摘要

安全事故的數量每一年都在以驚人的速度增加。安全威脅的復雜程度越來越高，因此，必須采取安全措施來保護網絡。如今，為了安全地部署和管理網絡，數據中心工作人員、網絡管理人員以及其他數據中心專家都需要掌握基本的安全知識。本白皮書闡述了網絡系統的基本安全知識，包括防火墻、網絡拓撲和安全協議等。此外，還給出了佳方案，向讀者介紹了在保護網絡安全中某些比較關鍵的方面。

簡介

要保護現代商業網絡和 IT 基礎設施的安全，不僅需要端對端的方法，還必須充分了解網絡中所存在的弱點以及相關的保護措施。雖然這些知識并不足以阻擋住所有網絡入侵或系統攻擊企圖，但可以使網絡工程師排除某些常見問題，大量減少潛在的危害并迅速檢測出安全性漏洞。隨著攻擊數量的日益增加以及復雜程度的不斷提高，無論是大企業還是小公司，都必須采取謹慎的步驟來確保安全性。圖 1 顯示了歷年來安全事故次數的顯著上升趨勢，數據取自 CERT? Coordination Center（一家互聯網安全專業技術中心）。

人的問題

在任何安全方案中，人確實都是薄弱的環節。很多人都不認真對待保密的問題，譬如，不重視對密碼和訪問代碼的保密，而這些正是大多數安全系統的基礎。所有安全系統均依賴于一套控制訪問、驗證身份并防止泄漏敏感信息的方法。這些方法通常涉及一個或多個“秘密”。如果這些秘密被泄漏或偷竊，那么由這些秘密所保護的系統將受到威脅。這看起來似乎是再明顯不過的事實，但可惜大多數系統都是以這種非常低級的方式被攻擊的。譬如，將寫有系統密碼的便箋粘在計算機顯示器的一側，這種行為看起來十分的愚蠢，但事實上，很多人都有過這樣的舉動。另一個類似的例子，某些網絡設備仍保留著出廠時的默認密碼。此類設備可能包括UPS 的網絡管理接口。在安全方案中，無論是小型 UPS 還是足以為 100 臺服務器供電的大型 UPS，都往往是被忽略的環節。如果此類設備仍沿用默認的用戶名和密碼，那么，即使是除設備類型及發布的默認憑據之外一無所知的人，要獲得訪問權限也只是時間問題。如果服務器群集中的每臺 Web 服務器和郵件服務器的安全協議都堅不可摧，整個系統卻因為一個無保護的 UPS 的簡單關機操作被擊垮，該是多么令人震驚！

安全性，進入正題

一家安全的公司，無論大小，都應當采取適當步驟保護安全性，步驟必須全面而完整才能保證其有效性。但大多數公司機構的安全性策略及其實施都未達到此標準。造成這種情況有多種原因，比如實施安全性保護需要花費成本。這里的成本不僅是資金，還包括復雜性、時間和效率成本。為確保安全，必須花費金錢、執行更多的程序并等待這些程序完成（或者還可能涉及其他人）。事實是，真正的安全性計劃很難實現。通常的做法是選擇一個具有一定“成本”并實現一定安全性功能的方案。（這種安全性涵蓋的范圍幾乎總是比“全面、完整的”方案所涵蓋的范圍要窄。）關鍵是要為整個系統的每個方面做出明智的決策，并按照預計的方式有意識地或多或少地實施這些決策。如果知道某個區域缺乏保護，那么至少可以監控此區域以確定問題或漏洞所在。 

安全性基礎知識

了解網絡

如果連要保護的對象都未清楚地了解，那么要保護好它是不可能的。任何規模的組織都應當有一套記錄在案的資源、資產和系統。其中每個元素都應當具備相對價值，該價值是根據其對組織的重要性以某種方式指定的。應予以考慮的設備包括服務器、工作站、存儲系統、路由器、交換機、集線器、網絡與電信鏈路以及其他任何網絡元素，如打印機、UPS 系統和 HVAC 系統等。此外，還有一些重要方面，如記錄設備位置以及它們之間的相關性。例如，大多數計算機都依賴于 UPS 等備用電源，如果這些系統受網絡管理，則它們可能也是網絡的一部分。環境設備，如 HVAC 設備和空氣凈化器可能也包括在內。 

