四个步骤加强网络防护(4)

　　如果你的Web服务器需要访问数据库或者私有网络中的其他资源，那么我建议你在你的防火墙和网络服务器之间放置一台ISA服务器。互联网用户同ISA服务器进行通信，而不是直接通过Web服务器访问。ISA服务器将代理用户和Web服务器之间的请求。你就能在Web服务器和数据库服务器建立起一个IPSec 连接，并在Web服务器和ISA服务器之间建立起了一个SSL联接。 　　 

　　包监听 　　 

　　在你已经采取了所有必要的步骤来保护经过你的网络中的通信之后，我建议偶尔采用包监听来监视网络通信。这仅仅是一个预防措施，因为它帮助你了解在你的网络中究竟发生了哪些类型的通信。如果你发现了意料不到的通信包类型，你就可以查找到这些包的来源。 　　 

　　协议分析器的最大问题在于它可能被黑客所利用，成为黑客手中的利器。由于包监听的特性，我曾经认为不可能探测出谁在我的网络中进行包监听。包监听仅仅是监视线缆中发生的通信。由于包监听不改变通信包，那又怎么能够知道谁在进行监听呢？ 

　　其实检查包监听比你想象的要容易得多。你所需要的仅仅是一台机器作为诱饵。诱饵机器应该是一台除了你之外任何人都不知道它存在的工作站。确保你的诱饵机器有一个IP地址，但是不在域之中。现在把诱饵机器连接到网络中，并让它产生一些通信包。如果有人在监听网络。监听这就会发现这些由诱饵机器所发出的通信包。问题在于监听者会知道诱饵机器的IP地址，但是却不知道它的主机名。通常，监听者会进行一次DNS查找，试图找到这台机器的主机名。由于你是唯一知道这台机器存在的人，没有人会进行DNS查找来寻找这台机器。所以，如果你发现DNS日志中有人进行DNS查找来查找你的诱饵机器，那么你就有理由怀疑这台机器被利用来监听网络了。 　　 

　　另一个你可以采取、用以阻止监听的步骤是用VLAN交换机替换掉所有现有的集线器。这些交换机在包的发送者和接受者创建虚拟网络。包不再经过网络里的所有机器。它将直接从发送端发送到接受端。这意味着如果有监听者在监听你的网络，他就很难获得有用的信息。 

　　这种类型的交换机还有其他的优点。对于一个标准的集线器，所有的节点都落在同一个域中。这就意味着如果你有100 Mbps的总带宽，那么带宽将在所有的节点之间进行分配。但是VLAN交换机却不是如此，每一个虚拟LAN都有专有的带宽，它不需要进行分享。这就意味着一台100 Mbps交换机能够同时处理好几百Mbps的通信量，所有的通信都发生在不同的虚拟网络上。采用VLAN交换机能够同时提高安全性和效率。