四个步骤加强网络防护(3)
这样做,你需要在服务器之间建立专用的骨干网。所有的基于服务器的通信,比如RPC通信或者是复制所使用的通信就能够在专用骨干网里进行。这样,你就能够保护基于网络的通信,你也能够提高主要网络的可用带宽的数量。
接下来,我推荐使用IPSec。对于只有服务器的网络,应该要求IPSec加密。毕竟这个网络里只有服务器,所以除非你有UNIX、Linux、Macintosh或者其他非微软的服务器,你的服务器没有理由不支持IPSec。因此你可以很放心地要求IPSec加密。
现在,对于连接到重要网络上的所有工作站和服务器,你应该让机器要求加密。这样,你就能够在安全性和功能性之间获得一个优化平衡。
不幸的是,IPSec不能区分在多台家庭电脑上网络适配器。因此,除非一台服务器是处在服务器网络之外,你可能会需要使用请求加密选项 ,否则其他的客户端就不能够访问该服务器。
当然IPSec并不是你网络通信所能选择的唯一加密方式。你还必须考虑你要如何保护通过你的网络周边以及通向你无线网络的通信。
今天谈论无线加密还有点困难,因为无线网络设备还在发展。大部分网络管理员都认为无线网络是不安全的,因为网络通信包是在开放空间传播的,任何一个人都可以用带有无线NIC卡的笔记本电脑截获这些通信包。
虽然无线网络确实存在一些风险,但是从某种角度来说,无线网络甚至比有线网络更安全。这是因为无线通信主要的加密机制是WEP加密。WEP加密从40位到152位甚至更高。实际的长度取决于最低的通信参与者。例如,如果你的接入点支持128位WEP加密,但是你的一个无线网络用户设备只支持64位WEP加密,那么你就只能获得64位加密。但是目前基本上所有的无线设备都至少支持128位加密。
很多管理员并没有意识到的事情是,虽然无线网络可以使用WEP加密,但是这并不是他们能够使用的唯一的加密方式。WEP加密仅仅是对所有通过网络的通信进行加密。它对于自己所加密的是何种类型的数据并不关心。因此,如果你已经使用了IPSec来加密数据,那么WEP就能够对已经加密的数据进行第二重加密。
网络隔离
如果你的公司非常大,那么你很有可能有一台Web服务器作为公司网站的主机。如果这台网络服务器不需要访问后台数据库或者你私有网络中的其他资源的话,那么就没有理由把它放在你的私有网络中。既然你可以把这台服务器和你自己的网络隔离开来,那为什么要把它放在私有网络内部,给黑客一个进入你私有网络的机会呢?
内容版权声明:除非注明,否则皆为本站原创文章。