了解各種威脅

接下來是確定以上每個元素的潛在“威脅”，如表 1 所示。威脅既可能來自內部，也可能來自外部。它們可能是人為操作的，或自動執行的，甚至還可能是無意的自然現象所導致的。后一種情況更適合歸類到安全威脅的反面 — 系統健康威脅中，不過這兩種威脅有可能互相轉換。以防盜警報器斷電為例。斷電可能是有人故意為之，也可能是某些自然現象（如閃電）而造成的。無論是哪種原因，安全性都降低了。

表 1 – 各種威脅及后果一覽

物理安全性，從內部進行保護

大多數專家都認同，物理安全是一切安全性的起點?？刂茖τ嬎銠C和網絡附加設備的物理訪問，或許要比其他任何安全方面都更為重要。對內部站點的任何類型的物理訪問都將使站點暴露在危險之中。如果能夠進行物理訪問，那么要獲得安全文件、密碼、證書和所有其他類型的數據并非難事。幸好有各種各樣的訪問控制設備與安全柜可以幫助解決該問題。有關數據中心和網絡機房物理安全的詳細信息，請參閱 APC 第 82 號白皮書“任務關鍵設備的物理安全”。采用防火墻劃分和保護網絡邊界

對于站點而言，除了基本的物理安全之外，另一個重要的方面便是對出入組織網絡的數字訪問進行控制。大多數情況下，控制數字訪問即意味著控制與外部世界（通常為互聯網）的連接點。幾乎每家媒體和每個大公司在互聯網上都有自己的網站，并且有一個組織網絡與之相連。事實是，與互聯網時刻保持連通的小公司和家庭的數量在與日俱增。因此，確保安全的當務之急是在外部互聯網與內部企業網之間建立分界線。通常，內部企業網被當作“受信任”端，而外部互聯網則被當作“不受信任”端。一般情況下這樣理解并沒有錯，但不夠具體和全面，下文將對此進行闡述。防火墻機制就像是一個受控的堡壘，用于控制進出組織機構的企業網的通信。從本質上而言，防火墻其實就是特殊用途的路由器。它們運行于專用的嵌入式系統（如網絡外設）上，或者，它們也可以是運行于常見服務器平臺上的軟件程序。大多數情況下，這些系統都有兩個網絡接口，分別連接外部網絡（如互聯網）和內部企業網。防火墻進程可以嚴格控制允許哪些服務可以通過防火墻。防火墻結構既可以相當簡單，也可以非常復雜。對于安全的大多數方面而言，決定采用哪種類型的防火墻取決于多個因素，譬如，通信級別、需要保護的服務、所需規則的復雜程度，等等。需要穿過防火墻的服務數量越多，所需的防火墻也越復雜。防火墻的難點在于區分合法通信與非法通信。

防火墻可以提供哪方面的保護，以及無法提供哪方面的保護？防火墻與其他很多事物一樣，如果配置正確，則是防衛外部威脅，包括某些拒絕服務 (DOS) 攻擊的利器。相反，如果配置不正確，則會成為組織內主要的安全漏洞。防火墻所提供的基本的保護便是可以阻止網絡通信到達某個目的地，包括 IP 地址和特定的網絡服務端口。如果站點希望 Web 服務器供外部訪問，可以將所有通信限定在端口 80（標準 HTTP 端口）。通常，此限制限定來自不受信任端的通信，受信任端的通信則不受限制。其他所有通信，如郵件通信、FTP、SNMP 等，都不允許通過防火墻進入企業網。圖 2 顯示了一個簡單的防火墻。

圖 2 – 簡單的網絡防火墻

還有一個更簡單的例子，使用家庭或小型企業用電纜/DSL 路由器的用戶使用的防火墻。通常，這種防火墻均設置為限制所有外部訪問，只允許來自內部的服務。認真的讀者可能會意識到，在以上兩種情況中，防火墻實際上阻止了來自外部的所有通信。如果是這樣，那么如何能在網上沖浪并檢索網頁呢？防火墻所做的是限制來自外部的連接請求。在第1種情況中，來自內部的所有連接請求都被傳遞至外部，隨后，所有數據通過該連接進行傳輸。對于外部網絡而言，只有對 Web 服務器的連接請求以及數據被允許通過，所有其他請求均被阻止。第二種情況則更加嚴格，干脆只允許從內部到外部的連接。

