網(wǎng)絡(luò)隔離

如果你的公司非常大，那么你很有可能有一臺Web服務(wù)器作為公司網(wǎng)站的主機。如果這臺網(wǎng)絡(luò)服務(wù)器不需要訪問后臺數(shù)據(jù)庫或者你私有網(wǎng)絡(luò)中的其他資源的話，那么就沒有理由把它放在你的私有網(wǎng)絡(luò)中。既然你可以把這臺服務(wù)器和你自己的網(wǎng)絡(luò)隔離開來，那為什么要把它放在私有網(wǎng)絡(luò)內(nèi)部，給黑客一個進入你私有網(wǎng)絡(luò)的機會呢？

如果你的Web服務(wù)器需要訪問數(shù)據(jù)庫或者私有網(wǎng)絡(luò)中的其他資源，那么我建議你在你的防火墻和網(wǎng)絡(luò)服務(wù)器之間放置一臺ISA服務(wù)器�；ヂ�(lián)網(wǎng)用戶同ISA服務(wù)器進行通信，而不是直接通過Web服務(wù)器訪問。ISA服務(wù)器將代理用戶和Web服務(wù)器之間的請求。你就能在Web服務(wù)器和數(shù)據(jù)庫服務(wù)器建立起一個IPSec連接，并在Web服務(wù)器和ISA服務(wù)器之間建立起了一個SSL聯(lián)接。

包監(jiān)聽

在你已經(jīng)采取了所有必要的步驟來保護經(jīng)過你的網(wǎng)絡(luò)中的通信之后，我建議偶爾采用包監(jiān)聽來監(jiān)視網(wǎng)絡(luò)通信。這僅僅是一個預(yù)防措施，因為它幫助你了解在你的網(wǎng)絡(luò)中究竟發(fā)生了哪些類型的通信。如果你發(fā)現(xiàn)了意料不到的通信包類型，你就可以查找到這些包的來源。

協(xié)議分析器的最大問題在于它可能被黑客所利用，成為黑客手中的利器。由于包監(jiān)聽的特性，我曾經(jīng)認為不可能探測出誰在我的網(wǎng)絡(luò)中進行包監(jiān)聽。包監(jiān)聽僅僅是監(jiān)視線纜中發(fā)生的通信。由于包監(jiān)聽不改變通信包，那又怎么能夠知道誰在進行監(jiān)聽呢？

其實檢查包監(jiān)聽比你想象的要容易得多。你所需要的僅僅是一臺機器作為誘餌。誘餌機器應(yīng)該是一臺除了你之外任何人都不知道它存在的工作站。確保你的誘餌機器有一個IP地址，但是不在域之中�，F(xiàn)在把誘餌機器連接到網(wǎng)絡(luò)中，并讓它產(chǎn)生一些通信包。如果有人在監(jiān)聽網(wǎng)絡(luò)。監(jiān)聽這就會發(fā)現(xiàn)這些由誘餌機器所發(fā)出的通信包。問題在于監(jiān)聽者會知道誘餌機器的IP地址，但是卻不知道它的主機名。通常，監(jiān)聽者會進行一次DNS查找，試圖找到這臺機器的主機名。由于你是唯一知道這臺機器存在的人，沒有人會進行DNS查找來尋找這臺機器。所以，如果你發(fā)現(xiàn)DNS日志中有人進行DNS查找來查找你的誘餌機器，那么你就有理由懷疑這臺機器被利用來監(jiān)聽網(wǎng)絡(luò)了。

  另一個你可以采取、用以阻止監(jiān)聽的步驟是用VLAN交換機替換掉所有現(xiàn)有的集線器。這些交換機在包的發(fā)送者和接受者創(chuàng)建虛擬網(wǎng)絡(luò)。包不再經(jīng)過網(wǎng)絡(luò)里的所有機器。它將直接從發(fā)送端發(fā)送到接受端。這意味著如果有監(jiān)聽者在監(jiān)聽你的網(wǎng)絡(luò)，他就很難獲得有用的信息。

  這種類型的交換機還有其他的優(yōu)點。對于一個標準的集線器，所有的節(jié)點都落在同一個域中。這就意味著如果你有100 Mbps的總帶寬，那么帶寬將在所有的節(jié)點之間進行分配。但是VLAN交換機卻不是如此，每一個虛擬LAN都有專有的帶寬，它不需要進行分享。這就意味著一臺100 Mbps交換機能夠同時處理好幾百Mbps的通信量，所有的通信都發(fā)生在不同的虛擬網(wǎng)絡(luò)上。采用VLAN交換機能夠同時提高安全性和效率。