局域網(wǎng)安全有哪些防護(hù)措施

應(yīng)對網(wǎng)絡(luò)攻擊我們應(yīng)該采取這樣的防護(hù) 措施 呢?以下我整理的 局域網(wǎng)安全 的防護(hù)措施，供大家參考，希望大家能夠有所收獲!

成都創(chuàng)新互聯(lián)公司成立于2013年，我們提供高端網(wǎng)站建設(shè)、成都網(wǎng)站制作、網(wǎng)站設(shè)計、網(wǎng)站定制、成都全網(wǎng)營銷、微信小程序開發(fā)、微信公眾號開發(fā)、seo優(yōu)化排名服務(wù)，提供專業(yè)營銷思路、內(nèi)容策劃、視覺設(shè)計、程序開發(fā)來完成項目落地，為成都鑿毛機(jī)企業(yè)提供源源不斷的流量和訂單咨詢。

局域網(wǎng)安全的防護(hù)措施：

(1)、物理安全

存放位置：將關(guān)鍵設(shè)備集中存放到一個單獨的機(jī)房中，并提供良好的通風(fēng)、消防

電氣設(shè)施條件

人員管理：對進(jìn)入機(jī)房的人員進(jìn)行嚴(yán)格管理，盡可能減少能夠直接接觸物理設(shè)備

的人員數(shù)量

硬件冗余：對關(guān)鍵硬件提供硬件冗余，如RAID磁盤陣列、熱備份路由、UPS不

間斷電源等

(2)、網(wǎng)絡(luò)安全

端口管理：關(guān)閉非必要開放的端口，若有可能，網(wǎng)絡(luò)服務(wù)盡量使用非默認(rèn)端口，

如遠(yuǎn)程桌面連接所使用的3389端口，最好將其更改為其他端口

加密傳輸：盡量使用加密的通信方式傳輸數(shù)據(jù)據(jù)，如HTTPS、，IPsec...，

一般只對TCP協(xié)議的端口加密，UDP端口不加密

入侵檢測：啟用入侵檢測，對所有的訪問請求進(jìn)行特征識別，及時丟棄或封鎖攻

擊請求，并發(fā)送擊擊警告

(3)、 系統(tǒng)安全

系統(tǒng)/軟件漏洞：選用正版應(yīng)用軟件，并及時安裝各種漏洞及修復(fù)補(bǔ)丁

賬號/權(quán)限管理：對系統(tǒng)賬號設(shè)置高強(qiáng)度的復(fù)雜密碼，并定期進(jìn)行更換，對特定

人員開放其所需的最小權(quán)限

軟件/服務(wù)管理：卸載無關(guān)軟件，關(guān)閉非必要的系統(tǒng)服務(wù)

病毒/木馬防護(hù)：統(tǒng)一部署防病毒軟件，并啟用實時監(jiān)控

(4)、數(shù)據(jù)安全

數(shù)據(jù)加密：對保密性要求較高的數(shù)據(jù)據(jù)進(jìn)行加密，如可以使用微軟的EFS

(Encrypting File System)來對文件系統(tǒng)進(jìn)行加密

用戶管理：嚴(yán)格控制用戶對關(guān)鍵數(shù)據(jù)的訪問，并記錄用戶的訪問日志

數(shù)據(jù)備份：對關(guān)鍵數(shù)據(jù)進(jìn)行備份，制定合理的備份方案，可以將其備份到遠(yuǎn)程

服務(wù)器、或保存到光盤、磁帶等物理介質(zhì)中，并保證備份的可用性

如何保護(hù)內(nèi)網(wǎng)安全

內(nèi)網(wǎng)是網(wǎng)絡(luò)應(yīng)用中的一個主要組成部分，其安全性也受到越來越多的重視。今天就給大家腦補(bǔ)一下內(nèi)網(wǎng)安全的保護(hù)方法。

對于大多數(shù)企業(yè)局域網(wǎng)來說，路由器已經(jīng)成為正在使用之中的最重要的安全設(shè)備之一。一般來說，大多數(shù)網(wǎng)絡(luò)都有一個主要的接入點。這就是通常與專用防火墻一起使用的“邊界路由器”。

經(jīng)過恰當(dāng)?shù)脑O(shè)置，邊緣路由器能夠把幾乎所有的最頑固的壞分子擋在網(wǎng)絡(luò)之外。如果你愿意的話，這種路由器還能夠讓好人進(jìn)入網(wǎng)絡(luò)。不過，沒有恰當(dāng)設(shè)置的路由器只是比根本就沒有安全措施稍微好一點。

在下列指南中，我們將研究一下你可以用來保護(hù)網(wǎng)絡(luò)安全的9個方便的步驟。這些步驟能夠保證你擁有一道保護(hù)你的網(wǎng)絡(luò)的磚墻，而不是一個敞開的大門。

1.修改默認(rèn)的口令!

