【IT168 专稿】现在恶意代码目标性攻击越来越强，个人网上银行账号、游戏账号、互联网账号等都已成为新的攻击目标。可见，如果内网终端安全得不到全面保障，恶意代码势必将随意进入内部终端，阻滞防病毒软件运行、安装设置后门程序、盗窃密码，并且通过ARP欺骗感染整个内网占用网络带宽，严重影响工作效率、增加支持成本，致使公司知识产权和个人财产面临被窃取丢失的风险。

    默认设置的危害
    可见一个企业的网络安全受到威胁或者是遭到病毒的攻击，带来的损失是不可以估量的。在习惯的驱使之下，很多网络管理员在搭建企业网络的时候，一味以能用为原则，将交换机、路由器等网络设备及计算机工作在"默认"的配置之下，让企业网络面临着诸多的凶险。企业对安全有着极为苛刻的要求，要想保障企业网络的安全运营，在搭建网络中一定要远离各种"默认"!

    通常在健康运行的网络中，网络设备默认的出厂设置可能会造成不必要的网络流量甚至一些临时性的网络故障。让我们想想应用于大多数交换网络中的延伸树协议，大多数厂商都会将每个交换机端口的延伸树默认为使能。利用它可以简单快速地连接新设备，同时可以防止网络规模增长时网络转发路由循环。当接口状态改变时，例如至另一个交换机的连接丢失，采用一个被称作为拓扑改变通知的特殊桥协议数据单元。这种机制在稳定的网络环境中可以非常有效地工作，特殊桥协议数据单元出现通常也不是问题。可能导致意外结果的一个问题是当端口上的延伸树使能时，可以频繁地改变状态。

    改变默认设置规则
    即使特殊桥协议数据单元生成，当端口处于转发状态或当端口转变为转发状态时，包括每一次一个终端用户连接至网络，它都会启动并影响延伸树中的每个桥接。最差的情况是一个拥有很多用户的大型网络，用户会不断地连接或断开，网络的拓扑状态也会经常改变。其实，在企业网络中，除了路由器、交换机工作在"默认"状态下外，企业网络中的计算机的"默认"状态也不容忽视，这也是危及企业网络安全的一个不利因素。我们只有拒绝“默认”设置，网络安全才能更有保障。网络管理员在更改网络设备及计算机操作系统的各项"默认"设置时，还需要遵循如下的规则：

    1、根据网络规划做好相应的部署。诸如路由器、交换机的管理IP地址，在更改时一定要摆脱"默认"的影子，必须重新规划，尽量远离默认值。如果您想要改变路由器、交换机端口出厂默认设置，您可以使用Telnet 或终端仿真功能来访问交换机并设置端口配置。网络设备网关地址一定不要使用设备默认值。除此之外，网络设备登陆、计算机及服务器用户名及密码不能过于简单。建议不要使用跟自己相关的业务名称、生日、家庭住址等。

    2、要经常查看网络日志，查看网络是否有那一项默认设置没有改正，有没有登陆的痕迹，及时做好相应的修改。例如：访问控制列表都默认在结尾添加了“DENY  ** ANY   ANY”，非法数据包绕过了网络管理员精心设置的防病毒安全屏障。

    3、根据业务发展需求而变：单机应用环境中的"默认"值仍然会危及企业网络的安全，需要企业网络管理员根据企业网络的实际需求，重新对计算机的使用环境进行设置。如果更换了网络设备， 如果厂商不同最好事先查阅一下用户手册(特别注意默认设置)，往往默认设置会造成很多不明不白的故障。发现问题以后也不要轻易怀疑设备硬件有问题，应该多从软件及配置命令入手查找问题所在。一个小小的默认设置就将精心打造的防病毒体系完全突破，所以对于我们这些网络管理员来说每次设置后都应该仔细测试下网络状况，确保所实施的手段得以生效。

    编者按：一个小小的默认设置就将精心打造的防病毒体系完全突破，所以对于我们这些网络管理员来说每次设置后都应该仔细测试一下网络，确保所实施的手段得以生效。在以后的网管生涯中不管使用什么样的软件或硬件设备，都需要看看相关的说明，只有拒绝“默认”设置，危险才能远离我们一些，网络安全才更有保障。