破解网络安全十大信条

摘要：网络发展的日益成熟让网络管理员从最初的四顾茫然、无所适从的尴尬局面中挣脱，建立起诸多实践基础上的安全理论信条。这类理论与实践策略在网络管理人员之间手口相传、耳濡目染，逐渐变成了无人质疑的金科玉律。

但是这些貌似合理的理论与实践策略却也不尽正确，它们不仅不能给网络带来丝毫益处，甚至还会蕴含巨大的危机与隐患。

经过多年的发展，当前网络安全已成为一个相对成熟的领域，积累了大量理论与实践经验的网络管理人员也相继探索出了各自独到的安全理论与实践策略。

而实际上，这其中许多貌似合理的实践策略却是完全错误的。下面，就从中选出当前盛行于网络安全领域的十大信条逐一进行剖析，看看其中究竟有多少以讹传讹之处。

信条一：在公司网络与Internet间部署了防火墙后，客户端PC无需另行安装个人防火墙。在公司IT管理部门，有此想法者大有人在。但实际上，这种想法十分错误。部署于公司网络与外部网络之间的防火墙只能防范来自外部的威胁，对诸如心怀不满的员工发动的恶意攻击、或者员工经由便携机自家中等途径带入网络内的病毒及恶意程序等来自内部的威胁却无能为力。

信条二：除个人防火墙外，企业网络内部署一个大型硬件防火墙就可以高枕无忧。这种想法是错误的。一个明显的例子就是公司普通网段与带有公司敏感数据的网段之间就需要部署防火墙，以确保公司敏感数据流量的安全。

信条三：设置复杂的用户密码，并定期频繁更换。这是被许多网络管理人员奉为至臬的一条安全准则。诚然，象“aX-1r6 d+n7S9tU!”这种包含16个随机字符的密码的确很难被人猜到，但实际上，这类密码泄露比例远比密码被猜中的比例高。因此，更可行的策略是选择易于记忆、并且他人较难推测出来的字符组合。

信条四：在已安装有反病毒软件的情况下，没有必要另行在电子邮件服务器上安装木马检测或反病毒产品。不能认为反病毒软件就能将所有安全威胁一网打尽。对于新出现的病毒，反病毒软件无法识别的现象时有发生。而且，反病毒软件多数情况下并不能对木马等间谍软件进行有效检测，当然也就不能提供足够的防护。

信条五：垃圾邮件虽令人讨厌，但并不会带来实质性安全威胁。这种认识是片面的。垃圾邮件能否带来安全威胁，取决于垃圾邮件本身。实际上，不少垃圾邮件本身就带有病毒、木马或恶意程序，而且会占用大量服务器资源与网络带宽，甚至最终导致网络瘫痪。

信条六：无线网络采用数据加密技术就可以确保安全。毫无疑问，这一技术能对数据安全起到一定程度的保护作用。但要确保无线网络安全，仅仅依靠WPA等更先进的数据加密技术远远不够，还需要关闭接入点SSID广播功能、以及无线用户身份认证技术等措施双管齐下。

信条七：人体特征识别技术可以提高公司网络安全系数。就理论角度而言，这是正确的。但由于技术与成本等方面因素的限制，目前人体特征识别设备本身并不完全可靠，误识别现象经常存在，这不仅给系统安全带来了隐患，还可能将合法用户拒之门外。

信条八：对工作站与便携机上的硬盘进行整体加密就可以防止数据被非法访问。这种认识也有其偏颇之处。多数硬盘整体加密软件只能在关机时对硬盘上的数据加以保护。系统启动后，这类软件会自动将加密数据进行解密。因此，更理想的解决之道是在进行硬盘整体加密的同时，设置用户身份认证。

信条九：转向Linux可以增强系统与网络安全。虽然目前针对Linux的病毒与恶意程序相对较少，但实际上，在美国系统网络安全协会和美国联邦调查局共同发布的二十大安全漏洞中，Linux安全漏洞占据的比例并不比Windows低。就这个意义上而言，Linux并非是一种更为安全的操作系统。

信条十：培训投资是网络安全最重要的投资。这个观点非常正确。对网络管理人员与用户进行经常性、系统性的培训，使其及时了解各种网络安全知识，才能使公司网络内的各种安全产品物尽其用，真正发挥效用，有效防范各类安全威胁。#p#

