網絡安全設計

1、【精品文檔】如有侵權，請聯(lián)系網站刪除，僅供學習與交流網絡安全設計.精品文檔.網絡安全設計班 級：_姓 名：_指導老師：_完成日期：_目錄項目背景3設計目的4安全風險分析4網絡安全技術方案6部署防火墻7部署入侵檢測系統(tǒng)11部署網閘13VPN15計算機系統(tǒng)安全16心得體會與反思19項目背景1、設計背景X研究所是我國重要的軍工研究所，擁有強大的軍事裝備研發(fā)實力，在研發(fā)過程中充分應用信息技術，顯著提高了研發(fā)工作的效率。該所除總部建設了覆蓋全所的計算機網絡外，北京辦事處也建有計算機網絡以處理日常事務。總部和北京辦事處間通過Internet連接。少量員工到外地出差時也可能需要通過Internet訪問研究所

2、內部網絡?？偛堪ㄒ皇?、二室、計算機中心等許多業(yè)務和職能部門。研究所網絡的拓撲結構如下圖：在研究所內網中，運行著為全所提供服務的數(shù)據(jù)庫服務器、電子郵件服務器、Web服務器等。2、安全需求（1）防止來自Internet的攻擊和內部網絡間的攻擊；（2）實現(xiàn)Internet上通信的保密和完整性，并實現(xiàn)方便的地址管理；（3）數(shù)據(jù)庫服務器存儲了研究所的所有數(shù)據(jù)需要特殊保護；（4）主機操作系統(tǒng)主要是Linux和Windows，要采取相應的安全措施；（6）解決移動辦公條件下文件安全問題。設計目的網絡安全課程設計是信息安全專業(yè)重要的實踐性教學環(huán)節(jié)，目的是使學生通過綜合應用各種安全技術和產品來解決實際網絡安全問

3、題，以深入理解和掌握課堂教學內容，培養(yǎng)解決實際問題的能力。 安全風險分析 該所的辦公主要有三類，即在公司總部辦公、在北京辦事處辦公以及出差員工在外的移動辦公。公司總部、北京辦事處以及出差員工間需要通過網絡通信來進行數(shù)據(jù)傳輸。公司總部設置有web服務器、email服務器和數(shù)據(jù)庫服務器，這些服務器存儲著公司的大量機密信息跟關鍵數(shù)據(jù)，它們的安全性決定了公司的是否能安全正常的運營。影響公司系統(tǒng)安全的攻擊主要分為兩種，即內部攻擊和外部攻擊。對該公司的網絡拓撲結構及公司提供的各種服務來進行分析，可以看出該公司的網絡系統(tǒng)存在以下風險：內部攻擊即來自內部人員的攻擊，公司內部人員無意或者有意的操作引起的對網絡系

4、統(tǒng)的攻擊，通常有數(shù)據(jù)竊取、越權訪問等。外部攻擊 外部攻擊方式多種多樣且攻擊方式層出不窮，有ip欺詐、口令破解、非法訪問、垃圾郵件轟炸、ddos攻擊、數(shù)據(jù)竊取、網絡監(jiān)聽、病毒、木馬、蠕蟲等攻擊方式。這些攻擊方式將對系統(tǒng)的安全性、可靠性、可用性、機密性、完整性產生巨大的威脅。 通過對該公司的網絡拓撲結構的分析出的該公司存在的來自內部或外部的安全風險，結合各種安全技術的原理特點和具體安全產品功能，對其歸類總結出該公司的系統(tǒng)安全類別如下：1. 網絡安全：通過入侵檢測、防火墻、vpn、網閘等，保證網絡通信的安全。2. 系統(tǒng)安全：通過各種技術保證操作系統(tǒng)級的安全。3. 系統(tǒng)應用的安全：通過各種技術保證數(shù)據(jù)

5、庫、電子郵件、web等服務的安全。4. 數(shù)據(jù)安全：通過數(shù)據(jù)加密、身份認證、訪問控制等措施，保證文件和數(shù)據(jù)庫數(shù)據(jù)的安全。根據(jù)該公司的網絡拓撲結構和其存在的安全風險，該公司的網絡架設需求如下：1. 防止來自Internet的攻擊和內部網絡間的攻擊2. 實現(xiàn)Internet上通信的保密和完整性，并實現(xiàn)方便的地址管理3. 數(shù)據(jù)庫服務器存儲了研究所的所有數(shù)據(jù)需要特殊保護4. 主機操作系統(tǒng)主要是Linux和Windows，要采取相應的安全措施5. 解決移動辦公條件下文件安全問題網絡安全技術方案 網絡安全：通過入侵檢測、防火墻、vpn、網閘等，保證網絡通信的安全。 該公司網絡系統(tǒng)與其他網絡系統(tǒng)一樣，存在著遭

