天下高月小说,听中国有声小说,长生界辰东小说

通過采用以下四個步驟，你能夠減輕保護(hù)網(wǎng)絡(luò)的壓力。下面是一些加強你的網(wǎng)絡(luò)防護(hù)的方法。　　
　　最近，微軟在宣傳如果你想要得到一個真正安全的網(wǎng)絡(luò)，你必須關(guān)注5個重要的領(lǐng)域。這些領(lǐng)域包括周邊防護(hù)，網(wǎng)絡(luò)防護(hù)，應(yīng)用防護(hù)，數(shù)據(jù)防護(hù)，和主機防護(hù)。在本文中，我將討論網(wǎng)絡(luò)防護(hù)，幫助獲得深度安全。　　

　　微軟的安全哲學(xué)是你應(yīng)該關(guān)注五個獨立的領(lǐng)域，就好象你需要獨立對它們進(jìn)行防護(hù)。這樣的話，你就能夠確保這些領(lǐng)域都得到了妥善的防護(hù)。通過獨立地關(guān)注這些領(lǐng)域，你還能夠確保當(dāng)其中一項防護(hù)受到安全威脅的時候，其他的四層防護(hù)還是能夠起效果并且保護(hù)你的網(wǎng)絡(luò)。如果你想要了解更多關(guān)于其他領(lǐng)域的信息來提高網(wǎng)絡(luò)安全性，可以參看下面的這些文章：　　

　　什么是網(wǎng)絡(luò)防護(hù)？　　

　　首先，網(wǎng)絡(luò)防護(hù)的概念顯得過于寬泛籠統(tǒng)。但是在這個領(lǐng)域內(nèi)沒有什么是多余或者是過于籠統(tǒng)的。網(wǎng)絡(luò)防護(hù)解決了包括網(wǎng)絡(luò)之間聯(lián)接的問題，把所有的網(wǎng)絡(luò)聯(lián)接成一個整個的網(wǎng)絡(luò)。網(wǎng)絡(luò)防護(hù)并不解決諸如外部防火墻或者撥號聯(lián)接的問題，周邊安全性包含了這些問題。網(wǎng)絡(luò)防護(hù)也不涵蓋單個的服務(wù)器或者工作站的問題，那是屬于主機防護(hù)的問題。網(wǎng)絡(luò)防護(hù)涵蓋了包括協(xié)議和路由器等問題。　　

　　內(nèi)部防火墻　　

　　網(wǎng)絡(luò)防護(hù)不包含外部防護(hù)墻，但這并不意味著它完全不涉及防火墻。相反，我所建議的網(wǎng)絡(luò)防護(hù)的第一步就是在可能的情況下使用內(nèi)部防火墻。內(nèi)部防火墻同外部防火墻一樣是安全的基礎(chǔ)。兩者主要的區(qū)別在于內(nèi)部防火墻的主要工作是保護(hù)你的機器不受內(nèi)部通信的傷害。有很多使用內(nèi)部防火墻的理由。　　

　　首先，想象一下，如果一個黑客或者某種病毒以某種方式控制了你的外部防火墻，那么他就可以不受防火墻阻礙地同內(nèi)部網(wǎng)絡(luò)進(jìn)行通信。通常，這意味著你的網(wǎng)絡(luò)對于外部世界完全敞開。但是，如果你有內(nèi)部防火墻，那么內(nèi)部防火墻會阻止從外部防火墻里溜進(jìn)來的惡意的數(shù)據(jù)包。　　

　　使用內(nèi)部防火墻的另一個主要的原因是很多攻擊都是內(nèi)部的。首先，你可能聽說過這種說法，并且認(rèn)為內(nèi)部攻擊不太可能出現(xiàn)在你的網(wǎng)絡(luò)中，但是我在我所工作過的每一家公司的安全部門里，都見過內(nèi)部攻擊。

　　在我曾經(jīng)工作過的兩個地方，其他部門的有些人是黑客或者對管理權(quán)狂熱愛好。他們會認(rèn)為探測網(wǎng)絡(luò)以獲得盡可能多的信息是一件很酷而且很值得炫耀的事情。在這兩個地方，他們都沒有任何主觀上的惡意（或者說他們都聲明自己沒有惡意），他們只是想在朋友面前炫耀自己能夠攻擊系統(tǒng)。不論他們的動機如何，他們確實給網(wǎng)絡(luò)安全造成了危害。你必須防范你的網(wǎng)絡(luò)受到這樣的人的攻擊。　　

