如今很多企業都建設了企業網并通過各種渠道接入了Internet，企業的運作越來越融人計算機網絡，但隨之產生的網絡安全問題也日漸明顯地擺在了網絡管理員面前。

對于網絡管理者來說，網絡的安全管理直接關系到企業工作的穩定和正常開展。而企業對安全性的要求有其自身的特殊性，除了傳統意義上的信息安全以外，還應提高對病毒、惡意攻擊以及物理設備的安全防范。

本文根據本人在企業任職多年網絡管理員的實際，側重談了下如何加強對企業網絡的安全管理。主要分別從企業內部網絡安全管理與病毒防范、企業服務器的安全、基于VLAN的企業網絡安全部署三個角度作了調查和研究。

一、企業內部網絡安全管理與病毒防范

在網絡環境下，病毒傳播擴散快，僅用單機版防病毒產品已經很難徹底防范和清除網絡病毒，必須有適合于局域網的全方位防病毒產品。

在企業網絡中，可以配置一臺高性能的汁算機安裝網絡版殺毒軟件的控制端，負責管理各終端主機病毒的防治工作，在各用戶主機上安裝網絡版殺毒軟件的客戶端。通過殺毒軟件的控制臺進行定時殺毒的設置和自動升級的設置，確保殺毒和升級的時效性，使網絡具有較強的防病毒能力。

(一)使用和配置防火墻

防火墻是網絡的第一道防線，一般安裝在內網與外網的交界處，如各級路由器上。利用防火墻，在網絡通訊時執行一種訪問控制尺度，允許防火墻同意訪間的用戶與數據進入自己的內部網絡，同時將不允許的用戶與數據拒之門外，最大限度地阻止網絡外的黑客訪問自己的網絡，防止他們隨意更改、移動甚至刪除網絡上的重要信息。

防火墻是一種行之有效且應用廣泛的網絡安全機制，可有效防止Internet上的不安全因素蔓延到企業內部。所以，防火墻是企業網絡安全的重要一環。

(二)采用入提檢測系統

入侵檢測系統是一種對網絡傳輸進行即時監視，在發現可疑傳輸時發出警報或者采取主動反應措施的網絡安全設備。它與其他網絡安全設備的不同之處在于是一種積極主動的安全防護技術。入侵檢測系統一般要安裝在網絡的關鍵點上，如Internet接入路由器之后的第一臺交換機上，在入侵檢測系統中利用審計記錄，入侵檢測系統能夠識別出任何不希望有的活動，從而達到限制這些活動，以保護系統的安全。

(三)Web，Email的安全監測系統

在網絡的WWW服務器、Email服務器等環節中使用網絡安全監測系統，實時跟蹤、監視網絡，截獲Internet網上傳輸的內容，并將其還原成完整的WWW，Email，FTP，Telnet應用的內容，建立保存相應記錄的數據庫。及時發現在網絡上傳輸的非法內容，及時采取有效措施。

(四)漏洞掃描系統

解決網絡層安全問題，首先要清楚網絡中存在哪些安全隱患、脆弱點。面對企業龐大的網絡，僅僅依靠個人的技術和經驗尋找安全漏洞、做出評估。顯然是不現實的。我們可以尋找一種能查找網絡安全漏洞、評估并提出修改建議的網絡安全掃描工具，利用優化系統配置和安裝安全補丁等多種方式最大可能地彌補最新的安全漏洞和消除安全隱患。可以利用各種黑客工具，定期對網絡模擬攻擊從而暴露出網絡的漏洞，以便更好地發現和杜絕網絡中的安全隱患。

(五)ARP病毒的防御

ARP是Address Resolution Protocol的縮寫，即地址解析協議，它是一個位于TCP/IP協議棧中的低層協議，負責將某個IP地址解析成對應的MAC地址。它是系統進行通訊的基礎。是以信任為基礎的，如果破壞了這個信任，那就形成ARP欺騙了。局域網經常會受到來自各方面的攻擊，導致不能正常工作，其中ARP攻擊是一個經常發生的攻擊，只要有一臺電腦感染ARP,就可能導致整個局域網都無法上網，嚴重的甚至可能帶來整個網絡的癱瘓，這給網絡用戶造成了很大的不便，因此了解ARP攻擊原理，防御ARP攻擊是保障企業網絡正常工作應該引起重視的一個問題。目前對于ARP攻擊防御問題出現最多是綁定IP地址和MAC地址或使用ARP防護軟件。

采用綁定IP地址和MAC地址這種方式進行綁定，如果網絡中有上百臺計算機，這個工作量是非常大的。所以這種方式不推薦在大型網絡中使用，企業內部更適合使用ARP防護軟件，目前ARP防護軟件很多，比較常用的ARP工具軟件主要是360ARP防火墻、AntiARP、彩影ARP防火墻等。可以在這類軟件中綁定IP地址和網關，另外這類軟件還會在提示框內出現病毒主機的MAC地址，方便我們快速找到攻擊源，然后進行清除。根據實際網絡環境，我們采取相應的防御方法，還是非常有效的。

(六)使用GHOST軟件備份操作系統

Ghost(是General Hardware Oriented Software Transfer的縮寫譯為“面向通用型硬件系統傳送器”)軟件是美國賽門鐵克公司推出的一款出色的硬盤備份還原工具，可以實現FAT16，FAT3， NTF，OS2等多種硬盤分區格式的分區及硬盤的備份還原。該技術的應用有效地解決了計算機系統崩潰，重新安裝操作系統及后續應用程序需要花費大量時間的問題。提供了一種便捷、高效的途徑。

Ghost，的備份還原是以硬盤的扇區為單位進行的，也就是說可以將一個硬盤上的物理信息完整復制，而不僅僅是數據的簡單復制。Ghost支持將分區或硬盤直接備份到一個擴展名為。gho。的文件里(賽門鐵克公司把這種文件稱為鏡像文件)，也支持直接備份到另一個分區或硬盤里。

網絡管理者可以在完成操作系統及各種驅動的安裝后，將常用的軟件(如殺毒、媒體播放軟件、office辦公軟件等)安裝到系統所在盤，接著安裝操作系統和常用軟件的各種升級補丁，然后優化系統，最后做系統盤的克隆備份，這樣就可以在下次出現系統故障時免去安裝系統及相關應用軟件的麻煩，提高工作效率、節約大量的時間。