6、受各種網絡攻擊的危險。為實現(xiàn)公司的網絡安全，因根據(jù)各種安全產品和安全技術的特點，結合該公司特有的網絡拓撲結構來架設具有自己特色的企業(yè)系統(tǒng)。部署防火墻 防火墻定義防火墻指的是一個由軟件和硬件設備組合而成、在內部網和外部網之間、專用網與公共網之間的界面上構造的保護屏障.是一種獲取安全性方法的形象說法，它是一種計算機硬件和軟件的結合，使Internet與Intranet之間建立起一個安全網關（Security Gateway），從而保護內部網免受非法用戶的侵入，防火墻主要由服務訪問規(guī)則、驗證工具、包過濾和應用網關4個部分組成，防火墻就是一個位于計算機和它所連接的網絡之間的軟件或硬件。該計算機流入流出

7、的所有網絡通信和數(shù)據(jù)包均要經過此防火墻。在網絡中，所謂“防火墻”，是指一種將內部網和公眾訪問網(如Internet)分開的方法，它實際上是一種隔離技術。防火墻是在兩個網絡通訊時執(zhí)行的一種訪問控制尺度，它能允許你“同意”的人和數(shù)據(jù)進入你的網絡，同時將你“不同意”的人和數(shù)據(jù)拒之門外，最大限度地阻止網絡中的黑客來訪問你的網絡。換句話說，如果不通過防火墻，公司內部的人就無法訪問Internet，Internet上的人也無法和公司內部的人進行通信。 防火墻主要部署在內部網和外部網之間，以有效限制外網對內網的訪問。此外，根據(jù)企業(yè)的具體情況，也可以在公司內部不同部門。不同子網之間以及個人主機上部署防火墻。防

8、火墻分為軟件防火墻和硬件防火墻，根據(jù)其針對的安全需求不同，其功能等各方面也有較大的差異，公司應根據(jù)本企業(yè)的具體安全需求和經濟效益等方面的綜合考慮選取防火墻產品，公司網絡部署的多個防火墻也根據(jù)其部署位置不同而選擇不同的產品。Cisco Secure PIX 525硬件防火墻Cisco Secure PIX 525防火墻是世界領先的Cisco Secure PIX防火墻系列的組成部分，它所提供的完全防火墻保護以及IP安全（IPsec）虛擬專網（VPN）能力使特別適合于保護企業(yè)總部的邊界。采用NAT技術的Cisco Secure PIX 525R-BUN具有節(jié)省IP地址、擴展網絡地址空間等好處。對內

9、部網絡的IP地址進行轉換，而對外部網絡則隱藏起內部網絡的結構，使對局域網內部發(fā)起攻擊更加困難。支持各種網絡接口，其中包括單端口或4端口10/100快速以太網、千兆以太網、4/16令牌環(huán)和雙連接多模FDDI卡。另外，PIX 525還提供多種電源選件，用戶可以選擇交流或48V直流電源。每一種選件都配有為第二個"故障切換"PIX系統(tǒng)準備的成對兒產品，從而實現(xiàn)最高的冗余和高可用性。Cisco Secure PIX防火墻能夠提供空前的安全保護能力，它的保護機制的核心是能夠提供面向靜態(tài)連接防火墻功能的自適應安全算法（ASA）。靜態(tài)安全性雖然比較簡單，但與包過濾相比，功能卻更加強勁；另外

10、，與應用層代理防火墻相比，其性能更高，擴展性更強。ASA可以跟蹤源和目的地址、傳輸控制協(xié)議（TCP）序列號、端口號和每個數(shù)據(jù)包的附加TCP標志。只有存在已確定連接關系的正確的連接時，訪問才被允許通過Cisco Secure PIX防火墻。這樣做，內部和外部的授權用戶就可以透明地訪問企業(yè)資源，而同時保護了內部網絡不會受到非授權訪問的侵襲。另外，實時嵌入式系統(tǒng)還能進一步提高Cisco Secure PIX防火墻系列的安全性。雖然UNIX服務器是廣泛采用公開源代碼的理想開放開發(fā)平臺，但通用的操作系統(tǒng)并不能提供最佳的性能和安全性。而專用的Cisco Secure PIX防火墻是為了實現(xiàn)安全、高性能的保

