主页 > 经验 >
为你的网络加压四个步骤加强网络防护 加强网络防护的方法
为你的网络加压四个步骤加强网络防护 加强网络防护的方法 通过采用以下四个步骤,你能够减轻保护网络的压力。下面是一些加强你的网络防护的方法。
最近,微软在宣传如果你想要得到一个真正安全的网络,你必须关注5个重要的领域。这些领域包括周边防护,网络防护,应用防护,数据防护,和主机防护。在本文中,我将讨论网络防护,帮助获得深度安全。
微软的安全哲学是你应该关注五个独立的领域,就好象你需要独立对它们进行防护。这样的话,你就能够确保这些领域都得到了妥善的防护。通过独立地关注这些领域,你还能够确保当其中一项防护受到安全威胁的时候,其他的四层防护还是能够起效果并且保护你的网络。如果你想要了解更多关于其他领域的信息来提高网络安全性,可以参看下面的这些文章:
什么是网络防护?
首先,网络防护的概念显得过于宽泛笼统。但是在这个领域内没有什么是多余或者是过于笼统的。网络防护解决了包括网络之间联接的问题,把所有的网络联接成一个整个的网络。网络防护并不解决诸如外部防火墙或者拨号联接的问题,周边安全性包含了这些问题。网络防护也不涵盖单个的服务器或者工作站的问题,那是属于主机防护的问题。网络防护涵盖了包括协议和路由器等问题。
内部防火墙
网络防护不包含外部防护墙,但这并不意味着它完全不涉及防火墙。相反,我所建议的网络防护的第一步就是在可能的情况下使用内部防火墙。内部防火墙同外部防火墙一样是安全的基础。两者主要的区别在于内部防火墙的主要工作是保护你的机器不受内部通信的伤害。有很多使用内部防火墙的理由。
首先,想象一下,如果一个黑客或者某种病毒以某种方式控制了你的外部防火墙,那么他就可以不受防火墙阻碍地同内部网络进行通信。通常,这意味着你的网络对于外部世界完全敞开。但是,如果你有内部防火墙,那么内部防火墙会阻止从外部防火墙里溜进来的恶意的数据包。
使用内部防火墙的另一个主要的原因是很多攻击都是内部的。首先,你可能听说过这种说法,并且认为内部攻击不太可能出现在你的网络中,但是我在我所工作过的每一家公司的安全部门里,都见过内部攻击。
在我曾经工作过的两个地方,其他部门的有些人是黑客或者对管理权狂热爱好。他们会认为探测网络以获得尽可能多的信息是一件很酷而且很值得炫耀的事情。在这两个地方,他们都没有任何主观上的恶意(或者说他们都声明自己没有恶意),他们只是想在朋友面前炫耀自己能够攻击系统。不论他们的动机如何,他们确实给网络安全造成了危害。你必须防范你的网络受到这样的人的攻击。
在我工作过的其他一些地方,我看到人们未经授权就自己安装软件,而这些软件中却包含了特洛伊木马。这些特洛伊木马进入系统后就可以通过特定端口将你的信息广播出去。防火墙很难阻止恶意的数据包进入网络,因为数据包已经在网络之中了。
这些事实导致了一个有趣的现象:我认识的绝大部分技术人员都让他们的外部防火墙阻止绝大部分流入网络的通信包,但是却对于流出的通信包却不加限制。我建议要对流出的通信也要像对待流入的通信一样谨慎,因为你永远不会知道,什么时候会有一个特洛伊木马躲在你的网络里,向外广播你网络中的信息。
内部防火墙可以放在任何一台电脑上或者任何一台服务器上。市场上有一些很好的个人防火墙产品,比如赛门铁克Norton Personal Firewall 2003。但是因为Windows XP自带了一个内置个人防火墙,所以你并不一定要为你的工作站花钱购买独立的个人防火墙。
如果你想使用Windows XP防火墙,用鼠标右键点击“我的网络”,然后从快捷菜单中选择“属性”来打开“网络连接”窗口。接下来,用鼠标右键点击你想要保护的网络联接并选择属性。现在,选择高级菜单,然后点击互联网连接防火墙选项。你可以使用“设置”按钮来选择保持开放的端口。虽然Windows XP防火墙是一个互联网防火墙,它也可以被作为内部防火墙使用。
加密
我建议的下一个步骤对于你的网络通信进行加密。只要可能的话,就要采用IPSec。因此,你需要了解IPSec安全性。
