走出误区 揭开内网安全系统真面目

防护内网安全的措施

　　限制VPN的访问

　　虚拟专用网(VPN)用户的访问对内网的安全造成了巨大的威胁。在虚拟专用网中，任意两个节点之间的连接并没有传统专网所需的端到端的物理链路，而是利用某种公众网的资源动态组成的。所以它们将弱化的桌面操作系统置于企业防火墙的防护之外。很明显VPN用户是可以访问企业内网的，很明显VPN其实是对内网安全造成威胁的。

　　因此要避免给每一位VPN用户访问内网的全部权限。这样可以利用登录控制权限列表来限制VPN用户的登录权限的级别，即只需赋予他们所需要的访问权限级别即可，如访问邮件服务器或其他可选择的网络资源的权限。

　　为网站建立内网型的边界防护

　　很多企业都会有网络上的合作伙伴，例如合作的媒体或者是合作的厂商等，虽然安全管理员虽然知道怎样利用实际技术来完固防火墙，保护MS-SQL，但是Slammer蠕虫仍能侵入内网，这就是因为企业给了他们的合作伙伴进入内部资源的访问权限。

　　既然不能控制合作者的网络安全策略和活动，那么就应该为每一个合作企业创建一个DMZ，并将他们所需要访问的资源放置在相应的DMZ中，不允许他们对内网其他资源的访问，建立合作专区还是非常必要的。

　　关掉无用的网络服务器

　　大型企业一般在采购上由于人为原因重复性选择或者是不合理选择经常会出现，因此难免有一家企业上跑着四五台邮件服务器的情况，而实际的情况是两台机器即可完全解决。

　　这些主机中很可能有潜在的邮件服务器的攻击点。因此要逐个中断网络服务器来进行审查。若一个程序(或程序中的逻辑单元)作为一个window文件服务器在运行但是又不具有文件服务器作用的，关掉该文件的共享协议。

　　创建虚拟边界防护

　　主机是被攻击的主要对象。与其努力使所有主机不遭攻击(这是不可能的)，还不如在如何使攻击者无法通过受攻击的主机来攻击内网方面努力。于是必须解决企业网络的使用和在企业经营范围建立虚拟边界防护这个问题。这样，如果一个市场用户的客户机被侵入了，攻击者也不会由此而进入到公司的R&D。因此要实现公司R&D与市场之间的访问权限控制。大家都知道怎样建立互联网与内网之间的边界防火墙防护，现在也应该意识到建立网上不同商业用户群之间的边界防护。