啸对天下

--------来源：赛迪网    作者：Rambo

Rambo安全经验谈连载之：防护网络安全原则

显然，防护网络的第一步是防护网络中的所有计算机，包括个人工作站和服务器。然而，这只是网络安全的一部分，防火墙必不可少，大多数专家还建议用IDS，有许多IDS可供选择，有些甚至还是免费的。IDS可以检测攻击行为，像端口扫描，这可能预示着有人尝试侵入网络边界安全。

假如网络很大，就要考虑用带防火墙的路由器把网络分成若干部分，这样的话，一个部分发生问题，不会影响成个网络。这里，可以考虑把所有重要的服务器都放在一个安全区域内，这通常叫DMZ区。

如Web服务器是对外提供服务的，并且最常受到攻击，把他们单独放在一个区域内是比较合理的。许多网络管理员会考虑在Web服务器与其它网络之间再放一个防火墙。这样的话，骇客就算利用服务器漏洞侵入了Web服务器，也不能进入整个网络。同时，一定要有策略指导用户如何使用系统，再健壮的安全系统都会因为用户的稍不注意而功亏一篑。一定要记住必须要有安全策略指导用户哪些能做，哪些不能做。

在加固服务器（打补丁，关闭不必要的服务等）的同时，也需要加固路由器。如何加固路由器需要咨询相应的安全厂商，但是这里有一些基本原则：

1、使用强壮的密码：所有的路由器都可配置。因此，必须要遵循统一的安全策略，最少字符、复杂度、生存期、密码历史等要求。如果路由器支持加密（如Cisco及一些大厂商），那么最好加密。

2、使用日志：大多数路由器有日志功能。应该把此功能打开，就像监视服务日志那样。

3、安全原则：一些基本的路由安全准则要遵守。

4、不要响应非本地网络内主机的ARP（Address Resolution Protocol，地址解析协议）。

5、网络内不需要端口应该在路由器关闭。

6、不是从本地网络内发起的数据不予转发（此条为企业网原则，不适用于透传情况）。

以上是总体原则。好了，还是理一下防护网络的常规动作吧。分为两个级别：一般级和增强级。

一般级：没有达到这个要求，是很危险的。

1、所有的工作站和服务器都应用基本PC安全清单（基本安全级别）。

2、在内网和外网连接处部署包过滤防火墙。

3、在内网和外网连接处部署代理服务器。

4、所有路由器都设置为不转发广播包。

5、所有密码长度至少8位，6个月至少修改一次。

6、服务器物理安全措施到位，只有必要的人员才能接触。

7、有明确策略规定禁止从internet下载任何软件。

8、有明确策略规定如何处理邮件附件。

9、有明确策略规定如何处理离职员工。

10、加强员工安全意识并遵守企业策略。

11、每月至少备份和检查一次服务器日志。

12、每周所有服务器至少备份一次，每个月的备份移出并安全存储。

13、只有管理员才具有完全控制权限。

增强级：满足一般级的前提下，增加如下安全措施。

14、在网络边界部署状态包检查防火墙。

15、所有通往子网的路由器都具有包过滤防火墙功能。

16所有服务器每天至少备份一次。每个礼拜的备份移出并安全存储。

17、制定一个明确的灾难恢复计划，并对IT人员进行培训。

18、安装入侵检测系统。

19、每周至少备份和检查一次服务器日志。

20、每60天对所有计算机检查和更新补丁。

21、对所有特权网络管理员进行额外的背景检查。

22、所有计算机的浏览器在中等安全级别设置的基础上执行自定义设置。

23、所有密码长度至少8位，包含混合字符，并每90天修改一次。

24、至少每90天对所有计算机利用安全分析器和端口扫描器进行检查。

25、外部登陆只在非常严格的条件下才允许，如利用VPN。

26、所有安全活动（备份、扫描、下载补丁、更改密码、增加/删除用户，更改许可等等）都必须记录，记录内容包括执行人、时间、授权人等。

27、每个季度执行一次安全审计，包括检查补丁、日志、策略。

28、每年对整个网络进行一次安全审计，包括管理员个人背景、模拟攻击测验、包嗅探、日志审计等等。

29、定期的给用户发送安全更新警告，提示当前网络欺骗、病毒、木马等信息。

30、废旧介质（硬盘、磁带等）要完全销毁。

至此，可以说安全保障的本职工作已经做的相当好了，但前一部分的侧重点在“物”，我们堵住了设备的“漏洞”。前面介绍过，“人”的因素也很重要，赌不住人性的“漏洞”，只能功亏一篑。易中天以人物说故事，以故事说历史，以历史说人性，古今多少年，还是落脚点在人性上，可见人性多么关键。网络安全也一样，离不开人的因素，而且是个动态对抗的过程，没有一成不变的理论，只有举一反三，灵活运用。下面就介绍一下如何洞悉人性弱点，防止网络欺骗。