如果你配置一台机器使用IPSec,你应该对于进行双向加密。如果你让IPSec要求加密,那么当其他的机器试图连接到你的机器上的时候,就会被告之需要加密。如果其他机器有IPSec加密的能力,那么在通信建立的开始就能够建立一个安全的通信通道。另一方面,如果其他机器没有IPSec加密的能力,那么通信进程就会被拒绝,因为所要求的加密没 有实现。
请求加密选项则略有不同。当一个机器请求联接,它也会要求加密。如果两台机器都支持IPSec机密,那么就会在两台机器之间建立起一个安全的通路,通信就开始了。如果其中一台机器不支持IPSec加密,那么通信进程也会开始,但是数据却没有 被加密。
由于这个原因,我提供一些建议。首先,我建议把一个站点内所有的服务器放在一个安全的网络中。这个网络应该完全同平常的网络分开。用户需要访问的每一台服务器都应该有两块网卡,一个联接到主要网络,另一个联接到私有服务器网络。这个服务器网络应该只包含服务器,而且应该有专用的集线器或者交换机。
这样做,你需要在服务器之间建立专用的骨干网。所有的基于服务器的通信,比如RPC通信或者是复制所使用的通信就能够在专用骨干网里进行。这样,你就能够保护基于网络的通信,你也能够提高主要网络的可用带宽的数量。
接下来,我推荐使用IPSec。对于只有服务器的网络,应该要求IPSec加密。毕竟这个网络里只有服务器,所以除非你有UNIX、linux、Macintosh或者其他非微软的服务器,你的服务器没有理由不支持IPSec。因此你可以很放心地要求IPSec加密。
现在,对于连接到重要网络上的所有工作站和服务器,你应该让机器要求加密。这样,你就能够在安全性和功能性之间获得一个优化平衡。
不幸的是,IPSec不能区分在多台家庭电脑上网络适配器。因此,除非一台服务器是处在服务器网络之外,你可能会需要使用请求加密选项 ,否则其他的客户端就不能够访问该服务器。
当然IPSec并不是你网络通信所能选择的唯一加密方式。你还必须考虑你要如何保护通过你的网络周边以及通向你无线网络的通信。
最近,微软在宣传如果你想要得到一个真正安全的网络,你必须关注5个重要的领域。这些领域包括周边防护,网络防护,应用防护,数据防护,和主机防护。在本文中,我将讨论网络防护,帮助获得深度安全。
微软的安全哲学是你应该关注五个独立的领域,就好象你需要独立对它们进行防护。这样的话,你就能够确保这些领域都得到了妥善的防护。通过独立地关注这些领域,你还能够确保当其中一项防护受到安全威胁的时候,其他的四层防护还是能够起效果并且保护你的网络。如果你想要了解更多关于其他领域的信息来提高网络安全性,可以参看下面的这些文章:
什么是网络防护?
首先,网络防护的概念显得过于宽泛笼统。但是在这个领域内没有什么是多余或者是过于笼统的。网络防护解决了包括网络之间联接的问题,把所有的网络联接成一个整个的网络。网络防护并不解决诸如外部防火墙或者拨号联接的问题,周边安全性包含了这些问题。网络防护也不涵盖单个的服务器或者工作站的问题,那是属于主机防护的问题。网络防护涵盖了包括协议和路由器等问题。
内部防火墙
网络防护不包含外部防护墙,但这并不意味着它完全不涉及防火墙。相反,我所建议的网络防护的第一步就是在可能的情况下使用内部防火墙。内部防火墙同外部防火墙一样是安全的基础。两者主要的区别在于内部防火墙的主要工作是保护你的机器不受内部通信的伤害。有很多使用内部防火墙的理由。
首先,想象一下,如果一个黑客或者某种病毒以某种方式控制了你的外部防火墙,那么他就可以不受防火墙阻碍地同内部网络进行通信。通常,这意味着你的网络对于外部世界完全敞开。但是,如果你有内部防火墙,那么内部防火墙会阻止从外部防火墙里溜进来的恶意的数据包。
使用内部防火墙的另一个主要的原因是很多攻击都是内部的。首先,你可能听说过这种说法,并且认为内部攻击不太可能出现在你的网络中,但是我在我所工作过的每一家公司的安全部门里,都见过内部攻击。
