四个步骤加强网络防护(2)

　　在我工作过的其他一些地方，我看到人们未经授权就自己安装软件，而这些软件中却包含了特洛伊木马。这些特洛伊木马进入系统后就可以通过特定端口将你的信息广播出去。防火墙很难阻止恶意的数据包进入网络，因为数据包已经在网络之中了。 　　 

　　这些事实导致了一个有趣的现象：我认识的绝大部分技术人员都让他们的外部防火墙阻止绝大部分流入网络的通信包，但是却对于流出的通信包却不加限制。我建议要对流出的通信也要像对待流入的通信一样谨慎，因为你永远不会知道，什么时候会有一个特洛伊木马躲在你的网络里，向外广播你网络中的信息。 　　 

　　内部防火墙可以放在任何一台电脑上或者任何一台服务器上。市场上有一些很好的个人防火墙产品，比如赛门铁克Norton Personal Firewall 2003。但是因为Windows XP自带了一个内置个人防火墙，所以你并不一定要为你的工作站花钱购买独立的个人防火墙。 　　 

　　如果你想使用Windows XP防火墙，用鼠标右键点击“我的网络”，然后从快捷菜单中选择“属性”来打开“网络连接”窗口。接下来，用鼠标右键点击你想要保护的网络联接并选择属性。现在，选择高级菜单，然后点击互联网连接防火墙选项。你可以使用“设置”按钮来选择保持开放的端口。虽然Windows XP防火墙是一个互联网防火墙，它也可以被作为内部防火墙使用。
　加密 　　 

　　我建议的下一个步骤对于你的网络通信进行加密。只要可能的话，就要采用IPSec。因此，你需要了解IPSec安全性。 

　　如果你配置一台机器使用IPSec，你应该对于进行双向加密。如果你让IPSec要求加密，那么当其他的机器试图连接到你的机器上的时候，就会被告之需要加密。如果其他机器有IPSec加密的能力，那么在通信建立的开始就能够建立一个安全的通信通道。另一方面，如果其他机器没有IPSec加密的能力，那么通信进程就会被拒绝，因为所要求的加密没 有实现。 　　 

　　请求加密选项则略有不同。当一个机器请求联接，它也会要求加密。如果两台机器都支持IPSec机密，那么就会在两台机器之间建立起一个安全的通路，通信就开始了。如果其中一台机器不支持IPSec加密，那么通信进程也会开始，但是数据却没有 被加密。 　　 

　　由于这个原因，我提供一些建议。首先，我建议把一个站点内所有的服务器放在一个安全的网络中。这个网络应该完全同平常的网络分开。用户需要访问的每一台服务器都应该有两块网卡，一个联接到主要网络，另一个联接到私有服务器网络。这个服务器网络应该只包含服务器，而且应该有专用的集线器或者交换机。