建立防火墙的网络安全防护体系(3)

　　·各项具体工作

　　减少对安全策略的破坏

　　不论是有限网络，还是笔记本或者无线设备，都很有可能出现破坏安全策略的情况。很多系统没有装防病毒软件、防火墙软件，同时却安装了很多点对点的传输程序(如Kazaa、Napster、Gnutella、BT、eMule等)以及即时消息软件等，它们都是网络安全漏洞的根源。因此，你必须强制所有的终端安装反病毒软件，并开启Windows XP内建的防火墙，或者安装商业级的桌面防火墙软件，同时卸载点对点共享程序以及乱七八糟的聊天软件。

　　封锁移动设备

　　对于企业的网络来说，最大的威胁可能就是来自那些随处移 动的笔记本或其它移 动终端，它们具有网络的接入权限，可以随时接入公司的网络。但是正因为它们具有移 动特性，可以随着员工迁移到其它不安全的网络并暴露在黑客的攻击之下，当这些笔记本电脑再次回到公司的网络环境时，就成了最大的安全隐患。其它无线终端也和笔记本有类似的情况。

　　据Forrester Research调查，到2005年，世界总共将有3500万移 动设备用户，而到2010年，这个数字将增加到150亿。我们不是数学家，不需要具体算出到底这些移 动设备会给企业的网络增加多少受攻击的几率，只需要知道这将是企业网络安全所面临的巨大考验。任何一个系统都有可能由于未经验证的用户的访问而被感染。

　　通过安全策略，你可以让网络针对无线终端具有更多的审核，比如快速检测到无线终端的接入，然后验证这些终端是否符合你的安全策略，是否是经过认证的用户，是否有明显的系统漏洞等。

　　开启无线网络加密功能

　　在无线网络系统中，无线网络加密 (Wireless Encryption，WEP)应该处于开启状态，并应该设置为最高安全级别。而且管理者的用户名和密码需要经常及时更换。但是这些措施也并不能够完全防止黑客通过你的无线路由器入侵企业内部网络。这是由于在大多数无线路由器中，都包含有目前尚未被修补的CVE，黑客可以利用这些CVE进行攻击。一些高级的黑客会下载免费的工具对这些漏洞进行更高级的利用，以此完全攻破你的安全系统。