比較復雜的防火墻規則可采用被稱為“狀態監測”的技術。該方法對通信狀態與順序逐一進行查看，以檢測欺騙攻擊和拒絕服務攻擊，從而增加了基本的端口阻止方法。規則越復雜，所需的防火墻計算能力也越強。大多數組織都會面臨這樣一個問題：如何才能既使外部用戶能合法訪問 Web、FTP 和電子郵件等的“公共”服務，同時又嚴密保護企業網的安全。典型的做法是設置一個所謂的隔離區 (DMZ)，這個來自冷戰時期的術語，如今用到了網絡上。該結構存在兩個防火墻：一個位于外部網絡與 DMZ 之間，另一個位于 DMZ 與內部網絡之間。所有的公共服務器都放置在 DMZ 中。采用該結構之后，防火墻規則可以設置為允許公眾訪問公共服務器，但內部防火墻仍可以限制所有進入的連接。比起僅僅處于單個防火墻之外，公共服務器在 DMZ 中仍受到了更多的保護。圖 3 顯示了 DMZ 的作用。

圖 3 – 雙防火墻及 DMZ

在各企業網的邊界使用內部防火墻也有助于減少內部威脅以及已通過邊界防火墻的威脅（如蠕蟲）。內部防火墻甚至可運行于待機模式，不阻止正常的通信模式，而只是在出現問題時啟用嚴格的規則。

工作站防火墻

有一個重要的網絡安全因素直到現在才為大多數人所認知，那便是網絡上的每一個節點或工作站都可能是潛在的安全漏洞。過去，在考慮網絡安全時注意力基本上都集中在防火墻和服務器上，隨著 Web 的出現以及新的節點等級（如網絡外設）的不斷擴張，保護網絡安全產生了新的問題。各種蠕蟲病毒程序攻擊計算機，并通過這些計算機進一步擴散及危害系統。如果組織的內部系統能更有效地進行“封鎖”，那么大部分蠕蟲都可以被成功阻止或攔截。工作站防火墻產品即可以阻止不屬于主機正常需求的、出入各個主機的所有端口訪問，此外，用以阻止來自組織外可疑連接的內部網絡防火墻規則也有助于防止蠕蟲擴散回組織外部。在這兩個防火墻的共同作用下，蠕蟲的內部復制和外部復制機會都減少了。在絕大多數情況下，所有系統都應當能阻止無需使用的所有端口。

基本的網絡主機安全

端口防范并盡量減少運行的服務默認情況下，許多網絡設備和計算機主機都會啟動網絡服務，而每一個服務對攻擊者、蠕蟲和木馬而言都是攻擊機會。所有這些默認服務往往并不是必需的。通過關閉服務來執行端口防范可以減少攻擊的機會。以下的防火墻部分中將提到，與網絡防火墻一樣，臺式機和服務器也可以運行基本的防火墻軟件來阻止對主機上不需要的 IP 端口的訪問，或者限制來自某些主機的訪問。當外層防御已經被突破或存在其他內部威脅時，該方案對于內部保護非常重要?？晒┻x擇的臺式機防火墻軟件包有很多種，都可以執行保護主機的大量工作，例如，如Windows XP Service Pack 2 的功能，Microsoft 實際上構建了一個基本的防火墻。

用戶名和密碼管理

如上文中所提到的，在大多數公司網絡中，用戶名和密碼管理不善是一個很常見的問題。雖然可以采用復雜的集中式身份驗證系統（后文將對此進行討論）來幫助減少該問題，但是，如果能遵照一些基本原則，也可以帶來很大的幫助。以下提供了用戶名和密碼應當遵從的四條基本規則：

1.不要使用太過明顯的密碼，如配偶的姓名、喜歡的體育團隊等

2.采用數字與符號混合的較長的密碼

3.定期更改密碼

4.網絡設備切勿沿用默認憑據

如果計算機或設備無內置策略來強制實施以上內容，那么用戶應當約束自己遵從這些規則。至少可以通過采用網絡探測器來檢測設備憑據是否為默認設置，以對規則 (4) 進行檢查。

訪問控制列表

許多類型的設備或主機都可以配置訪問列表。這些列表定義了有權訪問該設備的主機名或 IP 地址。一個典型的例子，便是可以限制組織網絡內部對網絡設備的訪問。這可以防止任何類型的訪問突破外部防火墻。作為后一道重要的防線，訪問列表對于某些具有不同訪問協議的不同規則的設備而言相當有效。保護對設備與系統的訪問的安全性