據(jù)國外調(diào)查顯示，80%的安全突破事件是由薄弱的口令引起的。網(wǎng)絡(luò)上有大多數(shù)路由器的廣泛的默認(rèn)口令列表。你可以肯定在某些地方的某個人會知道你的生日。SecurityStats點抗 網(wǎng)站維護(hù)一個詳盡的可用/不可用口令列表，以及一個口令的可靠性測試。

2.關(guān)閉IP直接廣播(IP Directed Broadcast)

你的服務(wù)器是很聽話的。讓它做什么它就做什么，而且不管是誰發(fā)出的指令。Smurf攻擊是一種拒絕服務(wù)攻擊。在這種攻擊中，攻擊者使用假冒的源地址向你的網(wǎng)絡(luò)廣播地址發(fā)送一個“ICMP echo”請求。這要求所有的主機(jī)對這個廣播請求做出回應(yīng)。這種情況至少會降低你的網(wǎng)絡(luò)性能。

參考你的路由器信息文件，了解如何關(guān)閉IP直接廣播。例如，“Central(config)#no ip source-route”這個指令將關(guān)閉思科路由器的IP直接廣播地址。

3.如果可能，關(guān)閉路由器的HTTP設(shè)置

正如思科的技術(shù)說明中簡要說明的那樣，HTTP使用的身份識別協(xié)議相當(dāng)于向整個網(wǎng)絡(luò)發(fā)送一個未加密的口令。然而，遺憾的是，HTTP協(xié)議中沒有一個用于驗證口令或者一次性口令的有效規(guī)定。

雖然這種未加密的口令對于你從遠(yuǎn)程位置(例如家里)設(shè)置你的路由器也許是非常方便的，但是，你能夠做到的事情其他人也照樣可以做到。特別是如果你仍在使用默認(rèn)的口令!如果你必須遠(yuǎn)程管理路由器，你一定要確保使用SNMPv3以上版本的協(xié)議，因為它支持更嚴(yán)格的口令。

4.封鎖ICMP ping請求

ping的主要目的是識別目前正在使用的主機(jī)。因此，ping通常用于更大規(guī)模的協(xié)同性攻擊之前的偵察活動。通過取消遠(yuǎn)程用戶接收ping請求的應(yīng)答能力，你就更容易避開那些無人注意的掃描活動或者防御那些尋找容易攻擊的'目標(biāo)的“腳本小子”(script kiddies)。

請注意，這樣做實際上并不能保護(hù)你的網(wǎng)絡(luò)不受攻擊，但是，這將使你不太可能成為一個攻擊目標(biāo)。

5.關(guān)閉IP源路由

IP協(xié)議允許一臺主機(jī)指定數(shù)據(jù)包通過你的網(wǎng)絡(luò)的路由，而不是允許網(wǎng)絡(luò)組件確定最佳的路徑。這個功能的合法的應(yīng)用是用于診斷連接故障。但是，這種用途很少應(yīng)用。這項功能最常用的用途是為了偵察目的對你的網(wǎng)絡(luò)進(jìn)行鏡像，或者用于攻擊者在你的專用網(wǎng)絡(luò)中尋找一個后門。除非指定這項功能只能用于診斷故障，否則應(yīng)該關(guān)閉這個功能。

6.確定你的數(shù)據(jù)包過濾的需求

封鎖端口有兩項理由。其中之一根據(jù)你對安全水平的要求對于你的網(wǎng)絡(luò)是合適的。

對于高度安全的網(wǎng)絡(luò)來說，特別是在存儲或者保持秘密數(shù)據(jù)的時候，通常要求經(jīng)過允許才可以過濾。在這種規(guī)定中，除了網(wǎng)路功能需要的之外，所有的端口和IP地址都必要要封鎖。例如，用于web通信的端口80和用于SMTP的110/25端口允許來自指定地址的訪問，而所有其它端口和地址都可以關(guān)閉。