啸对天下

Rambo安全经验谈连载之：防护服务器的安全

任何网络的核心都在于服务器，包括数据库服务器、Web服务器、DNS服务器、文件和打印服务器等等。这些服务器为网络提供了大量的资源，通常，大多数重要的信息都存储在这些服务器上，这就意味着这些计算机对骇客来说是尤其诱人的，首当其冲，当然应该重点防护。

对于防护服务器来说，除了应用防护个人工作站的措施以外，还应该有些额外的重要措施。服务器上不会有人处理文档和电子表格，所以对服务器的防护不会像个人终端那样情况复杂。

首先，应该应用个人工作站的防护措施。打补丁，安装防病毒、防间谍软件，严格管理服务器的使用，除此之外还需要额外的防护措施。大多操作系统（如Windows2003、Linux）都有日志功能，包括登陆日志、安装软件日志等等，应该确保所有安全相关行为都有日志，并定期对这些日志做检查。要知道服务器上的数据要比一般计算机上的数据有价值的多，正因为此，服务器上的数据一般都有定期备份。建议每天备份一次，但通常情况下，一礼拜备份一次也就够了。备份磁带应该放在不联网的地方（例如单位的保险库）、且防火的地方。对备份磁带进行安全管理与对服务器进行安全管理一样重要。对于任何计算机来说，所有不需要的服务都应该关闭，对于服务器，可能要把不需要的服务和操作系统组件彻底卸载。但是执行之前要慎重，显然游戏和办公软件服务器并不需要，浏览器对于更新补丁来说是需要的。对于服务器来说还需要做的一点，大多服务器都有内建账户，例如Windows就有三个内建账户：administrator、guest、power guest。骇客猜测账户密码会首先从这些内建账户开始。事实上，互联网上有很多自动化的工具为骇客做这项工作。首先，应该自己创建一个账户不要显示账户的权限级别。例如，创建一个账户basic_user，并禁用administrator账户，设置basic_user为管理员账户，并赋予相应的权限。（当然，这个账户是给具有管理员资格的人用的）这样做了以后，骇客就不会马上对这个账户感兴趣。要知道骇客总是想要管理员权限，为管理员账户做掩护对于防止骇客攻击来说是非常重要的。

对于Windows来说，还有一系列注册表设置可以提高计算机安全。使用Cerberus，可以扫描出注册表设置的一些漏洞。什么样的设置会引起安全问题呢？通常要检查以下项目：

登陆：假如注册表设置在登陆时显示上一次登陆账户，那么黑客就少了一半工作要做。当黑客知道了密码，只需要破解密码就行了。

默认共享：一些文件及驱动器是默认共享的，打开这些共享是极不安全的。

在Windows组册表还有一些潜在的安全问题，Cerberus不但能把这些问题扫描出来，还会提出解决这些问题的建议。

下面总结一下，对服务器的常规动作：

1、应用个人工作站常规防护措施。

2、定期做好备份，并做好灾备方案。

3、打开日志功能，定期做好审计。

4、为管理员账户加以伪装。

做好了工作站与服务器的安全防护措施，下面介绍一下如何防护整个网络，如果有兴趣的话请看下篇：防护企业网络。

啸对天下

Rambo安全经验谈连载之：网络安全大策略

作为企业的网络安全设计人员，在思考安全保障前，应该站在更高的高度，审视应该采用什么样的安全模型，这将在很大程度上影响后续安全策略的制定，它为整个企业的网络安全基础建设定下了一个基调，可谓网络安全之大策略。

结合自己实际工作经验，也有这样一种感觉，站得高度越高，对知识的掌握也就越系统。本篇就占用大家一点时间，介绍一下总体的网络安全模型。其可以按照所采取的安全方法（边界、分层）不同来分类，也可以按照系统的主动性来分类。