由于數據網絡無法保證始終能夠抵御入侵或數據“竊聽”，可以提高相連網絡設備安全性的協議便應運而生?？傮w而言，安全問題涉及兩個獨立的問題：身份驗證和防止泄密（加密）。有多種方案和協議能夠滿足安全系統與通信中的這兩個需求。我們將首先介紹

身份驗證的基礎知識，然后再介紹加密。

網絡設備的用戶身份驗證

當有人想要控制對網絡元素，尤其是網絡基礎設施設備的訪問時，必須提供身份驗證信息。身份驗證包含兩個概念：一般訪問身份驗證以及功能授權。一般訪問用于控制特定用戶是否對特定網絡元素具有任意類型的訪問權限。這些權限通常以“用戶帳戶”的形式體現。授權則指各個用戶的“權限”。例如，用戶通過身份驗證后能進行哪些操作？用戶是能配置設備，還是只能查看數據？表 2 總結了各種主要的身份驗證協議、其功能及其相關的應用。

表 2 – 主要身份驗證協議一覽

限制對設備的訪問是確保網絡安全重要的一點。由于基礎設施設備是網絡和計算設備的基礎，因此，倘若基礎設施受到危及，則可能導致整個網絡及其資源崩潰。很可笑的是，許多 IT 部門花費了很大精力來保護服務器、設置防火墻并保護訪問機制，但是對某些基礎設備卻只采用了很低級的安全措施。

起碼，所有設備都應當設置比較嚴謹的用戶名密碼身份驗證（10 個字符，字母、數字和符號混用）。并且，應當從數量和授權類型上對用戶進行限制。在使用并不安全（即用戶名和密碼以明文形式在網絡上傳輸）的遠程訪問方法時，應當格外小心。密碼還應當定期進行更改，譬如每三個月更改一次，如果使用工作組密碼，當有員工離職時也應當進行更改。

集中式身份驗證方法

選用合適的身份驗證方法作為基本的安全手段非常重要，不過，在以下情況中集中式身份驗證方法可能更好：a) 設備的用戶數量很多；b) 網絡中的設備數量很大。過去，集中式身份驗證通常用來解決情況 (a) 中存在的問題，常用的是在遠程網絡訪問中。在遠程訪問系統（如撥號 RAS）中，要靠 RAS 網絡設備自身來管理用戶簡直是不可能的。網絡中的任何用戶都可能試圖使用現有的任何RAS 訪問點。如果將所有用戶信息都放在每個 RAS 設備中并一直保持這些信息的更新，這將超出任何大公司中的 RAS 設備的能力，并將是管理的夢魘。

RADIUS 和 Kerberos 等集中式身份驗證系統使用 RAS 設備，使用 RAS 設備或其他類型的設備都能安全訪問的集中式用戶帳戶信息，從而解決了該問題。這些集中式方案將信息集中存放在一個位置，而不是很多個不同的位置。因此，無需再在多個設備上管理用戶，而是通過一個位置進行用戶管理。如果用戶信息需要更改，如更改密碼，只需一個簡單的任務即可完成該操作。如果有用戶離開，則可以刪除其帳戶以防該用戶使用集中式身份驗證訪問所有設備。在大型網絡中，若采用非集中式身份驗證方法，一個典型問題便是需要刪除位于各個地方的帳戶。RADIUS 等的集中式身份驗證系統通?？梢耘c其他用戶帳戶管理方案（如 Microsoft 的 ActiveDirectory 或 LDAP 目錄）無縫集成。雖然這兩個目錄系統本身并非身份驗證系統，但它們可以用作集中式帳戶存儲機制。大多數RADIUS 服務器都可以通過普通的 RADIUS 協議與 RAS 或其他網絡設備通信，然后安全地訪問存儲在目錄中的帳戶信息。icrosoftIAS Server 便通過這種方式在 RADIUS 與 Active Directory 之間建立起溝通的渠道。采用此方法后，不僅可以為 RAS 用戶和設備用戶提供集中式身份驗證，而且帳戶信息也可以與 Microsoft 域帳戶統一。圖 4 顯示了一個同時作為 Active Directory 服務器和RADIUS 服務器的Windows 域控制器，它供網絡元素通過身份驗證進入 Active Directory 域。