大多數(shù)網(wǎng)絡(luò)將通過使用“按拒絕請求實施過濾”的方案享受可以接受的安全水平。當(dāng)使用這種過濾政策時，可以封鎖你的網(wǎng)絡(luò)沒有使用的端口和特洛伊木馬或者偵查活動常用的端口來增強(qiáng)你的網(wǎng)絡(luò)的安全性。例如，封鎖139端口和445(TCP和UDP)端口將使黑客更難對你的網(wǎng)絡(luò)實施窮舉攻擊。封鎖31337(TCP和UDP)端口將使Back Orifice木馬程序更難攻擊你的網(wǎng)絡(luò)。

這項工作應(yīng)該在網(wǎng)絡(luò)規(guī)劃階段確定，這時候安全水平的要求應(yīng)該符合網(wǎng)絡(luò)用戶的需求。查看這些端口的列表，了解這些端口正常的用途。

7.建立準(zhǔn)許進(jìn)入和外出的地址過濾政策

在你的邊界路由器上建立政策以便根據(jù)IP地址過濾進(jìn)出網(wǎng)絡(luò)的違反安全規(guī)定的行為。除了特殊的不同尋常的案例之外，所有試圖從你的網(wǎng)絡(luò)內(nèi)部訪問互聯(lián)網(wǎng)的IP地址都應(yīng)該有一個分配給你的局域網(wǎng)的地址。例如，192.168.0.1 這個地址也許通過這個路由器訪問互聯(lián)網(wǎng)是合法的。但是，216.239.55.99這個地址很可能是欺騙性的，并且是一場攻擊的一部分。

相反，來自互聯(lián)網(wǎng)外部的通信的源地址應(yīng)該不是你的內(nèi)部網(wǎng)絡(luò)的一部分。因此，應(yīng)該封鎖入網(wǎng)的192.168.X.X、172.16.X.X和10.X.X.X等地址。

最后，擁有源地址的通信或者保留的和無法路由的目標(biāo)地址的所有的通信都應(yīng)該允許通過這臺路由器。這包括回送地址127.0.0.1或者E類(class E)地址段240.0.0.0-254.255.255.255。

8.保持路由器的物理安全

從網(wǎng)絡(luò)嗅探的角度看，路由器比集線器更安全。這是因為路由器根據(jù)IP地址智能化地路由數(shù)據(jù)包，而集線器相所有的節(jié)點播出數(shù)據(jù)。如果連接到那臺集線器的一個系統(tǒng)將其網(wǎng)絡(luò)適配器置于混亂的模式，它們就能夠接收和看到所有的廣播，包括口令、POP3通信和Web通信。

然后，重要的是確保物理訪問你的網(wǎng)絡(luò)設(shè)備是安全的，以防止未經(jīng)允許的筆記本電腦等嗅探設(shè)備放在你的本地子網(wǎng)中。

9.花時間審閱安全記錄

審閱你的路由器記錄(通過其內(nèi)置的防火墻功能)是查出安全事件的最有效的方法，無論是查出正在實施的攻擊還是未來攻擊的征候都非常有效。利用出網(wǎng)的記錄，你還能夠查出試圖建立外部連接的特洛伊木馬程序和間諜軟件程序。用心的安全管理員在病毒傳播者作出反應(yīng)之前能夠查出“紅色代碼”和“Nimda”病毒的攻擊。

此外，一般來說，路由器位于你的網(wǎng)絡(luò)的邊緣，并且允許你看到進(jìn)出你的網(wǎng)絡(luò)全部通信的狀況。

企業(yè)內(nèi)網(wǎng)怎么保證安全？

1、注意內(nèi)網(wǎng)安全與網(wǎng)絡(luò)邊界安全的不同

內(nèi)網(wǎng)安全的威脅不同于網(wǎng)絡(luò)邊界的威脅。網(wǎng)絡(luò)邊界安全技術(shù)防范來自Internet上的攻擊，主要是防范來自公共的網(wǎng)絡(luò)服務(wù)器如HTTP或SMTP的攻 擊。網(wǎng)絡(luò)邊界防范(如邊界防火墻系統(tǒng)等)減小了資深黑客僅僅只需接入互聯(lián)網(wǎng)、寫程序就可訪問企業(yè)網(wǎng)的幾率。內(nèi)網(wǎng)安全威脅主要源于企業(yè)內(nèi)部。惡性的黑客攻擊 事件一般都會先控制局域網(wǎng)絡(luò)內(nèi)部的一臺Server，然后以此為基地，對Internet上其他主機(jī)發(fā)起惡性攻擊。因此，應(yīng)在邊界展開黑客防護(hù)措施，同時 建立并加強(qiáng)內(nèi)網(wǎng)防范策略。

