防火墻是有效的隔離手段嗎
加入技術交流群
然而,隔離一臺服務器并不是一個絕對的條件。對一個系統可以實施許多程度的隔離,例如,從安裝一個簡單的防火墻到完全的物理隔離等多種程度。如果你擔心系統暴露給外界可能產生嚴重的后果(甚至暴露給你自己機構的其它部分也會產生嚴重后果),根據你自己的需求,部分鎖定可能與完全鎖定一樣有效。
安裝防火墻
防火墻是對計算機實施某種程度的隔離的最簡單和最基本的方法,主要作為保護服務器防止受到直接攻擊的主要方法。所有版本的Windows操作系統都有微軟自己的基本的和合理使用的防火墻產品。這種防火墻能夠鎖定一切不需要訪問的內容。Windows防火墻可以根據端口和應用程序進行使用,因此,Windows防火墻對于入網和出網的通訊一樣有效。然而,Windows防火墻沒有對通訊本身提供保護。如果某人向服務器發送明文信息,它的回復也是明文信息,能夠捕捉到這些數據包的任何人都將知道正在通訊的內容。
虛擬網段和子網
網段或者子網是對計算機進行隔離的另一種方法:向有疑問的計算機和需要訪問那個計算機的任何客戶機提供它們自己的網段。這樣將訪問有疑問的計算機很困難,但是,也不是不可能,因為那個有疑問的計算機仍連接到同樣的物理網段。例如,在同一個物理網段上運行Snort的某個人也許能夠嗅探到這個通訊。
在它們自己的線路上隔離計算機和任何需要的客戶機也是可能的。但是,除非你已經為這些計算機準備了地方,否則,這種事情通常是不切合實際的。在我以前的一個工作崗位上,在無線網絡開始應用之前,我們曾創建了一個單獨的物理網絡進行測試。我們在辦公室之間的天花板上來回布線,鋪設了CAT5電纜線。這個網絡可以使用,但是非常不方便。后來有人發現房間天花板上的線路很亂,我們就不得不拆除了這個網絡。
IPsec
保護Windows服務器安全的一個最好的方法是使用IPsec。IPsec是在數據包層工作的一種強大的集成的網絡安全機制。數據包是加密的并且僅根據服務器上創建的政策在服務器和客戶機之間交換數據。除了加密之外,IPsec的另一個最大的好處是驗證:這些數據包是不是來自正確的服務器。
IPsec另一個方便的事情是它能夠使用Windows自己內置的身份識別機制“Kerberos”。因此,因此,當你使用它的時候很少會發生煩惱。此外,由于它集成到了Windows自己的IP棧,并且不是Windows的附屬物(如防火墻),你可以充分地信任它。例如,IPsec能夠讓你與另一個子網中的另一個域名控制器交換受保護的通訊。對于許多人來說,IPsec是有選擇地隔離服務器而又不把這個服務器徹底從網絡上拆除的最簡單的方法之一。
“凈室”隔離
一臺“凈室”計算機就是一臺完全沒有網絡連接的計算機。這是一種隔離的計算機,很可能還隱藏在上了鎖的房間中。需要這種程度隔離的環境已經極少了,但是,這種隔離確實存在。例如,一個互聯網應用的認證機構(如代碼簽名)可能就會在這種機器上托管。認證申請必須手工提交和發放。這種機器在硬件和軟件方面有嚴格的規定,不經過管理員的允許,這種機器不允許安裝其它的軟件和硬件。例如,這種規定將防止有人安裝一個無線USB網絡設備或者插入一個U盤。
即使你的機構不須要完全隔離的計算機,你至少需要制定一個政策和建立一個物理區域,這樣,在你需要的時候你可以物理隔離一臺機器。有這樣的方法和地方總是很好的,你需要使用曾經受到病毒和其它災難攻擊的計算機,或者你需要檢查計算機是否發生了這種問題。
評論