通过回收以下四个步调,你可以或许减轻掩护网络的压力。下面是一些增强你的网络防护的要领。
最近,微软在宣传假如你想要获得一个真正安详的网络,你必需存眷5个重要的规模。这些规模包罗周边防护,网络防护,应用防护,数据防护,和主机防护。在本文中,我将接头网络防护,辅佐得到深度安详。
微软的安详哲学是你应该存眷五个独立的规模,就好象你需要独立对它们举办防护。这样的话,你就可以或许确保这些规模都获得了妥善的防护。通过独立地存眷这些规模,你还可以或许确保当个中一项防护受到安详威胁的时候,其他的四层防护照旧可以或许起结果而且掩护你的网络。假如你想要相识更多关于其他规模的信息来提高网络安详性,可以参看下面的这些文章:
什么是网络防护?
首先,网络防护的观念显得过于宽泛笼统。可是在这个规模内没有什么是多余可能是过于笼统的。网络防护办理了包罗网络之间联接的问题,把所有的网络联接成一个整个的网络。网络防护并不办理诸如外部防火墙可能拨号联接的问题,周边安详性包括了这些问题。网络防护也不涵盖单个的处事器可能事情站的问题,那是属于主机防护的问题。网络防护涵盖了包罗协议和路由器等问题。
内部防火墙
网络防护不包括外部防护墙,但这并不料味着它完全不涉及防火墙。相反,我所发起的网络防护的第一步就是在大概的环境下利用内部防火墙。内部防火墙同外部防火墙一样是安详的基本。两者主要的区别在于内部防火墙的主要事情是掩护你的呆板不受内部通信的伤害。有许多利用内部防火墙的来由。
首先,想象一下,假如一个黑客可能某种病毒以某种方法节制了你的外部防火墙,那么他就可以不受防火墙阻碍地同内部网络举办通信。凡是,这意味着你的网络对付外部世界完全敞开。可是,假如你有内部防火墙,那么内部防火墙会阻止从外部防火墙里溜进来的恶意的数据包。
利用内部防火墙的另一个主要的原因是许多进攻都是内部的。首先,你大概传闻过这种说法,而且认为内部进攻不太大概呈此刻你的网络中,可是我在我所事情过的每一家公司的安详部分里,都见过内部进攻。
在我曾经事情过的两个处所,其他部分的有些人是黑客可能对打点权狂热喜好。他们会认为探测网络以得到尽大概多的信息是一件很酷并且很值得炫耀的工作。在这两个处所,他们都没有任何主观上的恶意(可能说他们都声明本身没有恶意),他们只是想在伴侣眼前炫耀本身可以或许进攻系统。岂论他们的念头如何,他们确实给网络安详造成了危害。你必需防御你的网络受到这样的人的进攻。
在我事情过的其他一些处所,我看到人们未经授权就本身安装软件,而这些软件中却包括了特洛伊木马。这些特洛伊木马进入系统后就可以通过特定端口将你的信息广播出去。防火墙很难阻止恶意的数据包进入网络,因为数据包已经在网络之中了。
这些事实导致了一个有趣的现象:我认识的绝大部门技能人员都让他们的外部防火墙阻止绝大部门流入网络的通信包,可是却对付流出的通信包却不加限制。我发起要对流出的通信也要像看待流入的通信一样审慎,因为你永远不会知道,什么时候会有一个特洛伊木马躲在你的网络里,向外广播你网络中的信息。
内部防火墙可以放在任何一台电脑上可能任何一台处事器上。市场上有一些很好的小我私家防火墙产物,好角逐门铁克Norton Personal Firewall 2003。可是因为Windows XP自带了一个内置小我私家防火墙,所以你并不必然要为你的事情站费钱购置独立的小我私家防火墙。
假如你想利用Windows XP防火墙,用鼠标右键点击“我的网络”,然后从快捷菜单中选择“属性”来打开“网络毗连”窗口。接下来,用鼠标右键点击你想要掩护的网络联接并选择属性。此刻,选择高级菜单,然后点击互联网毗连防火墙选项。你可以利用“配置”按钮来选择保持开放的端口。固然Windows XP防火墙是一个互联网防火墙,它也可以被作为内部防火墙利用。
加密
我发起的下一个步调对付你的网络通信举办加密。只要大概的话,就要回收IPSec。因此,你需要相识IPSec安详性。
假如你设置一台呆板利用IPSec,你应该对付举办双向加密。假如你让IPSec要求加密,那么当其他的呆板试图毗连到你的呆板上的时候,就会被告之需要加密。假如其他呆板有IPSec加密的本领,那么在通信成立的开始就可以或许成立一个安详的通信通道。另一方面,假如其他呆板没有IPSec加密的本领,那么通信历程就会被拒绝,因为所要求的加密没 有实现。
请求加密选项则略有差异。当一个呆板请求联接,它也会要求加密。假如两台呆板都支持IPSec机要,那么就会在两台呆板之间成立起一个安详的通路,通信就开始了。假如个中一台呆板不支持IPSec加密,那么通信历程也会开始,可是数据却没有 被加密。
由于这个原因,我提供一些发起。首先,我发起把一个站点内所有的处事器放在一个安详的网络中。这个网络应该完全同泛泛的网络分隔。用户需要会见的每一台处事器都应该有两块网卡,一个联接到主要网络,另一个联接到私有处事器网络。这个处事器网络应该只包括处事器,并且应该有专用的集线器可能互换机。