2、限制VPN的訪問

虛擬專用網(wǎng)(VPN)用戶的 訪問對內(nèi)網(wǎng)的安全造成了巨大的威脅。因為它們將弱化的桌面操作系統(tǒng)置于企業(yè)防火墻的防護(hù)之外。很明顯VPN用戶是可以訪問企業(yè)內(nèi)網(wǎng)的。因此要避免給每一位 VPN用戶訪問內(nèi)網(wǎng)的全部權(quán)限。這樣可以利用登錄控制權(quán)限列表來限制VPN用戶的登錄權(quán)限的級別，即只需賦予他們所需要的訪問權(quán)限級別即可，如訪問郵件服 務(wù)器或其他可選擇的網(wǎng)絡(luò)資源的權(quán)限。

3、為合作企業(yè)網(wǎng)建立內(nèi)網(wǎng)型的邊界防護(hù)

合作企業(yè)網(wǎng)也是造成內(nèi)網(wǎng)安全問題的一大原因。例如安全管理員雖然知道怎樣利用實際技術(shù)來完固防火墻，保護(hù)MS-SQL，但是Slammer蠕蟲仍能侵入 內(nèi)網(wǎng)，這就是因為企業(yè)給了他們的合作伙伴進(jìn)入內(nèi)部資源的訪問權(quán)限。由此，既然不能控制合作者的網(wǎng)絡(luò)安全策略和活動，那么就應(yīng)該為每一個合作企業(yè)創(chuàng)建一個 DMZ，并將他們所需要訪問的資源放置在相應(yīng)的DMZ中，不允許他們對內(nèi)網(wǎng)其他資源的訪問。

4、自動跟蹤的安全策略

智能的自動執(zhí)行實時跟蹤的安全策略是有效地實現(xiàn)網(wǎng)絡(luò)安全實踐的關(guān)鍵。它帶來了商業(yè)活動中一大改革，極大的超過了手動安全策略的功效。商業(yè)活動的現(xiàn)狀需要 企業(yè)利用一種自動檢測方法來探測商業(yè)活動中的各種變更，因此，安全策略也必須與相適應(yīng)。例如實時跟蹤企業(yè)員工的雇傭和解雇、實時跟蹤網(wǎng)絡(luò)利用情況并記錄與 該計算機(jī)對話的文件服務(wù)器?？傊?，要做到確保每天的所有的活動都遵循安全策略。

5、關(guān)掉無用的網(wǎng)絡(luò)服務(wù)器

大型企業(yè)網(wǎng)可能同時支持四到五個服務(wù)器傳送e-mail，有的企業(yè)網(wǎng)還會出現(xiàn)幾十個其他服務(wù)器監(jiān)視SMTP端口的情況。這些主機(jī)中很可能有潛在的郵件服 務(wù)器的攻擊點。因此要逐個中斷網(wǎng)絡(luò)服務(wù)器來進(jìn)行審查。若一個程序(或程序中的邏輯單元)作為一個window文件服務(wù)器在運(yùn)行但是又不具有文件服務(wù)器作用 的，關(guān)掉該文件的共享協(xié)議。

6、首先保護(hù)重要資源

若一個內(nèi)網(wǎng)上連了千萬臺 (例如30000臺)機(jī)子，那么要期望保持每一臺主機(jī)都處于鎖定狀態(tài)和補(bǔ)丁狀態(tài)是非常不現(xiàn)實的。大型企業(yè)網(wǎng)的安全考慮一般都有擇優(yōu)問題。這樣，首先要對服 務(wù)器做效益分析評估，然后對內(nèi)網(wǎng)的每一臺網(wǎng)絡(luò)服務(wù)器進(jìn)行檢查、分類、修補(bǔ)和強(qiáng)化工作。必定找出重要的網(wǎng)絡(luò)服務(wù)器(例如實時跟蹤客戶的服務(wù)器)并對他們進(jìn)行 限制管理。這樣就能迅速準(zhǔn)確地確定企業(yè)最重要的資產(chǎn)，并做好在內(nèi)網(wǎng)的定位和權(quán)限限制工作。