3． 采用专用ASIC芯片实现数据线速转发。可编程ASIC将多项功能集中到一个芯片上，具有设计简单、可靠性高、电源消耗少等优点，能使设备得到更高的性能和更低的成本。
4． 机架型设备可提供热拔插功能，便于维护和无间断升级。 5． 可网管设备能提供网络诊断、升级、状态报告、异常情况报告及控制等功能，能提供完整的操作日志和报警日志。
6． 设备多采用1+1的电源设计，支持超宽电源电压，实现电源保护和自动切换。

目前提到光纤收发器，人们常常不免会将光纤收发器与带光口的交换机进行比较，下面主要谈一下光纤收发器相对于光口交换机的优势。

首先，光纤收发器加普通交换机在价格上远远比光口交换机便宜，特别是有些光口交换机在加插光模块后会损失一个甚至几个电口，这样可以使运营商在很大程度上减少前期投资。

其次，由于交换机的光模块大多没有统一标准，因此光模块一旦损坏就需要从原厂商用相同的模块更换，这样给后期的维护带来很大的麻烦。但光纤收发器不同厂商的设备之间在互连互通上已没有问题，因此一旦损坏也可以用其他厂商的产品替代，维护起来非常容易。

还有，光纤收发器比光口交换机在传输距离上产品更加齐全。当然光口交换机在很多方面上也具有优势，如可统一管理、统一供电等，这里就不再讨论了。

首先，目前的光纤收发器产品还不够智能。举个例子，当光纤收发器的光路断掉后，大多数产品另一端的电口仍然会保持开启状态，因此上层设备如路由器、交换机等依然还是会继续向该电口发包，导致数据不可达。希望广大设备提供商能在光纤收发器上实现自动切换，当光路DOWN掉后，电口自动向上报警，并阻止上层设备继续向该端口发送数据，启用冗余链路以保证业务不中断。

其次，光纤收发器本身应能更好地适应实际的网络环境。在实际工程中，光纤收发器的使用场所多为楼道内或室外，供电情况十分复杂，这就需要各个厂商的设备最好能支持超宽的电源电压，以适应不稳定的供电状况。同时由于国内很多地区会出现超高温和超低温的天气情况，雷击和电磁干扰的影响也是实际存在的，所有这些对收发器这种室外设备的影响都非常大，这就要求设备提供商在关键元器件的采用、电路布板和焊接以及结构设计上都必须精心严格。

此外，在网管控制方面，用户大都希望所有网络设备能通过统一的网管平台来进行远程的管理，即能够将光纤收发器的MIB库导入到整个网管信息数据库中。因此在产品研发中需保证网管信息的标准化和兼容性。

光纤收发器在数据传输上打破了以太网电缆的百米局限性，依靠高性能的交换芯片和大容量的缓存，在真正实现无阻塞传输交换性能的同时，还提供了平衡流量、隔离冲突和检测差错等功能，保证数据传输时的高安全性和稳定性。因此在很长一段时间内光纤收发器产品仍将是实际网络组建中不可缺少的一部分，相信今后的光纤收发器会朝着高智能、高稳定性、可网管、低成本的方向继续发展。

由于光纤收发器(Fiber Converter)为区域网络连接器设备之一,所以必须考虑与周边环境相互兼容性的配合,及本身产品的稳定性、可靠性，反之：价格再低，也无法得到客户的青睐！

市面上有些芯片目前只能使用全双工环境，无法支持半双工，如接到其他品牌的交换机（SWITCH）或集先器（HUB），而它又使用半双工模式，则一定会造成严重的冲突及丢包。

目前市面上的光纤收发器收发器愈来愈多，如不同品牌的收发器相互的兼容性事前没做过测试则也会产生丢包、传输时间过长、忽快忽慢等现象。

有些厂商在制造光纤收发器收发器时，为了降低成本，往外采用寄存器（Register）数据传输模式，这种方式最大的缺点就是传输时不稳定、丢包，而最好的就是采用缓冲线路设计，可安全避免数据丢包。

光纤收发器本身使用时会产生高热，温度过高时（不能大与85°C），光纤收发器是否工作正常？是非常值得客户考虑的因素！