2010-10-07 21:58:22 来源: it168网站原创
一个着实需要网络安全文档的客户解决了灾难恢复问题。该客户的UPS变得不受控制,而且一半的设备被去除,包括主要防火墙和若干以太网交换机。问题是他们的主要IT人员也说不出个所以然,只是把问题扔给我们,这如同重建其网络。一切结束后,我们从整个修复过程中简单总结出了以下五点:
1. 基本的拓扑:如果你不能用几幅图片较快地解释网络的架构,那就会出问题。基本的拓扑信息显示了互联网,内网,防火墙和路由等之间的关系。至少还要添加IP地址和子网掩码。随着各网络中VLAN,子网和多区域防火墙的增加,以前的“追踪网线”的策略已经无法在设备瘫痪的情况下告诉我们网络的结构。即便不是发生网络故障,对网络结构的了解也是对网络操作展开讨论或寻求技术支持的前提。最重要的是更新拓扑数据并非难事,也就是说花哨的图案和布局往往有些碍事儿。
2. 密码:必须整理出一本密码本,其中要记录用于每个部分的紧急“根”,“管理”密码。而不是将这些密码记在脑子里,并且要将其保存在行政人员能随时拿到的安全的地方。最好是将紧急用户从普通验证系统中分离出来。换句话说,最好是由RADIUS服务器控制的密码是私有的。不过,一旦发生故障或是RADIUS瘫痪,密码本就十分重要。
3. IP地址管理:如果你的公司很大,或许你会使用一些收费产品或本国制造的工具来完成IP地址分配。如果没有这样做,请确认你是否在使用能告诉你谁在使用IP地址的网络安全文档以及其使用意图。DNS也需要这些信息,只有这样,转发和取消的查找才能正常运行。从列表和DNS着手对网络进行诊断可以节约时间,确保你不会犯大错以及用同一IP指派两个设备。如果你用ping弄明白了是否有人在使用IP地址,那就可以了解到需要修复的安全问题和网络不足。当你从事这项操作的时候,请确保没有程序连接到没有显示出IP地址的网络。
4. 配置备份:每个设备都有一个配置,而你必须对配置进行备份——最好是备份到独立的系统上,即便网络瘫痪也可以照常访问。设备越复杂,恢复起来越困难,比方,防火墙。这意味着实时更新是一项重要的任务。如果你在等人制作这些备份,马上改变这种方式,转而使用可以自动保存设备配置的工具。
5. 哲学:网络安全的问题不断在变化,每个人对此问题的见解也不同。对于关心网络安全变更的团队而言,随着时间的推移,他们在保持一致性方面的基本指导思想会丧失。例如,当编写防火墙规则时,你或许有一套添加对象(如网络和服务)的标准方法。记录这些标准和惯例,这样才能保持一致性且容易让人明白。
显然,将这几点贯彻到位,就可以加速解决大大小小的网络灾难。不过这些不仅仅适用于出错的网络,还适用于日常操作以及任何网络的发展。
免责声明:本网站(http://www.ciotimes.com/)内容主要来自原创、合作媒体供稿和第三方投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。
本网站刊载的所有内容(包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等)版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时,请及时通知本站,予以删除。