1、边界安全（Perimeter Security）模型

边界安全模型是把注意力都放在了网络边界，而不关心网络内部安全防护的模型。包括防火墙、应用网关、密码策略、以及各种网络访问授权技术都是基于边界安全的思想。边界安全方法保护了网络边界的安全，但通常许多网络内部系统也是脆弱的。

所以这种模型明显是不全面的，但为什么还有许多公司在使用它呢？小公司通常会因为预算紧张或缺少有经验的网络管理员而选择使用边界安全模型，通常就是买个防火墙完事。这对于没有敏感信息的小公司来说也许还行，但对于大公司来讲是远远不够的。最近频繁发生一些知名公司的客户信息被盗，有些甚至被盗了2年都没发现，这不得不说是安全保障的高度不够呀。

2、分层安全（Layered Security）

分层安全模型不但考虑到了网络边界安全，而且对网络内部的个人系统也一起进行了防护。所有服务器、工作站、路由器、集线器等网络内设备都进行了防护。为了实现这个目的，通常的一种方法是把网络分片防护，把每一片都作为一个独立网络，这样即使边界安全措施被攻破了，内部系统也不会完全受影响。无论任何时候，分层安全模型都是首选。

3、主动和被动安全模型

安全模型也可以通过主动性和响应速度来衡量。看一看系统安全设备以及策略中哪些可以主动调整来防止攻击，哪些仅仅是在攻击发生后作出适当响应。被动的安全方法在攻击发生前几乎不动作，而动态或主动的防御是在攻击发生前就开始响应了。一个主动防御的例子是IDS，它可以发现试图绕过安全防护措施的行为，并在侵入还未完成的时候就通知系统管理员。另外，IDS还可以检测入侵者所采用的各种攻击技术，甚至在攻击还未实施时就能够通知管理员。

4、混合安全模型

在实际应用中，通常是混合好几种安全模型，而不是只用一种；同时类型之间也可以混合，可以是被动分层的、或是边界主动的。最理想的模型是动态分层。

怎样才算动态分层？

加个IDS就是动态分层了吗？恐怕有点片面。我所理解的动态分层模型应用到实际工作中，除了设备方案上动态分层外，一定要有动态运维过程安全保障的概念。在这个过程中，人、物、事组成了一个复杂系统，而各个元素都是动态的，我们作为这个复杂系统的一分子，只能通过不断的运动变化来影响系统所呈现出来的结果。这就是为什么Rambo一直强调攻防对抗的概念，一直强调常规动作一定要做好的重要性。这个复杂系统的安全性就是建立在定期的常规动作上的，定期的更新、定期的杀毒、定期的审计日志、定期的自我评估，就这么简单。再强调一遍，常规动作非常重要，来病如山倒，去病如抽丝，大家也都明白，与其有病再求医，不如平时多健身，但就是做不好。有时候很奇怪，简单的事情就是做不好。

另外，常规动作做好了，有些安全事故还是无法避免，就像平时很注意健康，但还是可能某一天突然得了癌症。安全有时候和疾病非常相似，安全无法完全解决，是个攻防对抗的动态过程。要不断学习，要有所准备。这其实给安全公司提供了巨大的机会，现阶段安全公司大多还只是个卖药的，怎么用药患者怎么清楚呢？如果安全公司完成药厂到医院的转变，对于患者是巨大的福音，对于安全公司可是巨大的商机阿。好了说了点题外话，目前来讲，对于安全管理员来说，常规动作做好，剩下的就是自己多修炼了。久病成医，经验多了，自然也就知道该怎么办了。

了解了几大网络安全模型，最后对于安全管理员来说，重要的还是常规动作，那么针对不同的网络环境，都需要做哪些常规动作呢？下面请看：防护个人工作站

啸对天下

Rambo安全经验谈连载之：防护个人工作站

防护个人计算机的第一步是保证补丁都正确安装了，微软网站上有工具（安全基准分析器）可以扫描Windows和Office系列产品，要定期扫描，至少每个季度做一次。同时也要定期检查一下其它软件是否有最新的更新。在许多情况下补丁都已经出了而利用此漏洞的病毒还大肆肆虐，很多人都忘记更新补丁。对于家庭计算机来说，更新补丁是最重要的安全措施，及时更新补丁可以抵御大部分攻击。对于网络工作站来说，这也是不可忽视的一步。

防护个人计算机第二步：对安装软件和改变配置加强管理。在网络环境下，大部分用户不允许改变系统的配置。只有网络管理员和指定的技术支持人员可以这样做。在家庭环境中，也只有负责人（通常是父母）才能安装软件。

