通過采用以下四個步驟,你能夠減輕保護網絡的壓力。下面是一些加強你的網絡防護的方法。
最近,微軟在宣傳如果你想要得到一個真正安全的網絡,你必須關注5個重要的領域。這些領域包括周邊防護,網絡防護,應用防護,數據防護,和主機防護。在本文中,我將討論網絡防護,幫助獲得深度安全。
微軟的安全哲學是你應該關注五個獨立的領域,就好象你需要獨立對它們進行防護。這樣的話,你就能夠確保這些領域都得到了妥善的防護。通過獨立地關注這些領域,你還能夠確保當其中一項防護受到安全威脅的時候,其他的四層防護還是能夠起效果並且保護你的網絡。如果你想要了解更多關於其他領域的信息來提高網絡安全性,可以參看下面的這些文章:
加強你網絡中主機的防護
利用這些策略防護你的網絡周邊
用這些建議防護你的數據
加強應用防護 防止網絡攻擊
什麼是網絡防護?
首先,網絡防護的概念顯得過於寬泛籠統。但是在這個領域內沒有什麼是多余或者是過於籠統的。網絡防護解決了包括網絡之間聯接的問題,把所有的網絡聯接成一個整個的網絡。網絡防護並不解決諸如外部防火牆或者撥號聯接的問題,周邊安全性包含了這些問題。網絡防護也不涵蓋單個的服務器或者工作站的問題,那是屬於主機防護的問題。網絡防護涵蓋了包括協議和路由器等問題。
內部防火牆
網絡防護不包含外部防護牆,但這並不意味著它完全不涉及防火牆。相反,我所建議的網絡防護的第一步就是在可能的情況下使用內部防火牆。內部防火牆同外部防火牆一樣是安全的基礎。兩者主要的區別在於內部防火牆的主要工作是保護你的機器不受內部通信的傷害。有很多使用內部防火牆的理由。
首先,想象一下,如果一個黑客或者某種病毒以某種方式控制了你的外部防火牆,那麼他就可以不受防火牆阻礙地同內部網絡進行通信。通常,這意味著你的網絡對於外部世界完全敞開。但是,如果你有內部防火牆,那麼內部防火牆會阻止從外部防火牆裡溜進來的惡意的數據包。
使用內部防火牆的另一個主要的原因是很多攻擊都是內部的。首先,你可能聽說過這種說法,並且認為內部攻擊不太可能出現在你的網絡中,但是我在我所工作過的每一家公司的安全部門裡,都見過內部攻擊。
在我曾經工作過的兩個地方,其他部門的有些人是黑客或者對管理權狂熱愛好。他們會認為探測網絡以獲得盡可能多的信息是一件很酷而且很值得炫耀的事情。在這兩個地方,他們都沒有任何主觀上的惡意(或者說他們都聲明自己沒有惡意),他們只是想在朋友面前炫耀自己能夠攻擊系統。不論他們的動機如何,他們確實給網絡安全造成了危害。你必須防范你的網絡受到這樣的人的攻擊。
在我工作過的其他一些地方,我看到人們未經授權就自己安裝軟件,而這些軟件中卻包含了特洛伊木馬。這些特洛伊木馬進入系統後就可以通過特定端口將你的信息廣播出去。防火牆很難阻止惡意的數據包進入網絡,因為數據包已經在網絡之中了。
這些事實導致了一個有趣的現象:我認識的絕大部分技術人員都讓他們的外部防火牆阻止絕大部分流入網絡的通信包,但是卻對於流出的通信包卻不加限制。我建議要對流出的通信也要像對待流入的通信一樣謹慎,因為你永遠不會知道,什麼時候會有一個特洛伊木馬躲在你的網絡裡,向外廣播你網絡中的信息。
內部防火牆可以放在任何一台電腦上或者任何一台服務器上。市場上有一些很好的個人防火牆產品,比如賽門鐵克Norton Personal Firewall 2003。但是因為Windows XP自帶了一個內置個人防火牆,所以你並不一定要為你的工作站花錢購買獨立的個人防火牆。
如果你想使用Windows XP防火牆,用鼠標右鍵點擊“我的網絡”,,然後從快捷菜單中選擇“屬性”來打開“網絡連接”窗口。接下來,用鼠標右鍵點擊你想要保護的網絡聯接並選擇屬性。現在,選擇高級菜單,然後點擊互聯網連接防火牆選項。你可以使用“設置”按鈕來選擇保持開放的端口。雖然Windows XP防火牆是一個互聯網防火牆,它也可以被作為內部防火牆使用。
加密
我建議的下一個步驟對於你的網絡通信進行加密。只要可能的話,就要采用IPSec。因此,你需要了解IPSec安全性。
如果你配置一台機器使用IPSec,你應該對於進行雙向加密。如果你讓IPSec要求加密,那麼當其他的機器試圖連接到你的機器上的時候,就會被告之需要加密。如果其他機器有IPSec加密的能力,那麼在通信建立的開始就能夠建立一個安全的通信通道。另一方面,如果其他機器沒有IPSec加密的能力,那麼通信進程就會被拒絕,因為所要求的加密沒有實現。
