我们都惧怕所谓的零日威胁(zero-threats);零日威胁发生而我们却没有任何免疫措施。而最近几年尤其是最近几个月中零日威胁发生得十分频繁。幸运的是，可以采取一些常识方法强化网络层，抵御这些威胁。

　　也许你并不确切地知道这些病毒是怎样发作，但是你却可以配置一些能够阻止此类病毒发作的保护要素，具体如下:

　　使用虚拟局域网(Virtual LANs，VLANs)，如果可以，隔离网络中的一些区域。

　　虚拟局域网(VLANs)实际上指网络中的站点不拘泥于所处的物理位置,而可以根据需要灵活地加入不同的逻辑子网中的一种网络技术。虚拟局域网(VLANs)可以轻松地从其它网络站点划分重要区域。例如，你可以为服务器构建一个虚拟局域网(VLANs)而为客户机构建另一个虚拟局域网(VLANs)，或者你可以基于部门隔离机器，或者你选定的其它任何方案。在其中创建一个虚拟局域网(VLANs)不需要新建一个保护层，但是它却构成其他加强安全防御能力技术的基础，同时还为网络中最重要区域限定严密安全程序提供了方法。

　　Implement Internet Protocol Security (IPsec)安全协议保护独立传送内容

　　IPsec以加密方式将通信进行封装，通常安全性很高，不过它也支持将通信限制在特定主机间，主要是以主机是否有有效证书为判断标准。以这种方式，被IPsec限制的主机将忽略病毒，即使该病毒会对网络进行攻击。同时，用这种方式使用IPsec构成使用网络访问控制的基础，本文下一部分将具体说明这一问题。

　　配置入侵检测系统(intrusion detection system ，IDS)

　　入侵检测系统通常使用启发算法，能够在杀毒软件或软件提供商定义病毒之前检测发现网络或系统中有违反安全策略的行为和被攻击的迹象。同时，万一你想检测看病毒是如何侵入你的网络(一种病毒居然穿过你的防御)，那入侵检测系统(IDS)会为取证分析 (forensic analysis)提供基础。

　　采用正式防火墙等边界保护(perimeter protection)

　　这种方式几乎是理所当然的保护措施(这就是为什么我把这一条放到中间来说)，但是边界保护是使网络免受各种方式零日威胁的最重要、最有效、最佳方式。为了帮助阻止攻击漏洞的病毒袭击网络，立即打开防火墙。当然，使用比现在更好的防火墙，同时如果你还没有进行监控，打开防火墙的实时监控功能。

　　引入网络访问控制，防止流氓机器访问网络

　　恶性软件或恶意网络用户潜入网络的最简便方法，也是已被证明的最普遍的方法，不是通过网络防火墙的漏洞、也不是通过暴力穷举密码攻击、更不是通过在公司总部进行其它方式攻击。而是通过移动用户――当他们试图在路途中链接到公司业务网络上时或通过贴附网络访问者进入公司网络。这两种机器都不是网络安全策略防范的主要对象，这就是问题所在。像思科(Cisco)的NAC、Windows Server 2003中的NAQC可能还包括即将推出的Longhorn Server中的网络控制点(network access point ，NAP)等网络访问控制产品都是阻止这种攻击者的好方法。

　　锁住无线访问端口，同时使用Wi-Fi Protected Access 或 WPA2等安全措施最大程度地保护其免受无线网络攻击

　　使用媒体访问控制(MAC)过滤，同时不广泛传播服务集标识符(Service Set Identifier，SSID)这就是公司设置无线网络的方法。WEP (wired equivalent privacy，有线等效加密)已经被多次攻击，甚至连一些新手也可以轻而易举地访问只有WEP保护的无线网络。使用WPA2，真正解决无线网络的安全问题。

查看本文国际来源