　　在我工作過的其他一些地方，我看到人們未經(jīng)授權(quán)就自己安裝軟件，而這些軟件中卻包含了特洛伊木馬。這些特洛伊木馬進(jìn)入系統(tǒng)后就可以通過特定端口將你的信息廣播出去。防火墻很難阻止惡意的數(shù)據(jù)包進(jìn)入網(wǎng)絡(luò)，因為數(shù)據(jù)包已經(jīng)在網(wǎng)絡(luò)之中了。　　

　　這些事實導(dǎo)致了一個有趣的現(xiàn)象：我認(rèn)識的絕大部分技術(shù)人員都讓他們的外部防火墻阻止絕大部分流入網(wǎng)絡(luò)的通信包，但是卻對于流出的通信包卻不加限制。我建議要對流出的通信也要像對待流入的通信一樣謹(jǐn)慎，因為你永遠(yuǎn)不會知道，什么時候會有一個特洛伊木馬躲在你的網(wǎng)絡(luò)里，向外廣播你網(wǎng)絡(luò)中的信息。　　

　　內(nèi)部防火墻可以放在任何一臺電腦上或者任何一臺服務(wù)器上。市場上有一些很好的個人防火墻產(chǎn)品，比如賽門鐵克Norton Personal Firewall 2003。但是因為Windows XP自帶了一個內(nèi)置個人防火墻，所以你并不一定要為你的工作站花錢購買獨立的個人防火墻。　　

　　如果你想使用Windows XP防火墻，用鼠標(biāo)右鍵點擊“我的網(wǎng)絡(luò)”，然后從快捷菜單中選擇“屬性”來打開“網(wǎng)絡(luò)連接”窗口。接下來，用鼠標(biāo)右鍵點擊你想要保護(hù)的網(wǎng)絡(luò)聯(lián)接并選擇屬性。現(xiàn)在，選擇高級菜單，然后點擊互聯(lián)網(wǎng)連接防火墻選項。你可以使用“設(shè)置”按鈕來選擇保持開放的端口。雖然Windows XP防火墻是一個互聯(lián)網(wǎng)防火墻，它也可以被作為內(nèi)部防火墻使用。
　加密　　

　　我建議的下一個步驟對于你的網(wǎng)絡(luò)通信進(jìn)行加密。只要可能的話，就要采用IPSec。因此，你需要了解IPSec安全性。

　　如果你配置一臺機器使用IPSec，你應(yīng)該對于進(jìn)行雙向加密。如果你讓IPSec要求加密，那么當(dāng)其他的機器試圖連接到你的機器上的時候，就會被告之需要加密。如果其他機器有IPSec加密的能力，那么在通信建立的開始就能夠建立一個安全的通信通道。另一方面，如果其他機器沒有IPSec加密的能力，那么通信進(jìn)程就會被拒絕，因為所要求的加密沒有實現(xiàn)。　　

　　請求加密選項則略有不同。當(dāng)一個機器請求聯(lián)接，它也會要求加密。如果兩臺機器都支持IPSec機密，那么就會在兩臺機器之間建立起一個安全的通路，通信就開始了。如果其中一臺機器不支持IPSec加密，那么通信進(jìn)程也會開始，但是數(shù)據(jù)卻沒有被加密。　　

　　由于這個原因，我提供一些建議。首先，我建議把一個站點內(nèi)所有的服務(wù)器放在一個安全的網(wǎng)絡(luò)中。這個網(wǎng)絡(luò)應(yīng)該完全同平常的網(wǎng)絡(luò)分開。用戶需要訪問的每一臺服務(wù)器都應(yīng)該有兩塊網(wǎng)卡，一個聯(lián)接到主要網(wǎng)絡(luò)，另一個聯(lián)接到私有服務(wù)器網(wǎng)絡(luò)。這個服務(wù)器網(wǎng)絡(luò)應(yīng)該只包含服務(wù)器，而且應(yīng)該有專用的集線器或者交換機。　　

　　這樣做，你需要在服務(wù)器之間建立專用的骨干網(wǎng)。所有的基于服務(wù)器的通信，比如RPC通信或者是復(fù)制所使用的通信就能夠在專用骨干網(wǎng)里進(jìn)行。這樣，你就能夠保護(hù)基于網(wǎng)絡(luò)的通信，你也能夠提高主要網(wǎng)絡(luò)的可用帶寬的數(shù)量。　　