11、護而專門設計。華為賽門鐵克USG2130防火墻華為賽門鐵克USG2130為VPN是一款統(tǒng)一集成企業(yè)防火墻，該款防火墻只有兩個網絡端口，一個是配置端口(CON)，另一個是備份端口(AUX)，提供DoS/DdoS兩種入侵檢測模式，支持VPN。華為賽門鐵克USG2130提供安全的路由解析功能，提供安全的交換機系統(tǒng)，擁有百兆的性能，系統(tǒng)模塊化架構。華為賽門鐵克 Secoway USG2130支持外部攻擊防范、IPS(入侵防御)、抗DDoS攻擊、P2P限流、URL過濾等功能，能夠有效的保證網絡的安全;支持多種VPN業(yè)務，如L2TP VPN、GRE VPN 、IPSec VPN、MPLS VPN等，可以構

12、建多種形式的VPN;提供豐富的路由能力，支持RIP/OSPF/BGP/路由協(xié)議及策略路由。并支持100多種IM/P2P應用協(xié)議識別，基于時間、應用、用戶、帶寬、連接數(shù)的多方位調控手段，讓IM/P2P隨您掌控，可有效保障關鍵業(yè)務帶寬，提升帶寬利用率，提升員工工作效率。華為賽門鐵克USG2130提供豐富路由特性，不僅支持IPv4路由(靜態(tài)路由、RIP、OSPF與BGP動態(tài)路由)，還支持完整的IPv6路由協(xié)議，IPv4/IPv6全兼容，從而使組網應用更加靈活。其還可以通過接口卡擴展，最高支持21FE+2GE的下行接口，滿足企業(yè)終端、服務器的接入，節(jié)約用戶投資。360個人防火墻360網絡防火墻是一款保

13、護用戶上網安全的產品，為用戶阻截各類網絡風險。防火墻擁有云安全引擎，解決了傳統(tǒng)防火墻頻繁攔截，識別能力弱的問題，可以輕巧快速地保護上網安全。360網絡防火墻的智能云監(jiān)控功能，可以攔截不安全的上網程序，保護隱私、帳號安全；上網信息保護功能，可以對不安全的共享資源、端口等網絡漏洞進行封堵；入侵檢測功能可以解決常見的網絡攻擊，讓電腦不受黑客侵害；ARP防火墻功能可以解決局域網互相使用攻擊工具限速的問題。日前，精睿安全實驗室發(fā)布2017主流殺毒軟件年度測試報告，選取了國內外10款主流殺毒軟件，在Windows 10系統(tǒng)中進行測試，旨在為越來越多使用Win10的用戶提供參考。測試考察了殺毒軟件對病毒木馬

14、的查殺、對受感染文件的修復、以及對惡意程序的主動防御三大指標。測試結果表明，國產軟件360不僅領先卡巴斯基、Avast等國外老牌殺軟，綜合實力排名第一。其中，在最近接用戶場景、也最考驗殺軟硬實力的主動防御領域，360更是遙遙領先，展現(xiàn)了其精準的實時識別與防御能力。圖為十款殺毒軟件綜合能力對比Barracuda Email Security Gateway梭子魚郵件安全網關梭子魚垃圾郵件防火墻是由美國博威特公司的主打產品。博威特網絡是位于美國加州Cupertino的專業(yè)的應用網絡安全設備廠商，在日本東京，香港，臺灣。英國，阿聯(lián)酋等十幾個國家設有分公司，在全世界45個國家銷售。在日本也有很高的市場

15、占有率。并且我們提供八種國際語言，包括英語，簡體中文，繁體中文,德語,日語，西班牙語，法語，葡萄牙語等博威特網絡技術（上海）有限公司是美國Barracuda Networks, Inc.在上海設立的全資子公司。 Barracuda Networks, Inc.是國際領導的應用網絡安全設備廠商，2002年成立于美國硅谷，目前公司總部設在美國加州硅谷山景城（Mountain View）。博威特網絡公司是目前國際應用網絡安全設備的領導者，其主打的梭子魚垃圾郵件防火墻采用了世界上領先的“十大技術”、“十層過濾”垃圾郵件防護技術，結合其“五大優(yōu)點”，為用戶提供安全、高效、全面的垃圾和病毒郵件防護的整體解