請求加密選項則略有不同。當一個機器請求聯接,它也會要求加密。如果兩台機器都支持IPSec機密,那麼就會在兩台機器之間建立起一個安全的通路,通信就開始了。如果其中一台機器不支持IPSec加密,那麼通信進程也會開始,但是數據卻沒有被加密。
由於這個原因,我提供一些建議。首先,我建議把一個站點內所有的服務器放在一個安全的網絡中。這個網絡應該完全同平常的網絡分開。用戶需要訪問的每一台服務器都應該有兩塊網卡,一個聯接到主要網絡,另一個聯接到私有服務器網絡。這個服務器網絡應該只包含服務器,而且應該有專用的集線器或者交換機。
這樣做,你需要在服務器之間建立專用的骨干網。所有的基於服務器的通信,比如RPC通信或者是復制所使用的通信就能夠在專用骨干網裡進行。這樣,你就能夠保護基於網絡的通信,你也能夠提高主要網絡的可用帶寬的數量。
接下來,我推薦使用IPSec。對於只有服務器的網絡,應該要求IPSec加密。畢竟這個網絡裡只有服務器,所以除非你有UNIX、Linux、Macintosh或者其他非微軟的服務器,你的服務器沒有理由不支持IPSec。因此你可以很放心地要求IPSec加密。
現在,對於連接到重要網絡上的所有工作站和服務器,你應該讓機器要求加密。這樣,你就能夠在安全性和功能性之間獲得一個優化平衡。
不幸的是,IPSec不能區分在多台家庭電腦上網絡適配器。因此,除非一台服務器是處在服務器網絡之外,你可能會需要使用請求加密選項,否則其他的客戶端就不能夠訪問該服務器。
當然IPSec並不是你網絡通信所能選擇的唯一加密方式。你還必須考慮你要如何保護通過你的網絡周邊以及通向你無線網絡的通信。
今天談論無線加密還有點困難,因為無線網絡設備還在發展。大部分網絡管理員都認為無線網絡是不安全的,因為網絡通信包是在開放空間傳播的,任何一個人都可以用帶有無線NIC卡的筆記本電腦截獲這些通信包。
雖然無線網絡確實存在一些風險,但是從某種角度來說,無線網絡甚至比有線網絡更安全。這是因為無線通信主要的加密機制是WEP加密。WEP加密從40位到152位甚至更高。實際的長度取決於最低的通信參與者。例如,如果你的接入點支持128位WEP加密,但是你的一個無線網絡用戶設備只支持64位WEP加密,那麼你就只能獲得64位加密。但是目前基本上所有的無線設備都至少支持128位加密。
很多管理員並沒有意識到的事情是,雖然無線網絡可以使用WEP加密,但是這並不是他們能夠使用的唯一的加密方式。WEP加密僅僅是對所有通過網絡的通信進行加密。它對於自己所加密的是何種類型的數據並不關心。因此,如果你已經使用了IPSec來加密數據,那麼WEP就能夠對已經加密的數據進行第二重加密。
網絡隔離
如果你的公司非常大,那麼你很有可能有一台Web服務器作為公司網站的主機。如果這台網絡服務器不需要訪問後台數據庫或者你私有網絡中的其他資源的話,那麼就沒有理由把它放在你的私有網絡中。既然你可以把這台服務器和你自己的網絡隔離開來,那為什麼要把它放在私有網絡內部,給黑客一個進入你私有網絡的機會呢?
如果你的Web服務器需要訪問數據庫或者私有網絡中的其他資源,那麼我建議你在你的防火牆和網絡服務器之間放置一台ISA服務器。互聯網用戶同ISA服務器進行通信,而不是直接通過Web服務器訪問。ISA服務器將代理用戶和Web服務器之間的請求。你就能在Web服務器和數據庫服務器建立起一個IPSec連接,並在Web服務器和ISA服務器之間建立起了一個SSL聯接。
包監聽
在你已經采取了所有必要的步驟來保護經過你的網絡中的通信之後,我建議偶爾采用包監聽來監視網絡通信。這僅僅是一個預防措施,因為它幫助你了解在你的網絡中究竟發生了哪些類型的通信。如果你發現了意料不到的通信包類型,你就可以查找到這些包的來源。
協議分析器的最大問題在於它可能被黑客所利用,成為黑客手中的利器。由於包監聽的特性,我曾經認為不可能探測出誰在我的網絡中進行包監聽。包監聽僅僅是監視線纜中發生的通信。由於包監聽不改變通信包,那又怎麼能夠知道誰在進行監聽呢?
其實檢查包監聽比你想象的要容易得多。你所需要的僅僅是一台機器作為誘餌。誘餌機器應該是一台除了你之外任何人都不知道它存在的工作站。確保你的誘餌機器有一個IP地址,但是不在域之中。現在把誘餌機器連接到網絡中,並讓它產生一些通信包。如果有人在監聽網絡。監聽這就會發現這些由誘餌機器所發出的通信包。問題在於監聽者會知道誘餌機器的IP地址,但是卻不知道它的主機名。通常,監聽者會進行一次DNS查找,試圖找到這台機器的主機名。由於你是唯一知道這台機器存在的人,沒有人會進行DNS查找來尋找這台機器。所以,如果你發現DNS日志中有人進行DNS查找來查找你的誘餌機器,那麼