　　接下來，我推薦使用IPSec。對于只有服務(wù)器的網(wǎng)絡(luò)，應(yīng)該要求IPSec加密。畢竟這個網(wǎng)絡(luò)里只有服務(wù)器，所以除非你有UNIX、Linux、Macintosh或者其他非微軟的服務(wù)器，你的服務(wù)器沒有理由不支持IPSec。因此你可以很放心地要求IPSec加密。　　

　　現(xiàn)在，對于連接到重要網(wǎng)絡(luò)上的所有工作站和服務(wù)器，你應(yīng)該讓機器要求加密。這樣，你就能夠在安全性和功能性之間獲得一個優(yōu)化平衡。

　　不幸的是，IPSec不能區(qū)分在多臺家庭電腦上網(wǎng)絡(luò)適配器。因此，除非一臺服務(wù)器是處在服務(wù)器網(wǎng)絡(luò)之外，你可能會需要使用請求加密選項，否則其他的客戶端就不能夠訪問該服務(wù)器。　　

　　當(dāng)然IPSec并不是你網(wǎng)絡(luò)通信所能選擇的唯一加密方式。你還必須考慮你要如何保護(hù)通過你的網(wǎng)絡(luò)周邊以及通向你無線網(wǎng)絡(luò)的通信。　　

　　今天談?wù)摕o線加密還有點困難，因為無線網(wǎng)絡(luò)設(shè)備還在發(fā)展。大部分網(wǎng)絡(luò)管理員都認(rèn)為無線網(wǎng)絡(luò)是不安全的，因為網(wǎng)絡(luò)通信包是在開放空間傳播的，任何一個人都可以用帶有無線NIC卡的筆記本電腦截獲這些通信包。

　　雖然無線網(wǎng)絡(luò)確實存在一些風(fēng)險，但是從某種角度來說，無線網(wǎng)絡(luò)甚至比有線網(wǎng)絡(luò)更安全。這是因為無線通信主要的加密機制是WEP加密。WEP加密從40位到152位甚至更高。實際的長度取決于最低的通信參與者。例如，如果你的接入點支持128位WEP加密，但是你的一個無線網(wǎng)絡(luò)用戶設(shè)備只支持64位WEP加密，那么你就只能獲得64位加密。但是目前基本上所有的無線設(shè)備都至少支持128位加密。　

　　很多管理員并沒有意識到的事情是，雖然無線網(wǎng)絡(luò)可以使用WEP加密，但是這并不是他們能夠使用的唯一的加密方式。WEP加密僅僅是對所有通過網(wǎng)絡(luò)的通信進(jìn)行加密。它對于自己所加密的是何種類型的數(shù)據(jù)并不關(guān)心。因此，如果你已經(jīng)使用了IPSec來加密數(shù)據(jù)，那么WEP就能夠?qū)σ呀?jīng)加密的數(shù)據(jù)進(jìn)行第二重加密。
　　網(wǎng)絡(luò)隔離

　　如果你的公司非常大，那么你很有可能有一臺Web服務(wù)器作為公司網(wǎng)站的主機。如果這臺網(wǎng)絡(luò)服務(wù)器不需要訪問后臺數(shù)據(jù)庫或者你私有網(wǎng)絡(luò)中的其他資源的話，那么就沒有理由把它放在你的私有網(wǎng)絡(luò)中。既然你可以把這臺服務(wù)器和你自己的網(wǎng)絡(luò)隔離開來，那為什么要把它放在私有網(wǎng)絡(luò)內(nèi)部，給黑客一個進(jìn)入你私有網(wǎng)絡(luò)的機會呢？　　

　　如果你的Web服務(wù)器需要訪問數(shù)據(jù)庫或者私有網(wǎng)絡(luò)中的其他資源，那么我建議你在你的防火墻和網(wǎng)絡(luò)服務(wù)器之間放置一臺ISA服務(wù)器。互聯(lián)網(wǎng)用戶同ISA服務(wù)器進(jìn)行通信，而不是直接通過Web服務(wù)器訪問。ISA服務(wù)器將代理用戶和Web服務(wù)器之間的請求。你就能在Web服務(wù)器和數(shù)據(jù)庫服務(wù)器建立起一個IPSec 連接，并在Web服務(wù)器和ISA服務(wù)器之間建立起了一個SSL聯(lián)接。　　

