通過采用以下四個步驟，你能夠減輕保護網(wǎng)絡的壓力。下面是一些加強你的網(wǎng)絡防護的方法。 
 

最近，微軟在宣傳如果你想要得到一個真正安全的網(wǎng)絡，你必須關注5個重要的領域。這些領域包括周邊防護，網(wǎng)絡防護，應用防護，數(shù)據(jù)防護，和主機防護。在本文中，我將討論網(wǎng)絡防護，幫助獲得深度安全。

作者提示

微軟的安全哲學是你應該關注五個獨立的領域，就好象你需要獨立對它們進行防護。這樣的話，你就能夠確保這些領域都得到了妥善的防護。通過獨立地關注這些領域，你還能夠確保當其中一項防護受到安全威脅的時候，其他的四層防護還是能夠起效果并且保護你的網(wǎng)絡。如果你想要了解更多關于其他領域的信息來提高網(wǎng)絡安全性，可以參看下面的這些文章：

加強你網(wǎng)絡中主機的防護

利用這些策略防護你的網(wǎng)絡周邊

用這些建議防護你的數(shù)據(jù)

加強應用防護 防止網(wǎng)絡攻擊
什么是網(wǎng)絡防護？

首先，網(wǎng)絡防護的概念顯得過于寬泛籠統(tǒng)。但是在這個領域內(nèi)沒有什么是多余或者是過于籠統(tǒng)的。網(wǎng)絡防護解決了包括網(wǎng)絡之間聯(lián)接的問題，把所有的網(wǎng)絡聯(lián)接成一個整個的網(wǎng)絡。網(wǎng)絡防護并不解決諸如外部防火墻或者撥號聯(lián)接的問題，周邊安全性包含了這些問題。網(wǎng)絡防護也不涵蓋單個的服務器或者工作站的問題，那是屬于主機防護的問題。網(wǎng)絡防護涵蓋了包括協(xié)議和路由器等問題。

內(nèi)部防火墻

網(wǎng)絡防護不包含外部防護墻，但這并不意味著它完全不涉及防火墻。相反，我所建議的網(wǎng)絡防護的第一步就是在可能的情況下使用內(nèi)部防火墻。內(nèi)部防火墻同外部防火墻一樣是安全的基礎。兩者主要的區(qū)別在于內(nèi)部防火墻的主要工作是保護你的機器不受內(nèi)部通信的傷害。有很多使用內(nèi)部防火墻的理由。

首先，想象一下，如果一個黑客或者某種病毒以某種方式控制了你的外部防火墻，那么他就可以不受防火墻阻礙地同內(nèi)部網(wǎng)絡進行通信。通常，這意味著你的網(wǎng)絡對于外部世界完全敞開。但是，如果你有內(nèi)部防火墻，那么內(nèi)部防火墻會阻止從外部防火墻里溜進來的惡意的數(shù)據(jù)包。

使用內(nèi)部防火墻的另一個主要的原因是很多攻擊都是內(nèi)部的。首先，你可能聽說過這種說法，并且認為內(nèi)部攻擊不太可能出現(xiàn)在你的網(wǎng)絡中，但是我在我所工作過的每一家公司的安全部門里，都見過內(nèi)部攻擊。

在我曾經(jīng)工作過的兩個地方，其他部門的有些人是黑客或者對管理權狂熱愛好。他們會認為探測網(wǎng)絡以獲得盡可能多的信息是一件很酷而且很值得炫耀的事情。在這兩個地方，他們都沒有任何主觀上的惡意（或者說他們都聲明自己沒有惡意），他們只是想在朋友面前炫耀自己能夠攻擊系統(tǒng)。不論他們的動機如何，他們確實給網(wǎng)絡安全造成了危害。你必須防范你的網(wǎng)絡受到這樣的人的攻擊。

在我工作過的其他一些地方，我看到人們未經(jīng)授權就自己安裝軟件，而這些軟件中卻包含了特洛伊木馬。這些特洛伊木馬進入系統(tǒng)后就可以通過特定端口將你的信息廣播出去。防火墻很難阻止惡意的數(shù)據(jù)包進入網(wǎng)絡，因為數(shù)據(jù)包已經(jīng)在網(wǎng)絡之中了。

這些事實導致了一個有趣的現(xiàn)象：我認識的絕大部分技術人員都讓他們的外部防火墻阻止絕大部分流入網(wǎng)絡的通信包，但是卻對于流出的通信包卻不加限制。我建議要對流出的通信也要像對待流入的通信一樣謹慎，因為你永遠不會知道，什么時候會有一個特洛伊木馬躲在你的網(wǎng)絡里，向外廣播你網(wǎng)絡中的信息。

內(nèi)部防火墻可以放在任何一臺電腦上或者任何一臺服務器上。市場上有一些很好的個人防火墻產(chǎn)品，比如賽門鐵克Norton Personal Firewall 2003。但是因為Windows XP自帶了一個內(nèi)置個人防火墻，所以你并不一定要為你的工作站花錢購買獨立的個人防火墻。