这样做的目的是为了防止用户不小心安装了木马或其它恶意软件，假如不装任何软件，就不会有这种危险了。禁止用户修改配置是为了防止修改安全设置，新手经常做一些配置修改而没有意识到已经置身危险之中。

这里有一个很好的例子，新手可能会对Windows信使服务作些配置修改，因为大都认为是聊天室或即时通讯什么的，其实这是为网络管理员发送广播消息使用的。很不幸，一些广告软件就是用这项服务绕过弹出窗口阻止程序而进行骚扰的。因此，有安全意识的人应该禁止该服务。

任何网络环境都应该针对用户的配置权限做些限制，没有限制的话，即使是没有恶意的员工也可能摧毁系统安全。这通常要结合企业的规章制度一起贯彻实施，系统安全管理人员有义务向主管部门建议这些措施。

最后一步前面已经提到，就是要对每一台计算机安装反病毒和反间谍软件，并且必须及时更新。及时更新的防病毒软件是整体安全方案的一部分，反病毒和反间谍双管齐下应该是个人电脑最主要的安全措施。一些安全专家认为反间谍是一个好的选择，但不是必要选择，也有一些专家坚持认为间谍软件越来越成为主要问题，甚至会超过病毒。

当然，如果操作系统内置有防火墙，最好也配置上。WindowsXP和Linux都有内置防火墙，打开配置上吧。实施这一步最常碰到的问题是，一些计算机可能是网络内的关键服务器（例如DNS服务器），在配置防火墙的时候要注意，不要阻止了正常的数据。如果是家庭计算机，可以简单的组织所有下行端口，如果在网络上，就要小心配置了。

密码和物理安全，也是计算机安全里非常重要的一部分，必须保证所有用户的密码至少8位，并包含字母与数字的组合。总之要保证完整的密码策略落实到位，这也能够使物理安全变得稳固。

上面的这些建议不能够使计算机绝对安全，但这些措施可以使用工作站的安全性保持在合理的范围内。注意，在考虑整个网络环境的整体安全性时，防护个人工作站的安全也是非常重要的。

之前强调常规动作非常重要，下面将针对个人计算机的常规动作总结一下，以清单的形式给出。该清单是用来辅助防护个人计算机的，不管是家庭计算机还是工作站，都需要一定的安全措施，利用该清单可以作为简单审计的蓝本。

基本安全措施：

●至少90天更新一次补丁。

●安装防病毒软件、正确运行并及时更新。

●关闭所有不用和不需要的服务。

●如果操作系统自带有端口过滤功能或防火墙，将其打开。

●密码长度不少于8位，至少6个月更改一次。

●浏览器至少设置为中等安全级别。

●只有管理员具有完全控制权限。

强化安全措施：

●安装反间谍软件，正确运行并及时更新。

●浏览器在中等安全级别的基础上进行一些自定义设置。

●密码至少8位，包含字母和数字的组合，并且每90天更改一次。

●卸载所有不需要的操作系统组件。

●每120天利用安全分析工具或端口扫描器对计算机进行一次脆弱性扫描。

啸对天下

Rambo安全经验谈连载之：认知网络中的威胁

序：据我所知，目前国内开展网络安全专业的高校凤毛麟角，大多数业内从业人员是从某一切入点自学成材的。这本无可厚非，但以我的经验，知识结构的系统性对于指导实践工作是非常有帮助的；所以Rambo借贵地以自己的实际工作经验晒晒科班网络安全知识，目的是帮助非科班同行们系统地掌握本领域所涉及的知识。内容很基础，但力争做到系统性；希望与业内同行共勉。