在我曾经工作过的两个地方,其他部门的有些人是黑客或者对管理权狂热爱好。他们会认为探测网络以获得尽可能多的信息是一件很酷而且很值得炫耀的事情。在这两个地方,他们都没有任何主观上的恶意(或者说他们都声明自己没有恶意),他们只是想在朋友面前炫耀自己能够攻击系统。不论他们的动机如何,他们确实给网络安全造成了危害。你必须防范你的网络受到这样的人的攻击。
在我工作过的其他一些地方,我看到人们未经授权就自己安装软件,而这些软件中却包含了特洛伊木马。这些特洛伊木马进入系统后就可以通过特定端口将你的信息广播出去。防火墙很难阻止恶意的数据包进入网络,因为数据包已经在网络之中了。
这些事实导致了一个有趣的现象:我认识的绝大部分技术人员都让他们的外部防火墙阻止绝大部分流入网络的通信包,但是却对于流出的通信包却不加限制。我建议要对流出的通信也要像对待流入的通信一样谨慎,因为你永远不会知道,什么时候会有一个特洛伊木马躲在你的网络里,向外广播你网络中的信息。
内部防火墙可以放在任何一台电脑上或者任何一台服务器上。市场上有一些很好的个人防火墙产品,比如赛门铁克Norton Personal Firewall 2003。但是因为Windows XP自带了一个内置个人防火墙,所以你并不一定要为你的工作站花钱购买独立的个人防火墙。
如果你想使用Windows XP防火墙,用鼠标右键点击“我的网络”,然后从快捷菜单中选择“属性”来打开“网络连接”窗口。接下来,用鼠标右键点击你想要保护的网络联接并选择属性。现在,选择高级菜单,然后点击互联网连接防火墙选项。你可以使用“设置”按钮来选择保持开放的端口。虽然Windows XP防火墙是一个互联网防火墙,它也可以被作为内部防火墙使用。
加密
我建议的下一个步骤对于你的网络通信进行加密。只要可能的话,就要采用IPSec。因此,你需要了解IPSec安全性。
如果你配置一台机器使用IPSec,你应该对于进行双向加密。如果你让IPSec要求加密,那么当其他的机器试图连接到你的机器上的时候,就会被告之需要加密。如果其他机器有IPSec加密的能力,那么在通信建立的开始就能够建立一个安全的通信通道。另一方面,如果其他机器没有IPSec加密的能力,那么通信进程就会被拒绝,因为所要求的加密没 有实现。
请求加密选项则略有不同。当一个机器请求联接,它也会要求加密。如果两台机器都支持IPSec机密,那么就会在两台机器之间建立起一个安全的通路,通信就开始了。如果其中一台机器不支持IPSec加密,那么通信进程也会开始,但是数据却没有 被加密。
由于这个原因,我提供一些建议。首先,我建议把一个站点内所有的服务器放在一个安全的网络中。这个网络应该完全同平常的网络分开。用户需要访问的每一台服务器都应该有两块网卡,一个联接到主要网络,另一个联接到私有服务器网络。这个服务器网络应该只包含服务器,而且应该有专用的集线器或者交换机。
这样做,你需要在服务器之间建立专用的骨干网。所有的基于服务器的通信,比如RPC通信或者是复制所使用的通信就能够在专用骨干网里进行。这样,你就能够保护基于网络的通信,你也能够提高主要网络的可用带宽的数量。
接下来,我推荐使用IPSec。对于只有服务器的网络,应该要求IPSec加密。毕竟这个网络里只有服务器,所以除非你有UNIX、linux、Macintosh或者其他非微软的服务器,你的服务器没有理由不支持IPSec。因此你可以很放心地要求IPSec加密。
现在,对于连接到重要网络上的所有工作站和服务器,你应该让机器要求加密。这样,你就能够在安全性和功能性之间获得一个优化平衡。
不幸的是,IPSec不能区分在多台家庭电脑上网络适配器。因此,除非一台服务器是处在服务器网络之外,你可能会需要使用请求加密选项 ,否则其他的客户端就不能够访问该服务器。
当然IPSec并不是你网络通信所能选择的唯一加密方式。你还必须考虑你要如何保护通过你的网络周边以及通向你无线网络的通信。
- 最近发表
- 赞助商链接