节后网络运维管理必做六件事

保证网络的安全稳定运行是网管的职责，其实节后的网络运维只是日常网络运维的一部分，但也有其特殊性，愿笔者列举的节后网络运维管理六件事对大家有所帮助……

1、尽快打补丁

也许大家已经在节前部署好了补丁策略可以实现自动打补丁，但是没有任何策略可以保证万无一失，更何况有不少网管并没有部署相应的策略或者节日期间网络基本就是关闭的。如果是前者你已经部署了补丁策略，要进行检测首先要确保关键的服务器系统已经打上了最新的补丁包。另外，要确保各客户端也已经打上了最新的补丁，往往客户端是网络安全最薄弱的环节。通常情况下，节日期间大多数客户端是关闭的，要确保在客户端开机后能够在最短的时间内打上补丁包。如果是后者，为服务器和客户端打补丁应该是当务之急。这种情况下，因为有太多的客户端要打补丁，会造成一定程度的网络拥堵，影响网络的性能。因此，笔者建议大家最好部署一个补丁服务器。在补丁服务器上做好补丁的筛选和测试，然后有组织地进行后续工作。以笔者的经验，节后往往网络安全比较薄弱的时期，快速打好补丁就能杜绝0Day的攻击。

2、安全软件升级

其实打补丁和软件升级应属于同一范畴，之所以单独提出来是为了引起大家的重视，因为有不少网管忙着为系统打补丁而忽视了安全软件的升级。网络环境中使用的安全软件，有单机版、企业版之分，另外还有些网络中采用了服务版的安全软件，采用C/S模式。如果是非服务版的安全软件，在升级过程中不仅会耗费网络带宽而且会遇到诸如授权的问题。这些因素都有可能造成安全软件在部分客户端升级的失败，对于诸如此类的问题，网管有应对措施。比如，可首先在一个客户端上进行升级并通过软件进行监控，将此次升级中下载并安装的文件提取出来，然后打包共享给各客户端实现共同升级。另外，也可将升级后的安全软件打包共享给客户端重新安装等等。如果是采用C/S模式的安全软件，只需在服务端进行升级，然后客户端就可以调用服务端的引擎进行安全检测了。特别需要注意的是，排除系统及安全软件本身的因素如果安全软件的升级总是失败就需要特别的警惕了，极有可能是网络中该节点中毒或者中马了。

3、关闭远维通道

为了实现节日期间的网络运维，相信有不少网管朋友开通了远维通道。也许正是这条通道

方便了你对网络的遥控，也许你根本就没有用到它。从安全角度远维是一把双刃剑，方便了自己，当然也为入侵者以可乘之机，但是，不管怎样节后它的使命就完成了，建议大家关闭远维通道。就笔者所见，这经常为一些网管所忽略。甚至有些网络开通的远维通道还不止一条，某些通道自己平时几乎没有用到，随着时间的流逝就连自己也忘了。这是万万要不得的，所以作为网管的好习惯——不用的服务马上关掉，最小的服务就是最大的安全。就笔者所见及其专家的建议，大家采用的远维通道不外乎VPN、远程桌面、telnet、专门软件、专业的远维平台等。比如有些网管开启了Cisco路由器的VTY通道，然后telnet到路由器进行远维，虽然方便但很不安全，建议在节后还是关闭VTY通道，改用consol口本地连接或者通过其他的端口连接。如果你还需要使用远维通道，建议大家可对其端点、口令等进行修改。

4、入侵检测

在无人值守的这段时间里，谁也不能保证网络绝对的安全，甚至被入侵了这都是有可能的。因此，进行入侵检测也是节后网络运维管理要做的工作之一。安全检测首当其冲的应该是关键的网络节点，比如服务器、路由器、交换机等等。对于服务器的入侵检测，日志分析是必不可少的。要进行日志靠人力分析是不可能的，这里我们可借助相应的日志分析工具。当然，一个高明的入侵者他会修改日志从而隐藏自己。因此，我们还可结合其他入侵检测手段进行综合分析。比如进程、账号、服务、端口等都入侵检测中应该关注的对象。对于路由器的入侵检测(以cisco路由器为例)，我们可以从下面几个方面进行。登录路由器运行showrun命令，看看路由器的配置是否发生了变化，access-list、linevty等需要特别注意。运行showlogging查看路由器的登录日志，查看是否有异常的登录。有的时候，攻击者在登录完成后会

运行clearlogging以清除登录日志。但运行该命令后所有的登录日志都被清除，如果发现正常的登录日志被清除，那就非常可疑路由器被入侵了。另外，我们还可运行showhistory查看已经执行的命令从而确定路由器是否被入侵并运行了命令。如果运行该命令后发现有可疑的命令操作，就非常可疑了。在入侵检测中能够一定要细心抓住任何蛛丝马迹然后深入下去，如果确认被入侵要尽快更改口令。