这样做,你需要在处事器之间成立专用的主干网。所有的基于处事器的通信,好比RPC通信可能是复制所利用的通信就可以或许在专用主干网里举办。这样,你就可以或许掩护基于网络的通信,你也可以或许提高主要网络的可用带宽的数量。
接下来,我推荐利用IPSec。对付只有处事器的网络,应该要求IPSec加密。究竟这个网络里只有处事器,所以除非你有UNIX、Linux、Macintosh可能其他非微软的处事器,你的处事器没有来由不支持IPSec。因此你可以很安心地要求IPSec加密。
此刻,对付毗连到重要网络上的所有事情站和处事器,你应该让呆板要求加密。这样,你就可以或许在安详性和成果性之间得到一个优化均衡。
不幸的是,IPSec不能区分在多台家庭电脑上网络适配器。因此,除非一台处事器是处在处事器网络之外,你大概会需要利用请求加密选项 ,不然其他的客户端就不可以或许会见该处事器。
虽然IPSec并不是你网络通信所能选择的独一加密方法。你还必需思量你要如何掩护通过你的网络周边以及通向你无线网络的通信。
本日谈论无线加密尚有点坚苦,因为无线网络设备还在成长。大部门网络打点员都认为无线网络是不安详的,因为网络通信包是在开放空间流传的,任何一小我私家都可以用带有无线NIC卡的条记本电脑截获这些通信包。
固然无线网络确实存在一些风险,可是从某种角度来说,无线网络甚至比有线网络更安详。这是因为无线通信主要的加密机制是WEP加密。WEP加密从40位到152位甚至更高。实际的长度取决于最低的通信参加者。譬喻,假如你的接入点支持128位WEP加密,可是你的一个无线网络用户设备只支持64位WEP加密,那么你就只能得到64位加密。可是今朝根基上所有的无线设备都至少支持128位加密。
许多打点员并没有意识到的工作是,固然无线网络可以利用WEP加密,可是这并不是他们可以或许利用的独一的加密方法。WEP加密仅仅是对所有通过网络的通信举办加密。它对付本身所加密的是何种范例的数据并不体贴。因此,假如你已经利用了IPSec来加密数据,那么WEP就可以或许对已经加密的数据举办第二重加密。
网络断绝
假如你的公司很是大,那么你很有大概有一台Web处事器作为公司网站的主机。假如这台网络处事器不需要会见靠山数据库可能你私有网络中的其他资源的话,那么就没有来由把它放在你的私有网络中。既然你可以把这台处事器和你本身的网络隔分开来,那为什么要把它放在私有网络内部,给黑客一个进入你私有网络的时机呢?
假如你的Web处事器需要会见数据库可能私有网络中的其他资源,那么我发起你在你的防火墙和网络处事器之间安排一台ISA处事器。互联网用户同ISA处事器举办通信,而不是直接通过Web处事器会见。ISA处事器将署理用户和Web处事器之间的请求。你就能在Web处事器和数据库处事器成立起一个IPSec 毗连,并在Web处事器和ISA处事器之间成立起了一个SSL联接。
包监听
在你已经采纳了所有须要的步调来掩护颠末你的网络中的通信之后,我发起偶然回收包监听来监督网络通信。这仅仅是一个防范法子,因为它辅佐你相识在你的网络中毕竟产生了哪些范例的通信。假如你发明白料想不到的通信包范例,你就可以查找到这些包的来历。
协议阐明器的最大问题在于它大概被黑客所操作,成为黑客手中的利器。由于包监听的特性,我曾经认为不行能探测出谁在我的网络中举办包监听。包监听仅仅是监督线缆中产生的通信。由于包监听不改变通信包,那又怎么可以或许知道谁在举办监听呢?
其实查抄包监听比你想象的要容易得多。你所需要的仅仅是一台呆板作为诱饵。诱饵呆板应该是一台除了你之外任何人都不知道它存在的事情站。确保你的诱饵呆板有一个IP地点,可是不在域之中。此刻把诱饵呆板毗连到网络中,并让它发生一些通信包。假如有人在监听网络。监听这就会发明这些由诱饵呆板所发出的通信包。问题在于监听者会知道诱饵呆板的IP地点,可是却不知道它的主机名。凡是,监听者会举办一次DNS查找,试图找到这台呆板的主机名。由于你是独一知道这台呆板存在的人,没有人会举办DNS查找来寻找这台呆板。所以,假如你发明DNS日志中有人举办DNS查找来查找你的诱饵呆板,那么你就有来由猜疑这台呆板被操作来监听网络了。
另一个你可以采纳、用以阻止监听的步调是用VLAN互换机替换掉所有现有的集线器。这些互换机在包的发送者和接管者建设虚拟网络。包不再颠末网络里的所有呆板。它将直接从发送端发送到接管端。这意味着假如有监听者在监听你的网络,他就很可贵到有用的信息。
这种范例的互换机尚有其他的利益。对付一个尺度的集线器,所有的节点都落在同一个域中。这就意味着假如你有100 Mbps的总带宽,那么带宽将在所有的节点之间举办分派。可是VLAN互换机却不是如此,每一个虚拟LAN都有专有的带宽,它不需要举办分享。这就意味着一台100 Mbps互换性可以或许同时处理惩罚好几百Mbps的通信量,所有的通信都产生在差异的虚拟网络上。回收VLAN互换性可以或许同时提高安详性和效率。