16、決方案。部署方案在公司總部中心網絡和外部網絡之間部署Cisco PIX 525防火墻，中心交換機與數(shù)據(jù)庫服務器、web服務器、一室、二室、三室之間及外部網與北京辦事處之間部署華為賽門鐵克USG2130防火墻，公司總部中心交換機與email服務器之間部署B(yǎng)arracuda Email Security Gateway，能在一定程度上確保電子郵件安全。為了保護個人主機的安全，在員工個人主機上部署360防火墻。部署入侵檢測系統(tǒng)入侵檢測系統(tǒng)定義入侵檢測系統(tǒng)（intrusion detection system，簡稱“IDS”），是一種對網絡傳輸進行即時監(jiān)視，在發(fā)現(xiàn)可疑傳輸時發(fā)出警報或者采取主動反應措施

17、的網絡安全設備。而IDS在應對對自身的攻擊時，對其他傳輸?shù)臋z測也會被抑制。同時由于模式識別技術的不完善，IDS的高虛警率也是它的一大問題。IDS是計算機的監(jiān)視系統(tǒng)，它通過實時監(jiān)視系統(tǒng)，一旦發(fā)現(xiàn)異常情況就發(fā)出警告。IDS入侵檢測系統(tǒng)以信息來源的不同和檢測方法的差異分為幾類：根據(jù)信息來源可分為基于主機IDS和基于網絡的IDS，根據(jù)檢測方法又可分為異常入侵檢測和濫用入侵檢測。不同于防火墻，IDS入侵檢測系統(tǒng)是一個監(jiān)聽設備，沒有跨接在任何鏈路上，無須網絡流量流經它便可以工作。因此，對IDS的部署，唯一的要求是：IDS應當掛接在所有所關注流量都必須流經的鏈路上。在這里，"所關注流量"

18、指的是來自高危網絡區(qū)域的訪問流量和需要進行統(tǒng)計、監(jiān)視的網絡報文。在如今的網絡拓撲中，已經很難找到以前的HUB式的共享介質沖突域的網絡，絕大部分的網絡區(qū)域都已經全面升級到交換式的網絡結構。因此，IDS在交換式網絡中的位置一般選擇在盡可能靠近攻擊源或者盡可能靠近受保護資源的位置。1這些位置通常是：服務器區(qū)域的交換機上；Internet接入路由器之后的第一臺交換機上；重點保護網段的局域網交換機上。由于入侵檢測系統(tǒng)的市場在近幾年中飛速發(fā)展，許多公司投入到這一領域上來。Venustech(啟明星辰）、Internet Security System（ISS）、思科、賽門鐵克等公司都推出了自己的產品。啟明

19、星辰天闐NS100天闐入侵檢測與管理系統(tǒng)是啟明星辰信息技術有限公司自行研制開發(fā)的入侵檢測類網絡安全產品。天闐入侵檢測與管理系統(tǒng)是在以新一代入侵檢測技術為核心的基礎上，引入全面流量監(jiān)測發(fā)現(xiàn)異常，結合地理信息顯示入侵事件的定位狀況，應用入侵和漏洞之間具有對應的關聯(lián)關系，給出入侵威脅和資產脆弱性之間的關聯(lián)風險分析結果，從而有效地管理安全事件并進行及時處理和響應。天闐NS100具有攻擊檢測能力；響應方式；日志與報表；策略功能；管理功能；用戶管理；升級管理；產品安全性等功能部署方案為保證該公司網絡系統(tǒng)的安全，根據(jù)入侵檢測系統(tǒng)部署位置和該公司的網絡拓撲結構，將入侵檢測系統(tǒng)部署在Internet與公司總部相

