安全策略

不管你怎样管理你的路由器配置更新，最基本的一条是你要保存每一次配置并为所有的修改编制文档资料。这允许你以及其他人能够更好地理解这些修改，并能够在出现故障时检查这些修改。

类似telnet服务、远程注册表操作等服务应给予禁用。同时尽可能安装最少的软件。这可以避免一些由软件漏洞带来的安全问题。有些网管在服务器上安装QQ，利用服务器挂QQ，这种做法是极度错误的。

　此处的faciity是产生信息的系统应用程序或工具，level则是这个信息的重要程度。level的重要程度由低到高依次是：debug（调试消息）、info（一般消息）、notice（值得注意的消息）、warning（警告）、err（一般性错误）、crit（严重错误）、alert（或emerg，紧急情况）。facility包含有：auth（认证系统，如login或su，即询问用户名和口令）、cron（系统执行定时任务时发出的信息）、daemon（某些系统的守护程序的syslog，如由in.ftpd产生的log）、kern（内核的信息）、lpr（打印机的信息）、mail（处理邮件的守护进程发出的信息）、mark（定时发送消息的时标程序）、news（新闻组的守护进程的信息）、user（本地用户的应用程序的信息）、uucp（uucp子系统的信息）和“*”（表示所有可能的facility）。

微软官方提供的密码强度测试工具——Microsoft Password checker，分为Weak、Medium、Strong、BEST四个等级；可以试试你的密码是否够强悍。

此时系统即可正常启动，实际上以上步骤就是执行了GRUB引导期间加载grub.conf文件的步骤，当系统正常启动后将GRUB配置文件修改正确后即可。

道高一尺，魔高一丈，只要网络存在，与黑客的斗争就没有止境。黑客在不断利用漏洞时，手法越来越新奇，所以我们的任务就是随时关注最新工具和技巧，采取相应的措施自我保护。

Unix系统的NFS服务相当于MS系统上的文件共享服务.也许有人认为这是一个不恰当的比喻,但二者在安全问题上有惊人的类似,正如NT/Windows机器上的安全问题很多来自共享资源一样,NFS服务的错误配置,也可以让你的系统被入侵者接管.NFS建立在RPC(远程过程调用)机制上,同样地,基于RPC机制上的NT的服务也不安全;针对MS共享资源的攻击是当前Internet上最流行的攻击NT方式,对NFS的攻击也对UNix平台机器的最常用手段.

基于网络的反灰色软件是在企业网络连接到Internet的边界平台上，部署防灰色软件产品。在灰色软件进入网络前加以识别和清除，降低了安装、维护和保持更新的成本。网关得到升级，所有的防火墙后的计算机会自动地得到保护。

如果您苦于在由于启用防火而增强的安全性与维持系统的效率之间谋求一个平衡点,那么推荐您读一下大师Michael Howard先生的一篇文章来了解一些具体细节信息。Michael向我们展示了您的本地配置和设置的任何组策略是如何影响防火墙，“netsh”命令是怎样用于精确揭示防火墙的内部机理。

如果Windows Vista没有安装必须的病毒防护软件，或者这些病毒防护软件工作不正常，例如没有更新至最新的状态，那么安全中心会在系统托盘区弹出气泡提示，并且“恶意软件保护”部分也会以醒目的红色进行显示，其下的“病毒防护”部分会提示“Windows在这台计算机上未找到防病毒软件”的消息

本文介绍了使用Solaris 10加密命令保证Solaris服务器安全的方法，这里使用的版本是Solaris 10 5/08 当然除了Solaris自身提供的命令外还可以使用第三方软件如gunpg 等工具实现加密和解密。

必须是管理员组成员或在组策略中被授权有“管理审核和安全日志”权限的用户可以审核文件或文件夹。在Windows XP审核文件、文件夹之前，你必须启用组策略中“审核策略”的“审核对象访问”。否则，当你设置完文件、文件夹审核时会返回一个错误消息，并且文件、文件夹都没有被审核。

Windows安全警报默认会在你关闭Windows防火墙、未安装防火墙软件、未启用自动更新等情况下弹出提示气泡窗口，我们可以在控制面板中打开安全中心组件，单击窗口右边的“更改‘安全中心’通知我的方式”，取消勾选“防火墙”、“自动更新”、“病 毒保护”即可。

当然，防火墙本身也有其局限性，如不能防范绕过防火墙的入侵，像一般的防火墙不能防止受到病毒感染的软件或文件的传输；难以避免来自内部的攻击等等。总之，防火墙只是一种整体安全防范策略的一部分，仅有防火墙是不够的，安全策略还必须包括全面的安全准则，即网络访问、本地和远程用户认证、拨出拨入呼叫、磁盘和数据加密以及病毒防护等有关的安全策略。

其它制度还有信息发布审批、设备安装维护管理规定、人员培训和应用系统等，以及全面建立计算机网络各类文档，堵塞安全管理漏洞。

如开源的Tripwire对于监视少量的服务器是合适的，因为这种情形并不需要集中化的控制和报告；服务器版Tripwire对于那些仅在Linux/UNIX/Windows平台上要求服务器监视并提供详细报告和最优化集中服务器管理的IT组织是一个理想的方案；而企业版Tripwire对于需要在Linux/UNIX/Windows服务器、数据库、网络设备、桌面和目录服务器之间安全地审核配置的IT组织而言是最佳选择。

近来许多安全事件都凸显了禁用不需要本地服务的重要性。需要注意的是，一个需要用户考虑的因素是定时。定时对有效操作网络是必不可少的。即使用户确保了部署期间时间同步，经过一段时间后，时钟仍有可能逐渐失去同步。用户可以利用名为网络时。

关闭telnet命令登录，在大多数情况下，并不需要来自互联网接口的主动的telnet会话，如果开启了Web登录方式完全可以关闭该登录方式，减少被黑客攻击的可能性。禁用IP定向广播，IP定向广播使得攻击者对路由器实施拒绝服务攻击。因此要禁用，避免当攻击者不能登录路由器而采取DDOS攻击，因为一台路由器的内存和CPU难以承受太多的请求，这种结果会导致缓存溢出，从而路由器沦陷。同样的也要禁用IP路由和IP重新定向，因为重定向允许数据包从一个接口进来然后从另一个接口出去，攻击者可以把精心设计的数据包重新定向到专用的内部网路，危害内部网络的安全。

在组织的安全风险评估中，应该评估其中的每个元素。如果攻击者损害其中的任一元素，则风险级别增加，恶意软件可以绕过外部和内部网络防护边界感染网络上的主机。

对于企业防火墙而言，设备管理方面通常可以通过远程Web管理界面的访问以及Internet外网口被Ping来实现，但这种方式是不太安全的，因为有可能防火墙的内置Web服务器会成为攻击的对象。所以建议远程网管应该通过IPsec VPN的方式来实现对内端口网管地址的管理．