【IT168 消息】在微软（Microsoft）最新的网络安全概念当中，微软宣称如果使用者需要真正安全的网络，使用者必须注意包括外围、网络、应用程序、资料、主机等五个方面的防卫问题。本文将集中在网络防护上，一一分析保障网络安全的四个步骤。

什么是网络防卫？

　　网络防卫涉及连接不同网络以及整体网络运作的问题，但是网络防卫并不处理外部防火墙和电话拨接这些涵盖在周边防卫当中的问题，也不包括主机防卫当中的服务器和工作站。通讯协议和路由器之类的问题，才是网络防卫涵盖的范围。

内部防火墙

　　虽然网络防卫并不包括外部防火墙，但是这并不表示网络防卫和防火墙完全无关。事实上，对于加强网络防卫的第一个建议，就是在激活内部防火墙。内部防火墙基本上和外部防火墙一样，主要的差别是内部防火墙着重于自家网络当中的防卫。这边有几个建设内部防火墙的原因：

　　试想如果黑客或病毒在外部防火墙上动手脚，穿透了外部防火墙保护。一般来说，内部网络将会暴露在攻击之下，可是如果这个时候你已经激活了内部防火墙，那么这些穿过外部防火墙的恶意封包，还是可以被内部防火墙阻挡下来。

　　另外一个主要的原因，则是因为许多攻击是发自内部网络的事实。或许你曾经听过这样的事情，不过却认为内部的攻击绝对不会发生在你的网络上。可是，通过调查很多公司当中，都有来自内部的攻击或违反信息安全的例子。其中两家公司，就因为有员工或系统管理员，觉得从公司网络上抓取资料很酷，于是就着手尝试看看可以在网络上抓到什么资料。他们宣称他们并没有恶意，只是想证明一下自己的能力，可是不管他们的动机是什么，他们的举动都破坏了网络的信息安全。我们必须在内部网络防止这种事情的发生。在其它的公司里面，则有人使用未经授权的程序，而这些程序又感染了特洛伊木马的病毒。这些特洛伊木马，通过特定的通讯端口对外发送信息。防火墙也没办法处理这种存在在内部网络上的恶意封包。

　　这样的情况也引发一个必须注意的事实：大多数外部防火墙采用的技术，都只能阻绝来自外部的封包，而会允许内部封包向外传递。我建议检查外来封包的标准，必须应用在向外传送的封包上。因为你永远不知道，特洛伊木马会不会从内部把自家网络的信息传到全世界。

　　在理想的状况下，每一台个人计算机或服务器，都应该安装内部防火墙。市场上有许多不错的个人用防火墙，像赛门铁克（Symantec）的Norton''s Personal Firewall 2003就是一个例子。不过因为Windows XP已经内建了个人防火墙，你可能一毛钱也不用花，就可以激活内部防火墙。

加密

　　建议的下一个步骤，就是把网络上所传递的信息进行加密。这可以从建置IPSec开始，这里提供一些关于建置IPSec时所必须知道的事情。

　　当你设定IPSec的时候，你可以把IPSec设成必须加密（require encryption）或请求加密（request encryption）。如果你把IPSec设成必须加密，任何尝试和你联机的机器都会被告知联机需要加密功能。如果这些机器有加密功能，那双方就会建立安全信道开始传输资料。如果对方没有IPSec加密功能，那就无法建立联机传送资料。

　　要求加密的方式则有些不同。在要求加密当中，如果尝试和你联机的机器有IPSec功能，那么就会建立安全信道，以加密的方式传送资料。但是如果和你联机的机器不支持IPSec，双方仍然会建立传输信道，只是资料会以未经加密的方式传送。

　　此外，我建议把所有的服务器规划在一个安全网络当中。这个网络应该独立一般的网络之外。每一台服务器配备两张网卡，一张用来连接主要的网络，另一张则是连接私有的服务器网络。在服务器网络当中只允许服务器加入，并配备专属的路由器或交换机。建立这样的环境之后，你在服务器之间就建立了一个专属的骨干网络。所有服务器间的通讯，包括RPC或复制的连接，都可以通过这个专属的骨干网络得到运用。这样就可以加强服务器上数据传输的安全，并增加主要网络上的带宽。