20、連的位置，置于防火墻之后，作為公司網絡的第二道防線。這樣入侵檢測系統(tǒng)能監(jiān)聽到所有進入內網的數(shù)據(jù)包，以達到安全審計的目睹，從而能從審計記錄中找出已經產生的攻擊。部署網閘網閘定義網閘（簡稱：GAP），全稱安全隔離網閘，是一種由帶有多種控制功能專用硬件在電路上切斷網絡之間的鏈路層連接，并能夠在網絡間進行安全適度的應用數(shù)據(jù)交換的網絡安全設備。安全隔離網閘是由軟件和硬件組成。隔離網閘分為兩種架構，一種為雙主機的2+1結構，另一種為三主機的三系統(tǒng)結構。2+1的安全隔離網閘的硬件設備由三部分組成:外部處理單元、內部處理單元、隔離安全數(shù)據(jù)交換單元。安全數(shù)據(jù)交換單元不同時與內外網處理單元連接，為2+1的主機架構

21、。隔離網閘采用SU-Gap安全隔離技術，創(chuàng)建一個內、外網物理斷開的環(huán)境。三系統(tǒng)的安全隔離網閘的硬件也由三部分組成：外部處理單元（外端機）、內部處理單元（內端機）、仲裁處理單元（仲裁機），各單元之間采用了隔離安全數(shù)據(jù)交換單元。京泰物理隔離網閘京泰物理隔離網閘采用高速固態(tài)開關，在內外網絡之間切換，開關的物理特性決定了任意一個時刻，系統(tǒng)在物理鏈路上只能處于內網或者外網的一側；當連入外網時，與內網斷開，從外網獲取需要交換的數(shù)據(jù)；斷開外網連接，連接內網，交換數(shù)據(jù)到內網。往復不斷，從而完成內外網絡信息的交換；連接建立后，采用自定義信息交換報文和協(xié)議進行信息傳遞和交換，防止黑客利用標準網絡協(xié)議的各種漏洞進行

22、攻擊；由于采用自定義安全傳輸協(xié)議，系統(tǒng)在底層自行完成對文件的分片、傳遞工作，在另一端負責對其進行重組、檢測；系統(tǒng)提供應用接口，對應用系統(tǒng)的表單內容進行嚴格的信息檢測和過濾，防止利用各種非法的查詢來獲取信息或者破壞信息；由于通過高速固態(tài)開關交換信息，時間延遲極短，為毫秒級，為用戶應用系統(tǒng)提供實時的在線訪問提供了堅實的基礎。安全網閘不但提供標準的信息交流服務，如文件交流、數(shù)據(jù)庫交流和郵件交流等。還提供其他具體應用系統(tǒng)的二次開發(fā)接口，幫助用戶更快、更好的建立自己的安全信息交流平臺。支持第三方安全軟件，如對傳遞和交換的數(shù)據(jù)進行殺毒等，采用Linux操作系統(tǒng)設計，通過公安部、保密局、國家信息安全測評認證

23、中心等權威部門的安全認證，使得自身系統(tǒng)的安全性大為提高。部署方案在公司總部網絡與Internet之間部署網閘作為防火墻后的另一道防線，實現(xiàn)公司內部網與外部網的物理與協(xié)議上的安全隔離，使當防火墻被攻破或繞過時能保證系統(tǒng)安全VPNVPN定義VPN的英文全稱是“Virtual Private Network”，翻譯過來就是“虛擬專用網絡”。顧名思義，虛擬專用網絡我們可以把它理解成是虛擬出來的企業(yè)內部專線。它可以通過特殊的加密的通訊協(xié)議在連接在Internet上的位于不同地方的兩個或多個企業(yè)內部網之間建立一條專有的通訊線路，就好比是架設了一條專線一樣，但是它并不需要真正的去鋪設光纜之類的物理線路。這就

24、好比去電信局申請專線，但是不用給鋪設線路的費用，也不用購買路由器等硬件設備。VPN技術原是路由器具有的重要技術之一，目前在交換機，防火墻設備或WINDOWS2000等軟件里也都支持VPN功能，一句話，VPN的核心就是在利用公共網絡建立虛擬私有網。虛擬專用網（VPN）被定義為通過一個公用網絡（通常是因特網）建立一個臨時的、安全的連接，是一條穿過混亂的公用網絡的安全、穩(wěn)定的隧道。虛擬專用網是對企業(yè)內部網的擴展。虛擬專用網可以幫助遠程用戶、公司分支機構、商業(yè)伙伴及供應商同公司的內部網建立可信的安全連接，并保證數(shù)據(jù)的安全傳輸。虛擬專用網可用于不斷增長的移動用戶的全球因特網接入，以實現(xiàn)安全連接；可用于實

