I'n Blog 之萬象真藏

每 一個網絡都有其薄弱之處。網絡技術飛速發展，因此很難從總體上根除網絡的薄弱之處。在很多情況下，我們可以想到的最好的方法就是將薄弱之處最小化。網絡往 往由於內部的和外部的因素造成性能下降。就內部而言，網絡可能會受到過度擴張、瓶頸、外部威脅、DoS/DdoS攻擊、網絡數據截獲的影響。隨意執行命令 會導致系統功能異常、性能下降甚至系統癱瘓。實際上，最大的威脅來自於管理員對可能存在的漏洞的不正確的理解。

內部的網絡薄弱之處來自於帶寬的過度擴增（用戶需要超過了總體的資源）和瓶頸（用 戶需要超過了特定網絡部分的資源）。這些問題可以通過特定的網絡管理系統和實用程序（如traceroute）來解決，這些工具允許管理員查明網絡性能下 降的位置。網絡通信可以在網絡架構的範圍內重新進行路由選擇，以增加速度並強化功能。

外部的網絡薄弱之處

由於一種或一系列協同攻擊的結果，DoS和DdoS攻擊屬於外部攻擊。這些攻擊設計 的目的是使網絡性能下降或從總體上禁用網絡，這些攻擊屬於網絡面臨的最嚴重的攻擊。管理員必須使用工具來監視網絡性能，目的是盡快地找到這些威脅。在這種 攻擊發生時，有許多監視系統可以配置來向管理員發送警告或警報，允許入侵者訪問網絡的行為就可以被很快終止。

數據截獲是另一種常見的致命弱點，不管對於LAN還是對於WAN來說都是這樣。一 個WLAN工作站範圍內的黑客可以對一個安全對話實施滲透，並且監視或者修改網絡的數據，目的是訪問敏感的信息或者修改網絡的操作。可以使用網絡用戶認證 系統來防止這種截獲發生。防火牆可以首先阻止未授權用戶訪問網絡資源，而基站發現掃瞄方法允許在一個特定的網絡上發現入侵者。

對付各種各樣的網絡薄弱之處我們有許多可用的解決方案。然而，並沒有什麼能夠解決所有問題的完美方案。我們通常用不同工具的組合來保護網絡免受不同種類的攻擊。完整的說來，這些工具應包括：

防火牆：部署在與互聯網的邊界，用以保護網絡免受外部的未授權的訪問。

入侵檢測系統（IDS）：掃瞄網絡找到可能的攻擊並及時地阻止它們。

反病毒和反間諜軟件系統：檢測並清除病毒和間諜軟件。

取證分析工具：用以記錄和分析數據，找出不正常的用戶行為和通信活動的工具。

您都部署好了嗎？(責任編輯：李磊)