雖然稱為個人防火墻，但這類軟件提供了兩個主要的功能。

　　·端口阻塞
　　·連接追蹤

　　你還可以拒絕特定的IP地址。這些程序并不是真的防火墻。而且，大多數(shù)的個人防火墻軟件并不適合做服務(wù)器的安全解決方案。

　　流行的軟件

　　流行的防火墻軟件包括：

　　·Network Ice’s Black Ice和Black Ice Defender
　　·McAffee’s ConSeal
　　·Zone Labs’Zone Alarm

　　雖然大多數(shù)的個人防火墻產(chǎn)品是針對客戶端系統(tǒng)的，但NetworkIce同樣也適合對高性能的產(chǎn)品提供支持。它們是ICEcap和BlackIce。后者是主機級的入侵監(jiān)測軟件的代表。

　　IPSec和加密

　　許多公司越來越重視內(nèi)部的攻擊。為了解決這種問題，你可以建議應(yīng)用IPSec和個人加密。PGP程序是簡單地應(yīng)用IPSec來幫助建立有效的局域網(wǎng)和廣域網(wǎng)級別的VPN解決方案的實例。

　　個人加密產(chǎn)品包括象BestCrypt這樣的程序。這些軟件有助于公司確保文件，目錄甚至是整個硬盤的保密性。這些操作系統(tǒng)的附件可以幫助確保數(shù)據(jù)的機密。

　　加密和安全策略的一致性

　　其實，有些公司不希望使用個人加密，因為不希望員工加密的文件連管理者和IT人員也解不開。因此，如果你建議了這種解決方案，你需要準(zhǔn)備建立Key escrow系統(tǒng)來統(tǒng)一管理加密和解密。

　　審計可以建立在多種級別上。例如，如果你在Windows Primary Domain Controller（PDC）實施了審計，則該策略將應(yīng)用于整個域。審計還可以發(fā)生在操作系統(tǒng)級別。例如，你可以象前面課程中所學(xué)的審計登錄失敗和系統(tǒng)關(guān)閉。最后，你可以在資源級別實施審計，這些資源包括文件和目錄。

　　修補系統(tǒng)漏洞

　　審計人員的工作就是發(fā)現(xiàn)系統(tǒng)漏洞并修補它們。操作系統(tǒng)的hot fixes和service packs是修補系統(tǒng)漏洞的主要手段。你可以升級TCP/IP堆棧，或者，甚至應(yīng)用Ipv6。

　　NT中的TCP序列

　　知道Service Pack5出現(xiàn)之前，windowsNT使用的TCP序列機制是很容易被預(yù)測的。雖然序列號可以從隨機的數(shù)值開始，但是隨后接收的包會在序列上加一。攻擊者通常會利用這種可以預(yù)測的序列數(shù)，因為這允許他們進行劫持攻擊。雖然由SP5提供的序列機制也沒有像Linux和UNIX操作系統(tǒng)中的復(fù)雜，但仍然建議安裝最新的Service Pack 6a版本。

　　Ipv6

　　雖然Ipv6無法實施在每種場合，但它迅速成為一種選擇。IPv6使用了加密和驗證機制，現(xiàn)在主流的操作系統(tǒng)如WindowsNT,Linux 6.1和Solaris都支持IPv6。在本書寫作的時候，選擇IPv6作為唯一的協(xié)議會限制訪問Internet，但是在某些情況下，對隔離的局域網(wǎng)使用IPv6會達到更高的安全效果。

　　IPv6提供了下列的安全特性：

　　·加強的驗證機制（通過驗證擴展頭）減小了被spoofing和hijacking攻擊的可能性。
　　·數(shù)據(jù)加密（通過Encrypted Security Payload擴展頭）減小了被嗅探攻擊的可能性。

　　想獲得關(guān)于IPv6的更多信息，請訪問http://www.ipv6.org。這個站點包含了最新的有關(guān)IPv6發(fā)展的信息，所有與協(xié)議相關(guān)的RFC文件，和所有支持IPv6的操作系統(tǒng)和程序。

　　升級和替代服務(wù)

　　通常你需要升級和替代已經(jīng)存在的服務(wù)。在進行更改時，請考慮下列的步驟：

　　·研究新的產(chǎn)品。問問自己它是否適合你的網(wǎng)絡(luò)和商業(yè)情況。
　　·確定需要多少時間來實施這些變化。
　　·在把它們應(yīng)用到產(chǎn)品之前徹底地進行測試。
　　·要考慮到這些升級和替代會影響其它服務(wù)。大多數(shù)的網(wǎng)絡(luò)主機之間是相互影響的。這些新的服務(wù)會引起這些問題嗎？
　　·確定是否需要對最終用戶進行培訓(xùn)。

　　Secure Shell（SSH）

　　Telnet,rlogin和rsh非常有用。它們允許你遠(yuǎn)程操作服務(wù)器就象在本地工作一樣。Rexec程序允許你不用提供密碼就可以從遠(yuǎn)程在服務(wù)器上運行命令。然而，這些服務(wù)都是以明文的方式傳輸信息。Secure Shell(SSH)是最常見的替代這些服務(wù)的方法。在本文寫作時，SSH2是最新的版本。

　　SSH提供的安全服務(wù)

　　SSH提供兩項基本的服務(wù)：

　　·數(shù)據(jù)保密：由于服務(wù)器首先發(fā)送它的公鑰給客戶端，所以數(shù)據(jù)通道是加密的。然后客戶端使用服務(wù)器的公鑰對所有信息加密。當(dāng)服務(wù)器收到加密的信息后，使用自己的私鑰對信息進行解密。
　　·驗證：使用上面談到的公鑰，兩個用戶交換彼此的公鑰然后使用公鑰進行驗證。這種機制的好處是在網(wǎng)絡(luò)上不會傳輸用戶名和密碼的信息。

　　你需要理解SSH首先加密了數(shù)據(jù)通道，然后運行各種各樣的驗證方法。缺省情況下，Secure Shell使用22端口，允許你使用公鑰進行加密。SSH2使用DSA數(shù)字簽名算法，這種算法與RSA公鑰加密相似，但是沒有專利。當(dāng)然，SSH2可以使用RSA算法。