25、現(xiàn)企業(yè)網站之間安全通信的虛擬專用線路，用于經濟有效地連接到商業(yè)伙伴和用戶的安全外聯(lián)網虛擬專用網。之前選用的Cisco PIX 525防火墻集成了VPN功能，能直接提供一種安全、可擴展的平來來經濟高效的使用公共數(shù)據(jù)服務來實現(xiàn)遠程訪問。遠程辦公和外部網連接。部署方案直接配置Cisco PIX525防火墻的vpn功能。用網絡層的vpn技術實現(xiàn)網絡層vpn。網絡層vpn技術之一的IPsec也是IETF支持的標準之一，它是第三層即IP層的加密。IPsec不是某種特殊的加密算法或認證算法，也沒有在它的數(shù)據(jù)結構中指定某種特殊的加密算法或認證算法，它是一個開放的結構，定義在IP數(shù)據(jù)包格式中，不同的加密算法都可

26、以利用IPsec定義的體系結構在網絡數(shù)據(jù)傳輸中實施。計算機系統(tǒng)安全主機操作系統(tǒng)主要是Linux和Windows，而這兩款操作系統(tǒng)依舊有些常見的漏洞和普遍的安全問題存在，因此要采取一些安全措施盡可能的保證系統(tǒng)平臺的安全，以保證公司系統(tǒng)的安全運作。1. Windows系統(tǒng)安全為了達到安全的目的，一般來說我們需要關注操作系統(tǒng)的八個方面：補丁管理 > 賬號漏洞 > 授權管理 > 服務管理 > 功能優(yōu)化 > 文件管理 > 遠程訪問控制 > 日志審計其中：補丁管理使用最新版的補丁，避免使系統(tǒng)存在已知的漏洞，從而被攻擊者利用。賬號口令梳理出系統(tǒng)中正在使用和存在的賬號

27、和口令，避免使用默認的賬號密碼和脆弱的口令如123456、admin等授權管理降低操作系統(tǒng)上的軟件的權限，將權限降低到不影響軟件運行所需的最低權限，避免軟件因為擁有過高的權限而被有心人利用。服務管理如果操作系統(tǒng)上如果運行著不需要的功能或者服務，盡量關閉。功能優(yōu)化對操作系統(tǒng)上的軟件進行安全優(yōu)化，確保系統(tǒng)的安全性。文件管理配置好關鍵文件的權限，比如說windows文件夾這種關鍵性的文件夾，不應該允許被非管理員權限的用戶訪問。遠程訪問控制如果計算機上開啟了遠程訪問功能，需要對訪問的人員進行限制，比如說只允許某個ip或者某個網絡的人員能夠遠程登陸，其他的一律拒絕。日志審計對于服務器來說，應該要增強操作

28、系統(tǒng)的日志功能，以防發(fā)生安全事件后可以追溯源頭，提供保障。根據(jù)這八大方面的安全操作需要做的有：2.Linux系統(tǒng)安全保護Linux系統(tǒng)安全的九個常用方法1. 使用SELinuxSELinux是用來對Linux進行安全加固的，有了它，用戶和管理員們就可以對訪問控制進行更多控制。SELinux為訪問控制添加了更細的顆粒度控制。與僅可以指定誰可以讀、寫或執(zhí)行一個文件的權限不同的是，SELinux可以讓你指定誰可以刪除鏈接、只能追加、移動一個文件之類的更多控制。(LCTT譯注：雖然NSA也給SELinux貢獻過很多代碼，但是目前尚無證據(jù)證明SELinux有潛在后門)2. 訂閱漏洞警報服務安全缺陷不一定是在你的操作系統(tǒng)上。事實上，漏洞多見于安裝的應用程序之中。為了避免這個問題的發(fā)生，你必須保持你的應用程序更新到最新版本。此外，訂閱漏洞警報服務，如SecurityFocus。3. 禁用不用的服務和應用通常來講，用戶大多數(shù)時候都用不到他們系統(tǒng)上的服務和應用的一半。然而，這些服務和應用還是會運行，這會招來攻擊者。因而，最好是把這些不用的服務停掉。(LCTT譯注：或者干脆不安裝那些用不到的服務，這樣根本就不用關注它們是否有安全漏洞和該升級了。)4. 檢查系統(tǒng)日志你的系統(tǒng)日志告訴你在系統(tǒng)上發(fā)生了什么活動，包括攻擊者是否成功進入或試著訪問系