当前位置: 首页 > 图文教程 > 网络安全 > 安全基础 > 四个步骤加强网络防护(2)

安全基础
实例讲解网站被入侵后需做的检测
网络安全基础 教你怎样关闭网络端口
反黑小技谋:IP地址的侦察和隐藏
网络管理员必读:无须重启的更改IP
网管必知 多角度详解网站安全保护方法
消除上网的恐惧:用网上隐身衣保护自己
无所遁形:快速查找对方IP经典技术汇
抵挡DoS远程连接让网络更安全
新手触网之安全工具
ADSL Modem防火墙的配置
妙用Spybot让间谍软件在你的电脑上无处遁形
电脑初级用户网络安全详尽全攻略
小方法:如何修改注册表清除黑客程序
与黑客过招:给自己的网络设防
推陈出新 防止IE浏览器主页被篡改又多一招
安全无忧:防范非法用户侵入系统的七招技巧
网管必备技巧—Windows日志的保护与伪造
木马和未授权远程控制软件的关闭
防范WinGate代理防火墙被攻击
谨防网络硕鼠 完全解析ADSL账号为何被盗

安全基础 中的 四个步骤加强网络防护(2)


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-10-28   浏览: 52 ::
收藏到网摘: n/a

网络隔离

如果你的公司非常大,那么你很有可能有一台Web服务器作为公司网站的主机。如果这台网络服务器不需要访问后台数据库或者你私有网络中的其他资源的话,那么就没有理由把它放在你的私有网络中。既然你可以把这台服务器和你自己的网络隔离开来,那为什么要把它放在私有网络内部,给黑客一个进入你私有网络的机会呢?

如果你的Web服务器需要访问数据库或者私有网络中的其他资源,那么我建议你在你的防火墙和网络服务器之间放置一台ISA服务器。互联网用户同ISA服务器进行通信,而不是直接通过Web服务器访问。ISA服务器将代理用户和Web服务器之间的请求。你就能在Web服务器和数据库服务器建立起一个IPSec连接,并在Web服务器和ISA服务器之间建立起了一个SSL联接。

包监听

在你已经采取了所有必要的步骤来保护经过你的网络中的通信之后,我建议偶尔采用包监听来监视网络通信。这仅仅是一个预防措施,因为它帮助你了解在你的网络中究竟发生了哪些类型的通信。如果你发现了意料不到的通信包类型,你就可以查找到这些包的来源。

协议分析器的最大问题在于它可能被黑客所利用,成为黑客手中的利器。由于包监听的特性,我曾经认为不可能探测出谁在我的网络中进行包监听。包监听仅仅是监视线缆中发生的通信。由于包监听不改变通信包,那又怎么能够知道谁在进行监听呢?

其实检查包监听比你想象的要容易得多。你所需要的仅仅是一台机器作为诱饵。诱饵机器应该是一台除了你之外任何人都不知道它存在的工作站。确保你的诱饵机器有一个IP地址,但是不在域之中。现在把诱饵机器连接到网络中,并让它产生一些通信包。如果有人在监听网络。监听这就会发现这些由诱饵机器所发出的通信包。问题在于监听者会知道诱饵机器的IP地址,但是却不知道它的主机名。通常,监听者会进行一次DNS查找,试图找到这台机器的主机名。由于你是唯一知道这台机器存在的人,没有人会进行DNS查找来寻找这台机器。所以,如果你发现DNS日志中有人进行DNS查找来查找你的诱饵机器,那么你就有理由怀疑这台机器被利用来监听网络了。

  另一个你可以采取、用以阻止监听的步骤是用VLAN交换机替换掉所有现有的集线器。这些交换机在包的发送者和接受者创建虚拟网络。包不再经过网络里的所有机器。它将直接从发送端发送到接受端。这意味着如果有监听者在监听你的网络,他就很难获得有用的信息。

  这种类型的交换机还有其他的优点。对于一个标准的集线器,所有的节点都落在同一个域中。这就意味着如果你有100 Mbps的总带宽,那么带宽将在所有的节点之间进行分配。但是VLAN交换机却不是如此,每一个虚拟LAN都有专有的带宽,它不需要进行分享。这就意味着一台100 Mbps交换机能够同时处理好几百Mbps的通信量,所有的通信都发生在不同的虚拟网络上。采用VLAN交换机能够同时提高安全性和效率。