7、建立可靠的無線訪問

審查網(wǎng)絡(luò)，為實現(xiàn)無線訪問建立基礎(chǔ)。排除無意義的無線訪問點，確保無線網(wǎng)絡(luò)訪問的強(qiáng)制性和可利用性，并提供安全的無線訪問接口。將訪問點置于邊界防火墻之外，并允許用戶通過VPN技術(shù)進(jìn)行訪問。

8、建立安全過客訪問

對于過客不必給予其公開訪問內(nèi)網(wǎng)的權(quán)限。許多安全技術(shù)人員執(zhí)行的“內(nèi)部無Internet訪問”的策略，使得員工給客戶一些非法的訪問權(quán)限，導(dǎo)致了內(nèi)網(wǎng)實時跟蹤的困難。因此，須在邊界防火墻之外建立過客訪問網(wǎng)絡(luò)塊。

9、創(chuàng)建虛擬邊界防護(hù)

主機(jī)是被攻擊的主要對象。與其努力使所有主機(jī)不遭攻擊(這是不可能的)，還不如在如何使攻擊者無法通過受攻擊的主機(jī)來攻擊內(nèi)網(wǎng)方面努力。于是必須解決企 業(yè)網(wǎng)絡(luò)的使用和在企業(yè)經(jīng)營范圍建立虛擬邊界防護(hù)這個問題。這樣，如果一個市場用戶的客戶機(jī)被侵入了，攻擊者也不會由此而進(jìn)入到公司的RD。因此 要實現(xiàn)公司RD與市場之間的訪問權(quán)限控制。大家都知道怎樣建立互聯(lián)網(wǎng)與內(nèi)網(wǎng)之間的邊界防火墻防護(hù)，現(xiàn)在也應(yīng)該意識到建立網(wǎng)上不同商業(yè)用戶群之間 的邊界防護(hù)。

10、可靠的安全決策

網(wǎng)絡(luò)用戶也存在著安全隱患。有的用戶或 許對網(wǎng)絡(luò)安全知識非常欠缺，例如不知道RADIUS和TACACS之間的不同，或不知道代理網(wǎng)關(guān)和分組過濾防火墻之間的不同等等，但是他們作為公司的合作 者，也是網(wǎng)絡(luò)的使用者。因此企業(yè)網(wǎng)就要讓這些用戶也容易使用，這樣才能引導(dǎo)他們自動的響應(yīng)網(wǎng)絡(luò)安全策略。

另外，在技術(shù)上，采用安全交換機(jī)、重要數(shù)據(jù)的備份、使用代理網(wǎng)關(guān)、確保操作系統(tǒng)的安全、使用主機(jī)防護(hù)系統(tǒng)和入侵檢測系統(tǒng)等等措施也不可缺少。

內(nèi)網(wǎng)安全的保障措施

內(nèi)網(wǎng)是網(wǎng)絡(luò)應(yīng)用中的一個主要組成部分，其安全性也受到越來越多的重視。據(jù)不完全統(tǒng)計，國外在建設(shè)內(nèi)網(wǎng)時，投資額的15%是用于加強(qiáng)內(nèi)網(wǎng)的網(wǎng)絡(luò)安全。在我國IT市場中，安全廠商保持著旺盛的增長勢頭。運(yùn)營商在內(nèi)網(wǎng)安全方面的投資比例不如國外多，但依然保持著持續(xù)的增長態(tài)勢。要提高內(nèi)網(wǎng)的安全，可以使用的方法很多，本文將就此做一些探討。 在內(nèi)網(wǎng)系統(tǒng)中數(shù)據(jù)對用戶的重要性越來越大，實際上引起電腦數(shù)據(jù)流失或被損壞、篡改的因素已經(jīng)遠(yuǎn)超出了可知的病毒或惡意的攻擊，用戶的一次錯誤操作，系統(tǒng)的一次意外斷電以及其他一些更有針對性的災(zāi)難可能對用戶造成的損失比直接的病毒和黑客攻擊還要大。

為了維護(hù)企業(yè)內(nèi)網(wǎng)的安全，必須對重要資料進(jìn)行備份，以防止因為各種軟硬件故障、病毒的侵襲和黑客的破壞等原因?qū)е孪到y(tǒng)崩潰，進(jìn)而蒙受重大損失。

