而這些工作利用Windows 98/2000系統包含的Ping��、Ipconfig/Winipcfg、Telnet等實用工具就可以完成���。
