在中小企业日益聚焦网络营销的同时，一次次亲身经历让他们对网络风险、网络安全越来越关注。然而很多网络管理员在安全设计时，喜欢采用高端的设备与技术，但是却忽视了一些细节与基础性的内容。下面就请我们郑州北大青鸟的网络专家来给大家分析一下，网络安全维护中，不容忽视的五大细节问题！

    一、通过访问控制列表来限制用户的访问

    这个配置是很基础的内容。如可以在企业边缘路由器上(连接到互联网的路由器)，进行访问控制列表配置，拒绝从互联网接口接受Ping命令。如果企业有虚拟局域网设置，那么这个访问控制列表还可以跟其结合使用，进一步提高虚拟局域网的安全性。如可以设置只有网络管理员才可以访问某个特定的虚拟局域网等等。再如可以限制用户在上班时间访问娱乐网站、网上炒股、网络游戏等等可能会危害企业网络安全的行为。可惜的是，不少网络管理员可能认为其太简单了，而忽视了这个技术的存在。却不知道，简单的往往是比较实用的。故建议各位尽量不要购买第三方的安全产品，以降低网络的复杂性。

    二、配置系统警告标语，以起到警示的作用

    无论是出于安全或者管理的目的，配置一条在用户登录前线时的系统警告标语是一种方便、有效的实施安全和通用策略的方式。即在用户连接到交换机、在输入用户名与密码之前，向用户提供一个警告标语。在用户正式登陆之前，网络管理员可以让交换机明确的指出交换机的归属、使用方法、安全措施、访问权限以及所采取的保护策略。

    三、为交换机配置一把安全的钥匙

    我们在设置交换机口令的时候，可以增加口令的复杂性，来提高破解的难度。同时设置密码策略(如密码连续错误三次将锁住)，如此就可以提高这个密码的安全性。也可以在交换机的密码中加入一些特殊的字符，如标点符号，或者大小写、字母与数字混用等等，来为交换机配置比较坚固的口令。

    四、CDP协议要尽量少用

    默认情况下，这个协议是开启的。通常情况下，我们并不需要在所有的交换机等网络设备上都启用这个协议。所以安全人员可以在交换机的每个接口上都禁用CDP协议，而只为管理目的运行CDP协议。如通常情况下，需要在交换机的廉洁上和IP电话连接的接口上启用CDP协议。对于Wan连接，CDP表中可能包含服务器提供的下一跳路由器或者交换机的信息，而不是企业控制之下的远端路由器。总之就是不要再不安起的连接上运行CDP协议，而应该将其用在刀刃上，在必需的接口上启用CDP协议。

    五、注意SNMP是一把双刃剑

    SNMP协议是一把双刃剑。从管理角度讲，很多网络管理员离不开SNMP协议。但是从安全角度讲，其确实存在着比较大的安全隐患。这主要是因为SNMP协议在网络中通常是通过明文来传输的。即使是采用了SNMPV2C，其虽然采用了身份验证技术。但是其身份验证信息也是由简单的文本字符组成。而这些字符则是通过明文来进行传输。这就给企业的网络安全造成了隐患。遇到这种情况时，安全管理人员应该采取适当的措施来确保SNMP协议的安全。我们常用的手段是升级SNMP协议，采用SNMPV3版本。在这个版本中，可以设置对于传输的数据都采用加密处理，从而确保通信流量的安全性。

    其次，可以结合上面谈到的访问控制列表来加强SNMP协议的安全性。如在访问控制列表中设置，交换机只转发那些来自受信子网或工作站的SNMP通信流量通过交换机。只要做到这两点，SNMP协议的安全就有保障了。

    最后，网络专家作出总结：除以上说的五点需要注意之外，限制链路聚集连接、关闭不需要的服务、少用HTTP协议等等，都是企业网络安全管理中的细节方面的内容。我们只有在不断的实践，不断的学习当中，才能发现更多的问题，才能想出更多的维护网络安全的措施。