對數(shù)據(jù)的保護(hù)來說，選擇功能完善、使用靈活的備份軟件是必不可少的；現(xiàn)今應(yīng)用中的備份軟件是比較多的，配合各種災(zāi)難恢復(fù)軟件，可以較為全面地保護(hù)數(shù)據(jù)的安全。 使用代理網(wǎng)關(guān)的好處在于，網(wǎng)絡(luò)數(shù)據(jù)包的交換不會直接在內(nèi)外網(wǎng)絡(luò)之間進(jìn)行。內(nèi)部計算機(jī)必須通過代理網(wǎng)關(guān)，進(jìn)而才能訪問到Internet ，這樣操作者便可以比較方便地在代理服務(wù)器上對網(wǎng)絡(luò)內(nèi)部的計算機(jī)訪問外部網(wǎng)絡(luò)進(jìn)行限制。

在代理服務(wù)器兩端采用不同協(xié)議標(biāo)準(zhǔn)，也可以阻止外界非法訪問的入侵。還有，代理服務(wù)的網(wǎng)關(guān)可對數(shù)據(jù)封包進(jìn)行驗證和對密碼進(jìn)行確認(rèn)等安全管制。 防火墻的選擇應(yīng)該適當(dāng)，對于微小型的企業(yè)網(wǎng)絡(luò)，可從Norton Internet Security 、 PCcillin 、天網(wǎng)個人防火墻等產(chǎn)品中選擇適合于微小型企業(yè)的個人防火墻。

而對于具有內(nèi)部網(wǎng)絡(luò)的企業(yè)來說，則可選擇在路由器上進(jìn)行相關(guān)的設(shè)置或者購買更為強(qiáng)大的防火墻產(chǎn)品。對于幾乎所有的路由器產(chǎn)品而言，都可以通過內(nèi)置的防火墻防范部分的攻擊，而硬件防火墻的應(yīng)用，可以使安全性得到進(jìn)一步加強(qiáng)。 為了保障網(wǎng)絡(luò)的安全，也可以利用網(wǎng)絡(luò)操作系統(tǒng)所提供的保密措施。以Windows為例，進(jìn)行用戶名登錄注冊，設(shè)置登錄密碼，設(shè)置目錄和文件訪問權(quán)限和密碼，以控制用戶只能操作什么樣的目錄和文件，或設(shè)置用戶級訪問控制，以及通過主機(jī)訪問Internet等。

同時，可以加強(qiáng)對數(shù)據(jù)庫信息的保密防護(hù)。網(wǎng)絡(luò)中的數(shù)據(jù)組織形式有文件和數(shù)據(jù)庫兩種。由于文件組織形式的數(shù)據(jù)缺乏共享性，數(shù)據(jù)庫現(xiàn)已成為網(wǎng)絡(luò)存儲數(shù)據(jù)的主要形式。由于操作系統(tǒng)對數(shù)據(jù)庫沒有特殊的保密措施，而數(shù)據(jù)庫的數(shù)據(jù)以可讀的形式存儲其中，所以數(shù)據(jù)庫的保密也要采取相應(yīng)的方法。電子郵件是企業(yè)傳遞信息的主要途徑，電子郵件的傳遞應(yīng)行加密處理。針對計算機(jī)及其外部設(shè)備和網(wǎng)絡(luò)部件的泄密渠道，如電磁泄露、非法終端、搭線竊取、介質(zhì)的剩磁效應(yīng)等，也可以采取相應(yīng)的保密措施。

從攻擊角度入手

計算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全威脅有很大一部分來自拒絕服務(wù)(DoS)攻擊和計算機(jī)病毒攻擊。為了保護(hù)網(wǎng)絡(luò)安全，也可以從這幾個方面進(jìn)行。

對付“拒絕服務(wù)”攻擊有效的方法，是只允許跟整個Web站臺有關(guān)的網(wǎng)絡(luò)流量進(jìn)入，就可以預(yù)防此類的黑客攻擊，尤其對于ICMP封包，包括ping指令等，應(yīng)當(dāng)進(jìn)行阻絕處理。