如果你想使用Windows XP防火墻，用鼠標右鍵點擊“我的網(wǎng)絡”，然后從快捷菜單中選擇“屬性”來打開“網(wǎng)絡連接”窗口。接下來，用鼠標右鍵點擊你想要保護的網(wǎng)絡聯(lián)接并選擇屬性。現(xiàn)在，選擇高級菜單，然后點擊互聯(lián)網(wǎng)連接防火墻選項。你可以使用“設置”按鈕來選擇保持開放的端口。雖然Windows XP防火墻是一個互聯(lián)網(wǎng)防火墻，它也可以被作為內(nèi)部防火墻使用。

加密

我建議的下一個步驟對于你的網(wǎng)絡通信進行加密。只要可能的話，就要采用IPSec。因此，你需要了解IPSec安全性。

如果你配置一臺機器使用IPSec，你應該對于進行雙向加密。如果你讓IPSec要求加密，那么當其他的機器試圖連接到你的機器上的時候，就會被告之需要加密。如果其他機器有IPSec加密的能力，那么在通信建立的開始就能夠建立一個安全的通信通道。另一方面，如果其他機器沒有IPSec加密的能力，那么通信進程就會被拒絕，因為所要求的加密沒有實現(xiàn)。

請求加密選項則略有不同。當一個機器請求聯(lián)接，它也會要求加密。如果兩臺機器都支持IPSec機密，那么就會在兩臺機器之間建立起一個安全的通路，通信就開始了。如果其中一臺機器不支持IPSec加密，那么通信進程也會開始，但是數(shù)據(jù)卻沒有被加密。

由于這個原因，我提供一些建議。首先，我建議把一個站點內(nèi)所有的服務器放在一個安全的網(wǎng)絡中。這個網(wǎng)絡應該完全同平常的網(wǎng)絡分開。用戶需要訪問的每一臺服務器都應該有兩塊網(wǎng)卡，一個聯(lián)接到主要網(wǎng)絡，另一個聯(lián)接到私有服務器網(wǎng)絡。這個服務器網(wǎng)絡應該只包含服務器，而且應該有專用的集線器或者交換機。

這樣做，你需要在服務器之間建立專用的骨干網(wǎng)。所有的基于服務器的通信，比如RPC通信或者是復制所使用的通信就能夠在專用骨干網(wǎng)里進行。這樣，你就能夠保護基于網(wǎng)絡的通信，你也能夠提高主要網(wǎng)絡的可用帶寬的數(shù)量。

接下來，我推薦使用IPSec。對于只有服務器的網(wǎng)絡，應該要求IPSec加密。畢竟這個網(wǎng)絡里只有服務器，所以除非你有UNIX、Linux、Macintosh或者其他非微軟的服務器，你的服務器沒有理由不支持IPSec。因此你可以很放心地要求IPSec加密。

現(xiàn)在，對于連接到重要網(wǎng)絡上的所有工作站和服務器，你應該讓機器要求加密。這樣，你就能夠在安全性和功能性之間獲得一個優(yōu)化平衡。

不幸的是，IPSec不能區(qū)分在多臺家庭電腦上網(wǎng)絡適配器。因此，除非一臺服務器是處在服務器網(wǎng)絡之外，你可能會需要使用請求加密選項，否則其他的客戶端就不能夠訪問該服務器。

當然IPSec并不是你網(wǎng)絡通信所能選擇的唯一加密方式。你還必須考慮你要如何保護通過你的網(wǎng)絡周邊以及通向你無線網(wǎng)絡的通信。

    今天談論無線加密還有點困難，因為無線網(wǎng)絡設備還在發(fā)展。大部分網(wǎng)絡管理員都認為無線網(wǎng)絡是不安全的，因為網(wǎng)絡通信包是在開放空間傳播的，任何一個人都可以用帶有無線NIC卡的筆記本電腦截獲這些通信包。

    雖然無線網(wǎng)絡確實存在一些風險，但是從某種角度來說，無線網(wǎng)絡甚至比有線網(wǎng)絡更安全。這是因為無線通信主要的加密機制是WEP加密。WEP加密從40位到152位甚至更高。實際的長度取決于最低的通信參與者。例如，如果你的接入點支持128位WEP加密，但是你的一個無線網(wǎng)絡用戶設備只支持64位WEP加密，那么你就只能獲得64位加密。但是目前基本上所有的無線設備都至少支持128位加密。

    很多管理員并沒有意識到的事情是，雖然無線網(wǎng)絡可以使用WEP加密，但是這并不是他們能夠使用的唯一的加密方式。WEP加密僅僅是對所有通過網(wǎng)絡的通信進行加密。它對于自己所加密的是何種類型的數(shù)據(jù)并不關心。因此，如果你已經(jīng)使用了IPSec來加密數(shù)據(jù)，那么WEP就能夠?qū)σ呀?jīng)加密的數(shù)據(jù)進行第二重加密。