圖 4 – Windows 域控制器

采用加密和身份驗證保護網絡數據的安全

在某些情況中，網絡元素、計算機或系統之間的信息交換是否足夠安全關系重大。無疑，某人能進入并不屬于自己的銀行賬戶或截獲網絡上所傳輸的個人信息，都是令人堪憂的事情。如果不希望數據在網絡上泄漏，那么必須對傳輸的數據采取加密的方法，這樣，即使有人在數據通過網絡時采用某種方式截獲了數據，也無法辨認這些數據?！凹用堋睌祿姆椒ㄓ泻芏喾N，本白皮書將介紹其中幾種主要的方法。對于如同 UPS 系統的網絡設備而言，我們并不關注傳統意義上保護數據所付出的代價，如 UPS 電壓和電源插板的電源，我們關注的是對這些網絡元素的訪問的控制。

對于通過不安全的網絡（如互聯網）進行訪問的任何系統而言，身份驗證憑據（如用戶名和密碼）的保密非常關鍵。即使是在組織的專用網絡中，好也對這些憑據采取保護措施。雖然還未普及，不過很多組織都逐漸開始對所有管理通信，而不僅僅是身份驗證憑據進行保護。不管是哪種情況，都必須采用某些形式的加密方法。

通常，數據的加密是通過使用特定的加密算法（如 3DES、AES 等）將明文數據（輸入）與一個密鑰相組合來實現的。其結果（輸出）為密文。如果某人（或計算機）沒有密鑰，則無法將密文轉換回明文。該基本方法是所有安全協議（后文將對此進行介紹）的核心。加密系統的另一個基本構成部分是“哈希散列”。散列法即對一些明文輸入以及可能的密鑰輸入進行計算，然后得到一個稱為散列的大數。無論輸入的大小如何，其結果值都是固定長度（位數）。加密方法是可逆的，可以用密鑰將密文恢復為明文，散列則不同。從數學的角度而言，要將散列恢復為明文是不可能的。散列被用作各種協議系統中的特殊 ID，因為它提供了類似于磁盤文件上的 CRC（循環冗余檢測）的數據檢測機制，可以檢測數據是否發生改變。散列還可用作數據身份驗證方法（不同于用戶身份驗證）。如果有人試圖在數據通過網絡時秘密篡改數據，則數據的散列值也將改變，因而可以檢測出數據的變化。表 3 對各種加密算法及其用途進行了簡單比較。

表 3 – 主要加密算法一覽

安全訪問協議

各種協議（如 SSH 和 SSL）采用各種加密機制，通過身份驗證方法和加密方法來提供安全性。所提供的安全級別取決于很多因素，譬如，所用的加密算法、對所傳輸數據的訪問、算法密鑰長度、服務器與客戶端的執行情況，還有重要的一點，人為因素。如果用戶的訪問憑據（如密碼或證書）被第三方獲得，那么，即使是精巧的加密方案也是徒勞無效的。一個經典的例子便是上文曾提到的將寫有密碼的便箋貼在顯示器上。

SSH 協議

Secure Shell (SSH) 客戶端-服務器協議產生于 20 世紀 90 年代中期，旨在為通過未保護的或“不安全的”網絡遠程訪問計算機控制臺或 Shell 提供安全機制。該協議通過對用戶和服務器進行身份驗證，以及對客戶端與服務器之間交換的所有通信進行完全加密來提供確保安全的方法。協議有兩個版本：V1 和 V2，這兩個版本在提供的加密機制上略有區別。此外，V2 在防止某些類型的攻擊上要稍勝一籌。（未參與的第三方試圖攔截、偽造或以其他方式更改交換的數據均被視為攻擊。）

雖然 SSH 多年來一直作為計算機控制臺的安全訪問協議，但過去很少將其用在輔助的基礎設施設備（如 UPS和 HVAC 設備中）。不過，隨著網絡及為其提供支持的網絡基礎設施對于公司商務行為的重要性日漸提高，對所有設備均采用此類安全訪問方法的做法正日趨流行。