通過安裝非法入侵偵測系統(tǒng)，可以提升防火墻的性能，達(dá)到監(jiān)控網(wǎng)絡(luò)、執(zhí)行立即攔截動作以及分析過濾封包和內(nèi)容的動作，當(dāng)竊取者入侵時可以立刻有效終止服務(wù)，以便有效地預(yù)防企業(yè)機(jī)密信息被竊取。同時應(yīng)限制非法用戶對網(wǎng)絡(luò)的訪問，規(guī)定具有IP地址的工作站對本地網(wǎng)絡(luò)設(shè)備的訪問權(quán)限，以防止從外界對網(wǎng)絡(luò)設(shè)備配置的非法修改。 從病毒發(fā)展趨勢來看，病毒已經(jīng)由單一傳播、單種行為，變成依賴互聯(lián)網(wǎng)傳播，集電子郵件、文件傳染等多種傳播方式，融黑客、木馬等多種攻擊手段為一身的廣義的“新病毒”。計算機(jī)病毒更多的呈現(xiàn)出如下的特點：與Internet和Intranet更加緊密地結(jié)合，利用一切可以利用的方式(如郵件、局域網(wǎng)、遠(yuǎn)程管理、即時通信工具等)進(jìn)行傳播；所有的病毒都具有混合型特征，集文件傳染、蠕蟲、木馬、黑客程序的特點于一身，破壞性大大增強(qiáng)；因為其擴(kuò)散極快，不再追求隱藏性，而更加注重欺騙性；利用系統(tǒng)漏洞將成為病毒有力的傳播方式。

因此，在內(nèi)網(wǎng)考慮防病毒時選擇產(chǎn)品需要重點考慮以下幾點：防殺毒方式需要全面地與互聯(lián)網(wǎng)結(jié)合，不僅有傳統(tǒng)的手動查殺與文件監(jiān)控，還必須對網(wǎng)絡(luò)層、郵件客戶端進(jìn)行實時監(jiān)控，防止病毒入侵；產(chǎn)品應(yīng)有完善的在線升級服務(wù)，使用戶隨時擁有最新的防病毒能力；對病毒經(jīng)常攻擊的應(yīng)用程序提供重點保護(hù)；產(chǎn)品廠商應(yīng)具備快速反應(yīng)的病毒檢測網(wǎng)，在病毒爆發(fā)的第一時間即能提供解決方案；廠商能提供完整、即時的反病毒咨詢，提高用戶的反病毒意識與警覺性，盡快地讓用戶了解到新病毒的特點和解決方案。 在現(xiàn)實中，入侵者攻擊Intranet目標(biāo)的時候，90%會把破譯普通用戶的口令作為第一步。以Unix系統(tǒng)或Linux 系統(tǒng)為例，先用“ finger遠(yuǎn)端主機(jī)名”找出主機(jī)上的用戶賬號，然后用字典窮舉法進(jìn)行攻擊。這個破譯過程是由程序來完成的。大概十幾個小時就可以把字典里的單詞都完成。

如果這種方法不能奏效，入侵者就會仔細(xì)地尋找目標(biāo)的薄弱環(huán)節(jié)和漏洞，伺機(jī)奪取目標(biāo)中存放口令的文件 shadow或者passwd 。然后用專用的破解DES加密算法的程序來解析口令。

在內(nèi)網(wǎng)中系統(tǒng)管理員必須要注意所有密碼的管理，如口令的位數(shù)盡可能的要長；不要選取顯而易見的信息做口令；不要在不同系統(tǒng)上使用同一口令；輸入口令時應(yīng)在無人的情況下進(jìn)行；口令中最好要有大小寫字母、字符、數(shù)字；定期改變自己的口令；定期用破解口令程序來檢測shadow文件是否安全。沒有規(guī)律的口令具有較好的安全性。 以上九個方面僅是多種保障內(nèi)網(wǎng)安全措施中的一部分，為了更好地解決內(nèi)網(wǎng)的安全問題，需要有更為開闊的思路看待內(nèi)網(wǎng)的安全問題。在安全的方式上，為了應(yīng)付比以往更嚴(yán)峻的“安全”挑戰(zhàn)，安全不應(yīng)再僅僅停留于“堵”、“殺”或者“防”，應(yīng)該以動態(tài)的方式積極主動應(yīng)用來自安全的挑戰(zhàn)，因而健全的內(nèi)網(wǎng)安全管理制度及措施是保障內(nèi)網(wǎng)安全必不可少的措施。