　　在这个只有服务器的网络当中，建议将IPSec设成必须加密。除非你有UNIX、Linux、Macintosh或其它非微软的服务器，不然所有的服务器应该都支持IPSec，你将会拥有完整的加密环境。所有连接到主要网络的工作站或服务器，则可以设为要求加密，以便在安全和功能上达到有非常好的化的平衡。不过IPSec并无法辨识设在不同地点的计算机的网卡，所以除非服务器只连在服务器网络上，不然你就需要将其设成要求加密，以免其它机器无法连上服务器。IPSec也不是网络上唯一的一种加密方式，你必须考虑如何保护经过网络外围的信息以及经由无线方式连接的网络。

　　无线局域网络的产品仍在演进当中，所以无线的加密方式被视为一个棘手的问题。因为无线传递的封包可能被任何装有无线网卡的笔记本计算机拦截，所以许多系统管理员，就直接把无线局域网络当作不安全的网络。不过，虽然无线局域网络有它的风险，但在某种程度上来说，无线局域网络可能比有线连接还来得安全。这是因为无线局域网络采用WEP作为加密机制。WEP加密的程度可以从40-bit到152-bit或者更高。实际的加密强度则依据最低公分母而定，例如，虽然你的无线基站支持128-bit的WEP加密，但是客户端却只有64-bit的WEP加密，最高的加密等级也就被限制在64-bit的加密。只是目前几乎所有的无线局域网络产品最少都会支持128-bit的加密。

　　许多系统管理员并未了解的事情是，虽然无线局域网络使用了WEP加密，但是这并不表示无线局域网络只能使用WEP加密。所以如果原本的网络就已经有IPSec加密，那WEP就只是附加另一层的加密。

网络隔离

　　如果公司的规模够大，公司的网站可能有专属的网页服务器。如果网页服务器没有连接后端的数据库或私有网络当中的资源，那就不需要把网页服务器放在私有网络当中。如果可以把网页服务器和私有网络分离，你就不需要担心有人利用网页服务器入侵私有网络。

　　如果你的网页服务器需要连接数据库及其它的私有网络的资源，那么建议在防火墙和网页服务器当中，架设ISA服务器。来自网络的连接将会通过ISA服务器连接网页，而不是直接连上网页服务器。ISA服务器会代理（proxy）使用者和网页服务器之间的请求。你也可以在网页服务器和数据库服务器当中，建立IPSec连接，网页服务器和ISA服务器当中则建立SSL连接。

封包监听器

　　同时，建议不定期以封包监听器（packet sniffer）检查网络，侦测还是能够穿越安全防卫的封包。这是一个检视实际网络资料的预防措施。如果你侦测到意外出现的封包，你就可以追踪封包的来源。封包监听器最大的问题是，有时候黑客会把封包监听器当作他们的工具。我曾经认为没有办法侦测到有人在我的网络上使用封包监听器。因为封包监听器只是去检视网络上每个封包的内容，既然封包监听器本身没有传送任何封包，那又要怎么侦测到这些监听器呢？

　　事实上，侦测封包监听器比你想的来得简单。你所需要的只是一台作为陷阱的计算机，一台只有你知道的工作站。先确认这台工作站拥有一个IP地址，也不属于网域的一部分，然后再把这台工作站安装在网络上，并发出一些封包。如果有人在你的网络上，使用封包监听器。监听器就会看到来自这台工作站的封包，监听器可以看到IP地址，但是却无法得知主机的名称，这时候监听器就会开始在DNS上查询这台工作站的名称。可是因为你是唯一一个知道这台工作站的人，理论上不应该有任何人在DNS上查询这台工作站。所以，一旦你在DNS的纪录文件发现类似纪录时，那就很可能有人在网络上使用封包监听器。

　　另外一个可以防范封包监听的方法，则是把路由器换成VLAN交换机。VLAN交换机会在封包的发送方和接收方建立虚拟网络，封包不会经过网络的不同计算机，而是会直接传到目的地。这样一来，封包监听就很难得到有用的信息。

　　VLAN交换机也有另一个好处。如果你使用路由器，所有的节点会共享同一个带宽，例如100Mbps的带宽必须分给所有的联机。不过在VLAN交换机当中，每一个虚拟网络都会有专属的频宽，所以100Mbps的频宽，可以同时处理好几个虚拟的100Mbps频宽。采用VLAN交换机可以同时加强信息安全和网络性能。

#$[*26072.gif*#a*#0*#0*#center*]$#