一直以来，企业网管都在为网络安全费尽心机，可各种各样的网络安全问题却不请自来，这也令不少网管备感焦虑。周密的安全防范措施，完善的监管体系，企业网络为何还会有诸多的安全漏洞呢？民间有句俗语说得好，“冰冻三尺，非一日之寒”，企业网络的安全亦是如此。要想真正保障企业网络的安全，还应从网络规划开始。

    从技术角度讲，周密的安全防范措施，必须构筑在一个合理的网络架构上，而且还需要具备相关安全功能的网络设备才能实现。打个比方来说，防火墙可以对企业网络安全进行加固，如果企业网络路由器不支持防火墙，各种基于IP的过滤规则哪来的用武之地？显然，网络规划对于企业网络安全有着举足轻重的作用。

    设备采购紧绷安全这根弦
    “病从口入”是深得用户认可的一句至理名言，这句话应用到企业网络安全中也不无道理。企业网络建设是保障网络安全的一个重要环节，如果不严格管理，“疾病”将从这里进入，危害企业网络的安全。

    每位企业网管都非常清楚，一些安全防范措施，需要网络设备的具体功能才可支持。例如，为了保障企业网络的安全，通常会限制外部网络的人Ping路由器的WAN口。如果路由器不具备忽略来自WAN口的Ping这一项安全设置，企业网络的安全又该如何实现呢？正因于此，采购网络设备时，安全功能不可忽视。就目前的网络安全现状来说，必须具备诸如访问列表等控制，IP过滤和MAC地址过滤等功能。更重要的是，路由器要具备防网络攻击的功能，因为网络攻击已经成为威胁企业网络安全的一个重大安全隐患。图一

 网络设备的安全功能列表

     除了具备相关的安全功能之外，路由器自身的性能指标也要从安全方面考虑。以DDoS攻击为例，其实质是通过大流量的数据流让网络设备失去响应，达到攻击的目的。为此，路由器的数据吞吐量必须能够满足企业网络的需求，而且要有一定的富裕，不然，网络数据流量一旦超出路由器的承受能力，企业网络必将陷于瘫痪状态。无需攻击，网络就瘫痪了，网络安全更是无从谈起。

     除了路由器之外，交换机的安全功能也不容忽视。因为诸如划分VLAN等功能，也必须考虑。从表面来看，划分VLAN似乎与网络安全风马牛不相及，实际上，通过划分VLAN，可以控制用户访问权限和逻辑网段大小，将不同用户群划分在不同VLAN，从而提高交换式网络的整体性能和安全性。网络设备是构筑一个固若金汤企业网络的锐器，为此，网络设备的采购必须紧绷安全这根弦，这也是企业网络安全的一大保障。

    组建网络必须远离种种默认
    网络规划，不仅包含网络设备采购，还包括网络组建。购买了网络设备，将所有的网络设备用网线等介质连接起来，这是组建企业网络的过程。可是，大多数网管通常会忽略一个问题，默认设置的问题。路由器有默认管理IP，有默认用户名，默认密码，工作在种种默认设置的网络，有何安全可言？为此，组建企业网络，必须远离种种默认。 许多网管认为远离默认设置是一件非常简单的事情，将默认的设置更改掉就可以了。可是，要想真正远离这些默认设置对企业网络的安全威胁，仅仅更改一下种种默认设置是不够的。下面，我们分别说一下如何远离各种主要的默认设置。

    1、默认管理IP：路由器，以及支持网管的交换机，都会有默认的管理IP。很多网络设备的默认IP地址是192.168.1.1，很多网管更改默认管理IP时，习惯将管理IP改为192.168.1.X，其中X是从2－254的任意一个数字。其实，这样的更改并不安全，因为更改后的管理IP与默认IP仍然在同一网段，简单一扫描就能得到默认管理IP。要想真正远离默认管理IP，建议更改IP地址时，更改为不同网段的IP地址。图二

 交换机的默认管理IP

    2、默认用户名：管理路由器或交换机，不仅需要用户名，还需要口令，而默认用户名是罕有网管去更改的。网络设备的默认用户名不是秘密，这无疑会影响网络安全，为此必须更改默认的用户名。在更改默认用户名时，不要用企业的名字，也不要用自己的名字，防止入侵者猜测。有条件的话，可以用专业的软件生成默认的用户名，这样防止他人的猜测。

    3、默认密码：在网络这个虚拟的世界中，密码就是一张通行证。有了密码，可以管理整个网络，而破坏者一旦拿到了密码，网络的安全便受到了威胁。只要知道设备型号，就可以通过互联网查找到设备的默认密码。网络搭建完成之后，必须在第一时间内将默认密码更改掉，避免他人入侵或破坏企业网络。

    除默认管理IP、默认用户名和密码之外，企业网络管理软件的登录信息也需要进行更改，总之，企业网络搭建完成之后，种种默认必须远离，这样才能保障企业网络的安全。

    网管平台规划莫忘安全
    为了方便管理，网管还会为企业网络搭建网管平台，其目的是监控网络工作状态，也可以更改网络配置。网管平台方便网管管理网络的同时，也是一种风险，因为网管平台的权限非常大，为此，规划网管平台时，也不要忘记安全。

    网管平台的最大风险，来自登录验证这一块。传统的登录模式是基于用户名和密码的验证，通过嗅探及种植木马的方法，可以非常轻松的套取到用户名和密码，这样，企业网络将再无安全可言。为此，建议网管平台使用基于IP＋帐号＋密码的验证方式，这样最大限度的保障网管平台的安全。同时，定期更改网管平台的登录密码，定期检查日志文件，查看有无可疑的登录行为。图三

网管平台登录帐号

    另外，一些网管为了方便管理，通常会设置远程登录，这对于网管平台是致命的。建议关闭网管平台的远程登录功能。

    结束语：肆虐疯狂的病毒，恶意网络攻击考验着企业网络的安全，而企业网管一味的在后期管理上下功夫。殊不知，要想真正保障企业网络的安全，必须从网络规划开始。如果网络规划时就没有考虑到安全，后期的安全岂不是亡羊补牢，为时已晚？在网络安全形势严峻的今天，网络安全应该从网络规划开始。