搞定网络薄弱之处　从根本确保网络安全

每一个网络都有其薄弱之处。网络技术飞速发展，因此很难从总体上根除网络的薄弱之处。在很多情况下，我们可以想到的最好的方法就是将薄弱之处最小化。网络往往由于内部的和外部的因素造成性能下降。就内部而言，网络可能会受到过度扩张、瓶颈、外部威胁、DoS/DdoS攻击、网络数据截获的影响。随意执行命令会导致系统功能异常、性能下降甚至系统瘫痪。实际上，最大的威胁来自于管理员对可能存在的漏洞的不正确的理解。

内部的网络薄弱之处来自于带宽的过度扩增（用户需要超过了总体的资源）和瓶颈（用户需要超过了特定网络部分的资源）。这些问题可以通过特定的网络管理系统和实用程序（如traceroute）来解决，这些工具允许管理员查明网络性能下降的位置。网络通信可以在网络架构的范围内重新进行路由选择，以增加速度并强化功能。

外部的网络薄弱之处

由于一种或一系列协同攻击的结果，DoS和DdoS攻击属于外部攻击。这些攻击设计的目的是使网络性能下降或从总体上禁用网络，这些攻击属于网络面临的最严重的攻击。管理员必须使用工具来监视网络性能，目的是尽快地找到这些威胁。在这种攻击发生时，有许多监视系统可以配置来向管理员发送警告或警报，允许入侵者访问网络的行为就可以被很快终止。

数据截获是另一种常见的致命弱点，不管对于LAN还是对于WAN来说都是这样。一个WLAN工作站范围内的黑客可以对一个安全对话实施渗透，并且监视或者修改网络的数据，目的是访问敏感的信息或者修改网络的操作。可以使用网络用户认证系统来防止这种截获发生。防火墙可以首先阻止未授权用户访问网络资源，而基站发现扫描方法允许在一个特定的网络上发现入侵者。

对付各种各样的网络薄弱之处我们有许多可用的解决方案。然而，并没有什么能够解决所有问题的完美方案。我们通常用不同工具的组合来保护网络免受不同种类的攻击。完整的说来，这些工具应包括：

防火墙：部署在与互联网的边界，用以保护网络免受外部的未授权的访问。

入侵检测系统（IDS）：扫描网络找到可能的攻击并及时地阻止它们。

反病毒和反间谍软件系统：检测并清除病毒和间谍软件。

取证分析工具：用以记录和分析数据，找出不正常的用户行为和通信活动的工具。

您都部署好了吗？