SSL\TLS 協議

雖然 SSH 安全協議被廣泛用于控制臺命令行訪問（如進行管理）中，但安全套接字層 (SSL) 及后來的傳輸層安全 (TLS) 協議已成為保護 Web 通信及其他協議（如 SMTP，用于郵件傳輸）的標準方法。TLS 是 SSL 的新版本，不過一般仍用 SSL 來指代TLS。SSL 與 SSH 在協議內置的客戶端與服務器身份驗證機制上區別很大。TLS 還被接受作為 IETF（互聯網工程任務組）標準 ，而 SSH 盡管被廣泛當作標準草案，但從未成為正式的 IETF 標準。SSL 是保護 HTTP Web 通信的安全協議，也稱為 HTTPS(HTTP Secure)。Netscape 和Internet Explorer 均支持 SSL 和 TLS。在使用這些協議時，服務器將以服務器證書的形式對客戶端執行正式的身份驗證。我們隨后將介紹證書?？蛻舳艘部梢圆捎米C書進行身份驗證，不過常用的還是用戶名與密碼。由于 SSL“會話”全部為加密形式，因此，身份驗證信息及網頁上的任何數據都是安全的。對于安全性要求較高的銀行業和其他商務用途而言，由于客戶往往通過公共互聯網訪問網站，因此網站應始終采用 SSL。

隨著對網絡設備（嵌入式 Web 服務器）基于 Web 的管理方式成為進行基本配置和用戶訪問常用的方法，保護此管理方式便成了重中之重。如果公司希望所有網絡管理能安全進行，但仍采用圖形界面（如 HTTP），那么應當使用基于 SSL 的系統。如上文所述，SSL 還可以保護其他非 HTTP 通信?？蛻舳瞬粌H應使用基于非HTTP 的設備，還應當采用 SSL 作為其訪問協議以確保系統的安全。全部采用 SSL 還有一個優勢，即可使用包含通用身份驗證方案和加密方案的標準協議。

網絡安全的方案仔細規劃的安全策略可以顯著提高網絡的安全性。策略既可以復雜繁瑣，也可以簡單直接，但往往簡單的卻是有用的。請考慮結合使用集中管理的防病毒更新系統與主機掃描程序來檢測新系統或過期的系統。雖然該系統需要具備設置、集中管理和軟件部署功能，不過如今的操作系統一般都囊括了以上所有功能。通常，策略與理想的自動實施工具有助于減少系統安全中明顯的漏洞，因此，網絡管理人員可以集中精力應對更為復雜的問題。以下列出了一些具有代表性的公司網絡安全策略：

·在公共網絡與專用網絡的所有交界處設置防火墻

·控制版本并集中部署防火墻規則集

·外部資源放在雙層防火墻之間，并保護 DMZ 的安全

·所有網絡主機都應對不需要的網絡端口采取防范措施，并關閉不需要的服務

·所有網絡主機均應安裝集中管理的防病毒軟件

·所有網絡主機均應安裝集中的安全更新程序

·保護集中式身份驗證的安全，如 RADIUS 和 Windows/Kerberos/Active Directory

·采用含密碼策略（例如，必須每三個月更改一次密碼，必須采用安全密碼）的集中管理的用戶管理方式

·主動進行網絡掃描，掃描新的主機以及過期的系統

·對可疑行為進行網絡監控

·事故響應機制（策略、人力、自動等）

以上各條體現了策略中應當包含的關鍵之處。但策略中還可能涉及其他更為廣泛的方面。當然，在確定策略的類型與幅度時，應始終記住盡量權衡各種因素，如公司規模、風險分析、成本和商業影響等如上所述，通常情況下可以從系統分析入手，然后進行商業分析。無論網絡的規模如何，都可能成為攻擊的目標，因此即使是非常小的公司也應當具備某些形式的安全策略。

結論

隨著網絡威脅（如蠕蟲、病毒和聰明的黑客）數量的日漸增加，安全性不再是一件可有可無的事情，即使是在專用網絡中也不應當被忽視。確保所有設備，包括物理基礎設施設備（如 UPS 系統和 HVAC 系統）的安全，對于維持系統正常運行以及服務的無縫訪問都至關重要。在整個公司范圍內提供并維持安全性通常意味著管理成本的提高。從過去的經驗來看，這往往是廣泛實現安全性大的障礙。如今，修復僅僅由于一個蠕蟲或病毒攻擊而損害的網絡所需要花費的時間，都會輕易超過前期為充分確保公司安全所付出的時間。幸運的是，有很多既可提高網絡安全性又可減少管理費用的系統和軟件可供選擇。即使是基本的方案，例如，定期更新軟件、對所有設備采取防范措施以及使用集中式身份驗證與安全訪問方法，對降低網絡風險也大有幫助。建立適當的安全策略和經常檢查網絡可以進一步提高網絡的整體保護力度。