某客户的UPS变得不受控制，而且一半的设备被去除，包括主要防火墙和若干以太网交换机。问题是他们的主要IT人员也说不出个所以然，只是把问题扔给我们，这如同重建其网络。一切结束后，我们从整个修复过程中简单总结出了以下五点：

1.密码：必须整理出一本密码本，其中要记录用于每个部分的紧急“根”，“管理”密码。而不是将这些密码记在脑子里，并且要将其保存在行政人员能随时拿到的安全的地方。最好是将紧急用户从普通验证系统中分离出来。换句话说，最好是由RADIUS服务器控制的密码是私有的。不过，一旦发生故障或是RADIUS瘫痪，密码本就十分重要。

2.基本的拓扑：如果你不能用几幅图片较快地解释网络的架构，那就会出问题。基本的拓扑信息显示了互联网，内网，防火墙和路由等之间的关系。至少还要添加IP地址和子网掩码。随着各网络中VLAN，子网和多区域防火墙的增加，以前的“追踪网线”的策略已经无法在设备瘫痪的情况下告诉我们网络的结构。即便不是发生网络故障，对网络结构的了解也是对网络操作展开讨论或寻求技术支持的前提。最重要的是更新拓扑数据并非难事，也就是说花哨的图案和布局往往有些碍事儿。

3.IP地址管理：如果你的公司很大，或许你会使用一些收费产品或本国制造的工具来完成IP地址分配。如果没有这样做，请确认你是否在使用能告诉你谁在使用IP地址的网络安全文档以及其使用意图。DNS也需要这些信息，只有这样，转发和取消的查找才能正常运行。从列表和DNS着手对网络进行诊断可以节约时间，确保你不会犯大错以及用同一IP指派两个设备。如果你用ping弄明白了是否有人在使用IP地址，那就可以了解到需要修复的安全问题和网络不足。当你从事这项操作的时候，请确保没有程序连接到没有显示出IP地址的网络。

4.配置备份：每个设备都有一个配置，而你必须对配置进行备份——最好是备份到独立的系统上，即便网络瘫痪也可以照常访问。设备越复杂，恢复起来越困难，比方，防火墙。这意味着实时更新是一项重要的任务。如果你在等人制作这些备份，马上改变这种方式，转而使用可以自动保存设备配置的工具。

5.哲学：网络安全的问题不断在变化，每个人对此问题的见解也不同。对于关心网络安全变更的团队而言，随着时间的推移，他们在保持一致性方面的基本指导思想会丧失。例如，当编写防火墙规则时，你或许有一套添加对象(如网络和服务)的标准方法。记录这些标准和惯例，这样才能保持一致性且容易让人明白。

将这几点贯彻到位，就可以加速解决大大小小的网络灾难。不过这些不仅仅适用于出错的网络，还适用于日常操作以及任何网络的发展。

责任编辑：Hoeny