当前位置: 首页 > 图文教程 > 网络安全 > 安全基础 > 四个步骤加强网络防护(2)

安全基础
找出安全漏洞 QQ盗号软件后门分析与反击
网络安全技术 再谈跨站脚本攻击与防御
掌控PC 如何应对僵尸主机及僵尸网络
如何在Windows中构建蜜罐?
分析并清除web服务器上的网页木马
基础知识讲解 病毒的IFEO映像劫持技术
网管秘籍 拒绝服务攻击防御全攻略
网管秘籍 如何减轻DDoS攻击带来的危害
利用输入法漏洞轻松破解Vista登录密码
安全保障!封杀木马病毒十大绝招
变态入侵:有史以来最酷的Windows后门
安全导航:认识反网络钓鱼欺骗新技术
管理好自己密码的10个技巧
如何隐藏管理员帐号
网络监听的原理、实现技术与防范方法
简单分析微软无线键盘的安全隐患
解密美国FBI的电话及网络监控技术
突破ADSL限制 通过宽带路由多机共享上网
Autorun病毒防御者 让U盘不中毒
计算机的密码设置技巧

安全基础 中的 四个步骤加强网络防护(2)


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-10-28   浏览: 36 ::
收藏到网摘: n/a

网络隔离

如果你的公司非常大,那么你很有可能有一台Web服务器作为公司网站的主机。如果这台网络服务器不需要访问后台数据库或者你私有网络中的其他资源的话,那么就没有理由把它放在你的私有网络中。既然你可以把这台服务器和你自己的网络隔离开来,那为什么要把它放在私有网络内部,给黑客一个进入你私有网络的机会呢?

如果你的Web服务器需要访问数据库或者私有网络中的其他资源,那么我建议你在你的防火墙和网络服务器之间放置一台ISA服务器。互联网用户同ISA服务器进行通信,而不是直接通过Web服务器访问。ISA服务器将代理用户和Web服务器之间的请求。你就能在Web服务器和数据库服务器建立起一个IPSec连接,并在Web服务器和ISA服务器之间建立起了一个SSL联接。

包监听

在你已经采取了所有必要的步骤来保护经过你的网络中的通信之后,我建议偶尔采用包监听来监视网络通信。这仅仅是一个预防措施,因为它帮助你了解在你的网络中究竟发生了哪些类型的通信。如果你发现了意料不到的通信包类型,你就可以查找到这些包的来源。

协议分析器的最大问题在于它可能被黑客所利用,成为黑客手中的利器。由于包监听的特性,我曾经认为不可能探测出谁在我的网络中进行包监听。包监听仅仅是监视线缆中发生的通信。由于包监听不改变通信包,那又怎么能够知道谁在进行监听呢?

其实检查包监听比你想象的要容易得多。你所需要的仅仅是一台机器作为诱饵。诱饵机器应该是一台除了你之外任何人都不知道它存在的工作站。确保你的诱饵机器有一个IP地址,但是不在域之中。现在把诱饵机器连接到网络中,并让它产生一些通信包。如果有人在监听网络。监听这就会发现这些由诱饵机器所发出的通信包。问题在于监听者会知道诱饵机器的IP地址,但是却不知道它的主机名。通常,监听者会进行一次DNS查找,试图找到这台机器的主机名。由于你是唯一知道这台机器存在的人,没有人会进行DNS查找来寻找这台机器。所以,如果你发现DNS日志中有人进行DNS查找来查找你的诱饵机器,那么你就有理由怀疑这台机器被利用来监听网络了。

  另一个你可以采取、用以阻止监听的步骤是用VLAN交换机替换掉所有现有的集线器。这些交换机在包的发送者和接受者创建虚拟网络。包不再经过网络里的所有机器。它将直接从发送端发送到接受端。这意味着如果有监听者在监听你的网络,他就很难获得有用的信息。

  这种类型的交换机还有其他的优点。对于一个标准的集线器,所有的节点都落在同一个域中。这就意味着如果你有100 Mbps的总带宽,那么带宽将在所有的节点之间进行分配。但是VLAN交换机却不是如此,每一个虚拟LAN都有专有的带宽,它不需要进行分享。这就意味着一台100 Mbps交换机能够同时处理好几百Mbps的通信量,所有的通信都发生在不同的虚拟网络上。采用VLAN交换机能够同时提高安全性和效率。