網(wǎng)絡(luò)安全設(shè)計(jì)常見(jiàn)錯(cuò)誤—設(shè)置好就高枕無(wú)憂(yōu)了

我要講到的第一個(gè)錯(cuò)誤更偏重于計(jì)劃而不是網(wǎng)絡(luò)設(shè)計(jì)。這種錯(cuò)誤我一般將它稱(chēng)之為“設(shè)計(jì)好就高枕無(wú)憂(yōu)”。犯這種錯(cuò)誤的企業(yè)一般會(huì)下大力氣去設(shè)計(jì)一個(gè)安全的網(wǎng)絡(luò)，但是卻忽略了后期對(duì)于這個(gè)設(shè)計(jì)的定期性的重新評(píng)估。因?yàn)榫W(wǎng)絡(luò)風(fēng)險(xiǎn)是在不斷變化的，因此企業(yè)的網(wǎng)絡(luò)安全設(shè)計(jì)也應(yīng)該不斷進(jìn)化。最好的辦法就是定期對(duì)網(wǎng)絡(luò)安全設(shè)計(jì)進(jìn)行重新評(píng)估。

網(wǎng)絡(luò)安全設(shè)計(jì)常見(jiàn)錯(cuò)誤—在防火墻上開(kāi)放過(guò)多的端口

我們都知道開(kāi)放過(guò)多的端口沒(méi)有好處，但是有時(shí)候又不得不多開(kāi)放幾個(gè)端口。就拿 Microsoft Office Communications Server 2007 R2來(lái)說(shuō)吧，如果你計(jì)劃提供外部訪(fǎng)問(wèn)功能，那要多開(kāi)十幾個(gè)端口。另外， OCS 2007 R2還會(huì)隨機(jī)開(kāi)放大量的端口。這種情況下，網(wǎng)絡(luò)安全管理員該怎么辦呢？

最好的解決方案之一是采用逆向代理（如微軟的ForeFront Threat Management Gateway）。逆向代理的位置介于互聯(lián)網(wǎng)和本地需要開(kāi)放多個(gè)端口的服務(wù)器之間。這樣設(shè)置后，服務(wù)器不需要再開(kāi)放大量的端口，而外界對(duì)服務(wù)器的連接請(qǐng)求會(huì)先經(jīng)過(guò)逆向代理進(jìn)行攔截和過(guò)濾，并傳遞給服務(wù)器。這種設(shè)計(jì)不但能讓服務(wù)器在外網(wǎng)前隱藏起來(lái)，還能幫助確保外部的惡意請(qǐng)求不會(huì)到達(dá)服務(wù)器。

網(wǎng)絡(luò)安全設(shè)計(jì)常見(jiàn)錯(cuò)誤—不同應(yīng)用程序混在一起

在經(jīng)濟(jì)危機(jī)下，企業(yè)很少會(huì)花錢(qián)添置新設(shè)備，因此盡可能壓榨現(xiàn)有設(shè)備資源就成了唯一選擇。在這種前提下，企業(yè)一般會(huì)在一臺(tái)服務(wù)器上安裝多個(gè)應(yīng)用服務(wù)，讓一臺(tái)服務(wù)器扮演多個(gè)角色。雖然這么做并不是被禁止的，但是在計(jì)算機(jī)行業(yè)有一個(gè)規(guī)律，即代碼越多，出現(xiàn)安全漏洞的機(jī)會(huì)就越多。

我并不是說(shuō)每個(gè)服務(wù)器只能運(yùn)行一種應(yīng)用程序，或者扮演一種服務(wù)角色，但是至少我們應(yīng)該仔細(xì)考慮應(yīng)該把哪些應(yīng)用程序或服務(wù)角色合并到一臺(tái)服務(wù)器上。比如，在最小需求下，一個(gè)Exchange 2007需要三個(gè)服務(wù)器角色（hub transport, client access, 以及 mailbox server），你可以將這三個(gè)角色整合到一臺(tái)服務(wù)器上。但是如果你要為外部客戶(hù)提供Outlook Web Access服務(wù)就不要這樣做了。因?yàn)镃lient Access Server服務(wù)器角色需要用到IIS來(lái)實(shí)現(xiàn)Outlook Web Access，也就是說(shuō)，如果你將客戶(hù)接入服務(wù)器角色和hub transport以及mailbox server 角色放在了一臺(tái)服務(wù)器上，實(shí)際上就是把你的郵箱數(shù)據(jù)庫(kù)開(kāi)放給了互聯(lián)網(wǎng)上的所有黑客。

網(wǎng)絡(luò)安全設(shè)計(jì)常見(jiàn)錯(cuò)誤—忽略了網(wǎng)絡(luò)中的工作站

去年有個(gè)記者通過(guò)電話(huà)采訪(fǎng)我，他問(wèn)：您覺(jué)得對(duì)于網(wǎng)絡(luò)安全威脅最大的是什么。我的回答是：網(wǎng)絡(luò)里的工作站是網(wǎng)絡(luò)安全的最大威脅。現(xiàn)在我仍持同樣看法。我總是看到企業(yè)在不但的加強(qiáng)網(wǎng)絡(luò)服務(wù)器的安全性，但同時(shí)卻忽視了網(wǎng)絡(luò)內(nèi)的每一臺(tái)工作站。除非工作站的安全防護(hù)措施非常好，否則使用它的員工很容易在不經(jīng)意間讓系統(tǒng)被惡意軟件入侵。

網(wǎng)絡(luò)安全設(shè)計(jì)常見(jiàn)錯(cuò)誤—在必要的情況下沒(méi)有使用SSL加密

我們都知道，當(dāng)用戶(hù)需要在網(wǎng)站上輸入敏感信息時(shí)（比如用戶(hù)名，密碼，信用卡卡號(hào)等），網(wǎng)站都會(huì)使用SSL 技術(shù)對(duì)信息進(jìn)行加密。但是很多企業(yè)在這個(gè)問(wèn)題上犯了錯(cuò)。我曾經(jīng)遇見(jiàn)過(guò)很多次，企業(yè)將敏感信息和非敏感信息混合在一個(gè)網(wǎng)頁(yè)中，當(dāng)用戶(hù)訪(fǎng)問(wèn)該頁(yè)面時(shí)，會(huì)收到一條提示，詢(xún)問(wèn)用戶(hù)是否同時(shí)查看安全內(nèi)容和非安全的內(nèi)容。大部分用戶(hù)在面對(duì)這個(gè)提示時(shí)都是選擇同時(shí)顯示安全和非安全的內(nèi)容，這就為網(wǎng)絡(luò)安全帶來(lái)了隱患。

一個(gè)不太明顯但是更常見(jiàn)的錯(cuò)誤是，企業(yè)很少加密自己網(wǎng)站上的一些關(guān)鍵頁(yè)面。在我看來(lái)，任何涉及安全信息，安全設(shè)備以及聯(lián)系人方式的信息都應(yīng)該經(jīng)過(guò)SSL 加密。這并不是因?yàn)檫@些內(nèi)容都屬于敏感信息，而是通過(guò)這些加密頁(yè)面讓用戶(hù)確信自己所訪(fǎng)問(wèn)的是官方網(wǎng)站，而不是似是而非的網(wǎng)絡(luò)釣魚(yú)網(wǎng)站。

網(wǎng)絡(luò)安全設(shè)計(jì)常見(jiàn)的錯(cuò)誤不光是以上講的這幾種，我們還會(huì)在以后的文章中繼續(xù)為大家介紹。