同时声明：本人水平有限，文中不对之处请多多指教。本连载为不定期发布，Rambo力争每天一篇，每篇最后预告下篇标题。

正文开始

要保障安全，首先应该了解威胁之所在。这既是教科书的惯例，又是安全专家的建议，也是经验之谈。纵观网络上各种各样的安全威胁，大体上可以归为以下三类：

1、恶意软件（malware）。恶意软件顾名思义是怀有恶意目的软件的总称。包括病毒、特洛伊木马和间谍软件等；这些是对系统最常见的威胁。

2、入侵。入侵者怀有各种各样的目的，总之是想在未授权的情况下进入您的系统。

3、拒绝服务（DOS）攻击。这类攻击的直接目的就是使系统不能响应正常服务。

恶意软件

恶意软件是怀有恶意目的软件的总称。常见的有三种：病毒、特洛伊木马和间谍软件。

按赛门铁克公司的说法，病毒（virus）是“一个能够自我复制和隐藏自身的小程序，通常在不知情的情况下就会感染”。计算机病毒能够像生物病毒一样复制和传播，最常见的传播途径是通过受害者的电子邮件帐户传染给这个帐户通讯簿里的所有联系人。大部分病毒会造成网络变慢甚至崩溃，因为病毒不停的自我复制造成了大量的网络拥堵。病毒里面有一类叫蠕虫（Worm），通常叫做蠕虫病毒。怎么来界定蠕虫呢？主要是看其传播方式，如果不用人为参与可以自行传播，那就是蠕虫。

特洛伊木马（Trojan horse）这个词来源于一个古老的神话故事。这个故事大家都知道，不知道的搜一下好了。电子的特洛伊木马是同样的道理，表面上看不出什么问题，可是它却从内部秘密地下载一些病毒或恶意软件。

另一类最近越来越多的恶意软件是间谍软件。间谍软件（spyware）就是一个简单的详细记录计算机操作的软件。间谍软件可以简单到就像cookie，这个文件中保存的任何数据都可以被任何网站读取，所以，人们就可以跟踪您的Internet浏览记录。

还有一种间谍软件叫做键盘记录器（key logger），能够记录下所有击键行为。一些键盘记录器还会定期对您的计算机截屏，数据会存储起来，以后，安装键盘记录器的人，就可以通过电子邮件，轻而易举地获得大量数据。

其它还有Rootkit以及网页式的恶意代码。恶意软件因其变化快、影响面广而成为目前最令人头疼的安全问题。防治病毒有一些基本原则要遵守：

（1）使用反病毒软件。

（2）不要打开不清楚内容的附件。

（3）只浏览知名网站。

（4）及时更新补丁，定期关注病毒公

入侵

入侵是一个复杂的过程，通常称为骇客行为。随入侵目的的不同，骇客行为也有好有坏，那些不怀好意的骇客行为通常称为黑客行为。蓄意的入侵对于大多数人来讲，不常碰到。这里只需要知道，入侵一般是针对服务器的，而且是一个相对长期的过程。

拒绝服务攻击（DoS）

这类的攻击并不真正侵入系统，只是简单地阻止正常的用户访问。通常的做法是向目标系统发动洪水攻击，也叫泛洪，发起大量假连接，以使系统对正当的连接无法响应。拒绝服务式攻击是极其常见的，仅次于恶意软件。

除以上三大类威胁，当前比较常见的还有Spam垃圾邮件，Scam网络欺骗，形式多种多样，并且层出不穷。如何防范呢？从根源上分析，各种威胁的着力点无外乎两个：一个瞄着软硬件漏洞；如大多数病毒、蠕虫等。一个瞄着人，如社会工程、Spam、Scam等。另一类无着力点不讲套路胡来的那就是DoS了。所有威胁都是上述三种情况的组合，所以基本的防范也要从三方面做起：

（1）认认真真，打好补丁。

（2）强化意识，三思后行。

（3）武装自己，打击敌人。

俗话说得好，找到根了，也就好治了，起码知道该在哪下手了。各种威胁的根要么是利用软硬件漏洞，要么是利用人性弱点；唯独DoS比较特别，利用的正是你提供的；DoS是何方神圣呢？请看下篇：应对DoS攻击。

啸对天下

Rambo安全经验谈连载之：如何应对DoS攻击

最不讲道理的也最简单攻击形式就是拒绝服务（DoS）攻击。这种攻击不是为了入侵系统来获取敏感信息，它的目的就是让系统崩溃，从而无法响应正当用户的请求。而且这种攻击可以非常简单，不需要任何技术功底；它的本质思想就是突破设备有效载荷。不管什么计算机系统、Web服务器、还是网络都只能处理有限的载荷，计算机系统的工作载荷通常以带多少用户、文件系统大小、数据传输速率、文件存储量等指标来衡量。一旦超过了载荷，再执行操作就无法响应了。例如，可以向某一网站泛洪，超过服务器的处理能力，就无法响应访问请求了。