　　包監(jiān)聽　　

　　在你已經(jīng)采取了所有必要的步驟來保護(hù)經(jīng)過你的網(wǎng)絡(luò)中的通信之后，我建議偶爾采用包監(jiān)聽來監(jiān)視網(wǎng)絡(luò)通信。這僅僅是一個預(yù)防措施，因為它幫助你了解在你的網(wǎng)絡(luò)中究竟發(fā)生了哪些類型的通信。如果你發(fā)現(xiàn)了意料不到的通信包類型，你就可以查找到這些包的來源。　　

　　協(xié)議分析器的最大問題在于它可能被黑客所利用，成為黑客手中的利器。由于包監(jiān)聽的特性，我曾經(jīng)認(rèn)為不可能探測出誰在我的網(wǎng)絡(luò)中進(jìn)行包監(jiān)聽。包監(jiān)聽僅僅是監(jiān)視線纜中發(fā)生的通信。由于包監(jiān)聽不改變通信包，那又怎么能夠知道誰在進(jìn)行監(jiān)聽呢？

　　其實檢查包監(jiān)聽比你想象的要容易得多。你所需要的僅僅是一臺機器作為誘餌。誘餌機器應(yīng)該是一臺除了你之外任何人都不知道它存在的工作站。確保你的誘餌機器有一個IP地址，但是不在域之中?，F(xiàn)在把誘餌機器連接到網(wǎng)絡(luò)中，并讓它產(chǎn)生一些通信包。如果有人在監(jiān)聽網(wǎng)絡(luò)。監(jiān)聽這就會發(fā)現(xiàn)這些由誘餌機器所發(fā)出的通信包。問題在于監(jiān)聽者會知道誘餌機器的IP地址，但是卻不知道它的主機名。通常，監(jiān)聽者會進(jìn)行一次DNS查找，試圖找到這臺機器的主機名。由于你是唯一知道這臺機器存在的人，沒有人會進(jìn)行DNS查找來尋找這臺機器。所以，如果你發(fā)現(xiàn)DNS日志中有人進(jìn)行DNS查找來查找你的誘餌機器，那么你就有理由懷疑這臺機器被利用來監(jiān)聽網(wǎng)絡(luò)了。　　

　　另一個你可以采取、用以阻止監(jiān)聽的步驟是用VLAN交換機替換掉所有現(xiàn)有的集線器。這些交換機在包的發(fā)送者和接受者創(chuàng)建虛擬網(wǎng)絡(luò)。包不再經(jīng)過網(wǎng)絡(luò)里的所有機器。它將直接從發(fā)送端發(fā)送到接受端。這意味著如果有監(jiān)聽者在監(jiān)聽你的網(wǎng)絡(luò)，他就很難獲得有用的信息。

　　這種類型的交換機還有其他的優(yōu)點。對于一個標(biāo)準(zhǔn)的集線器，所有的節(jié)點都落在同一個域中。這就意味著如果你有100 Mbps的總帶寬，那么帶寬將在所有的節(jié)點之間進(jìn)行分配。但是VLAN交換機卻不是如此，每一個虛擬LAN都有專有的帶寬，它不需要進(jìn)行分享。這就意味著一臺100 Mbps交換機能夠同時處理好幾百Mbps的通信量，所有的通信都發(fā)生在不同的虛擬網(wǎng)絡(luò)上。采用VLAN交換機能夠同時提高安全性和效率。

標(biāo)簽：沈陽哈密無錫河源青海阜陽忻州紅河

巨人網(wǎng)絡(luò)通訊聲明：本文標(biāo)題《四個步驟加強網(wǎng)絡(luò)防護(hù)》，本文關(guān)鍵詞四個,步驟,加強,網(wǎng)絡(luò),防護(hù),；如發(fā)現(xiàn)本文內(nèi)容存在版權(quán)問題，煩請?zhí)峁┫嚓P(guān)信息告之我們，我們將及時溝通與處理。本站內(nèi)容系統(tǒng)采集于網(wǎng)絡(luò)，涉及言論、版權(quán)與本站無關(guān)。

濮阳杆衣贸易有限公司

四個步驟加強網(wǎng)絡(luò)防護(hù)