如何缓解网络攻击（下）

　　其实，在登录尝试失败一定次数后禁用账户。这一方法有助于防止连续的密码尝试。不使用明文密码。可使用单次密码(one--timepassword,OTP)或加密的密码。使用强密码。强密码至少为8个字符,并包含大写字母、小写字母、数字和特殊字符。最小信任原则也应该被设计进网络结构,这意味着一个系统在非必需的情况下不能使用其他系统。例如,如果一个组织有一台服务器由不被信任的设备(例如web服务器)使用,则被信任的设备(服务器)不能无条件地信任不被信任的设备(Wehb服务器)。

　　密码学是所有现代安全网络的一个关键组件。远程接入网络时使用加密是值得推荐的做法。

　　还有,路由协议流量也应该被加密,这类流量被加密的越多,黑客使用中间人攻击截取数据的机会就越少。在Internet上引人注目的公司应该提前规划如何应对潜在的DoS攻击。在历史上,很多DoS攻击凉自假的源地址。在边界路由器和防火墙上使用防哄骗技术可以挫败这类攻击。现在,很多DoS攻击是通过多个网络上的被破坏坏的主机进行分布式DoS攻击。缓解DDoS攻击需要仔细诊断、规划和ISP的配合。缓解DoS攻击最重要的元素是防火墙和IPS。基于主机和基于网络的IPS都是被强烈推荐使用的。

　　在前面的教程，我们例如端口安全DHCP哄骗(DHCPsnooping)、Pco路由器和交换机支持多种防以源地址保护(IPSourceGuard)、动态ARP检查(DynamicARPInspection)和ACL。最后,尽管服务质量(QualityofService,QoS)并不是作为一项安全技术来设计的,但是,它的应用一一流量监管(trafficpolicing)一一可被用来在一台边缘路由器上限制来自任意给定客户的项入流量,这就限制了单个源对入口带宽使用率所能造成的影响。保护你的网络不受攻击需要时刻保持警觉和进行持续教育。以下是使你的网络获得最好保障的10条最佳实践。

　　步骤1：每周(如果可能的话,是每天)安装最新补丁,以防止缓冲区溢出和权限升级攻击。

　　步骤2：关闭不需要的服务和端口。

　　步骤3：使用强密码并经常更换。

　　步骤4：控制对系统的物理接入。

　　步骤5：避免不必要的Web页面输入。有些We站点允许用户输入用户名和密码,黑客可以输入多个用户名,例如,输入"jdoe;m-rf/”可能使攻击者能够删除一台UNX服务器的根文件系统。编程人员应该限制输入字符并且不接受;<>这类非法字符作为输入

　　步骤6：定期备份和测试已备份的文件。

　　步骤7：就社会工程(socialengineering)的风险对雇员进行教育,建立策略对电话、电子邮件或个人的身份进行验证。

　　步骤8：对敏感数据加密及进行密码保护。

　　步骤9：实施安全硬件及软件,例如防火墙、IPS、虚拟专用网(VirtualPrivateNetwork,VPIN)设备、防病毒软件和内容过滤步骤10为公司制定书面的安全策略。

　　小编结语：这些方法只是健全的安全管理的一个起始点。各个组织必须时刻保持警觉以防范不断演进的威胁。使用这些经过检验的保护网络安全的方法并应用从本章获得的知识,你现在已经准备好部署网络安全解决方案了。部署时,最先需要考虑的事情之一是对网络设备的接入进行保护。