常见DoS的类型

1、TCP SYN泛洪

对于TCP协议，当客户端向服务器发起连接请求并初始化时，服务器一端的协议栈会留一块缓冲区来处理“握手”过程中的信息交换。请求建立连接时发送的数据包的包头SYN位就表明了数据包的顺序，攻击者可以利用在短时间内快速发起大量连接请求，以致服务器来不及响应。同时攻击者还可以伪造源IP地址。也就是说攻击者发起大量连接请求，然后挂起在半连接状态，以此来占用大量服务器资源直到拒绝服务。虽然缓冲区中的数据在一段时间内（通常是三分钟）都没有回应的话，就会被丢弃，但在这段时间内，大量半连接足以耗尽服务器资源。

防御这种攻击没有好的办法，所有基于TCP的服务都有此“弱点”，但对于Web服务来说，有三招防御手段：设置SYN cookie、RST cookie和编辑缓冲区大小。具体方法可以搜一下，但要注意，三种方法都有局限性。

2、Smurf IP

Smurf IP利用广播地址发送ICMP包，一旦广播出去，就会被广播域内的所有主机回应，当然这些包都回应给了伪装的IP地址（指向被攻击主机），伪装IP地址可以是互联网上的任何地址，不一定在本地；假如骇客不停地发送此种类型的包，就会造成DoS攻击。

防御这种攻击要从内网入手，因为攻击是从广播域内发起的，所以一是防内贼，二是防木马、病毒以防被外控制，再一个就是利用防火墙隐藏内网；最好将这些措施组合起来。

3、其它

其它还有UDP泛洪、ICMP泛洪、死亡之ping、泪珠攻击、着陆攻击、Echo/Chargen攻击，基本思想都差不多，有兴趣的可以查查，篇幅所限这里不多介绍。

4、DDoS攻击

DDoS是分布式拒绝服务攻击，其基本思想与DoS攻击一样，只是方法不同。DDoS攻击一般通过两种方式：一是利用大量路由器，一是利用botnet。

DoS的弱点

从攻击者的角度来讲，DoS攻击的不足是要求洪水包必须能够持续发送，一旦洪水包停了，系统一般也就恢复正常了。另外如果直接从本机发起攻击，就有被跟踪到IP的危险；而利用Botnet又需要很强的控制力。

如何防御DoS

正如没有确定的方法来防止骇客攻击一样，也没有确保的方法防止所有DoS攻击。然而，有一些措施可以减小危险发生的可能性。如前面介绍的SNY cookie、RST cookie、编辑缓冲区大小。下面再介绍一些，这些方法要根据情况综合应用。

第一利用防火墙阻止外网的ICMP包，几乎没有什么理由让外网的ICMP包进入本地网络，有人可能会对此有争论，说是没有好的理由，但在我看来都一样。再一个利用工具时常检查一下网络内是否SYN_RECEIVED状态的半连接，这可能预示着SYN泛洪，许多网关型防火墙也是用此方法防御DoS攻击的。另外如果网络比较大，有内部路由器，同时网络不向外提供服务的话，可以考虑配置路由器禁止所有不是由本地发起的流量，而且考虑禁止直接IP广播。若路由器具有包过滤功能的话，可以检查数据包的源IP地址是否被伪造，来自外网的数据包源IP应该是外网IP，来自内网的数据包源IP是内网IP。最后就是防止网内出现Zombie了，没什么说的，常规防护，及时更新补丁，使用防病毒软件，制定下载策略，禁止随意下载。

到此已经对网络上基本的威胁形式有所了解，各有各的特点，这里只总结一下基本的防御措施，常规动作，一定要做好。除此之外，网络安全是个攻防对抗的动态过程，新思路新形式随时会出现，需要不断学习，针对自身网络以及威胁的特点，对症下药。再次提醒注意，常规动作一定要做好：

（1）使用防病毒软件，定期扫描。

（2）及时更新系统及软件补丁。

（3）关闭不需要的服务。

（4）浏览器配置为最高安全级。

（5）使用防火墙，对于桌面机，系统自带防火墙足够。

（6）考虑使用反间谍软件。

（7）不要在互联网泄露私人信息，除非十分有必要。

（8）企业要有相应安全策略。

当然安全保障是贯穿整个网络运维全过程的，随网络环境的不同，要求的不同，措施会有差异，没有最好，只有更好，需要不断修炼。接下来会系统地介绍一下如何进行安全防护。方法是自顶而下，由抽象到具体，首先来看一下都有哪些网络安全模型。请看下篇：网络安全之大策略。