防火墙是有效的隔离手段吗
然而,隔离一台服务器并不是一个绝对的条件。对一个系统可以实施许多程度的隔离,例如,从安装一个简单的防火墙到完全的物理隔离等多种程度。如果你担心系统暴露给外界可能产生严重的后果(甚至暴露给你自己机构的其它部分也会产生严重后果),根据你自己的需求,部分锁定可能与完全锁定一样有效。
安装防火墙
防火墙是对计算机实施某种程度的隔离的最简单和最基本的方法,主要作为保护服务器防止受到直接攻击的主要方法。所有版本的Windows操作系统都有微软自己的基本的和合理使用的防火墙产品。这种防火墙能够锁定一切不需要访问的内容。Windows防火墙可以根据端口和应用程序进行使用,因此,Windows防火墙对于入网和出网的通讯一样有效。然而,Windows防火墙没有对通讯本身提供保护。如果某人向服务器发送明文信息,它的回复也是明文信息,能够捕捉到这些数据包的任何人都将知道正在通讯的内容。
虚拟网段和子网
网段或者子网是对计算机进行隔离的另一种方法:向有疑问的计算机和需要访问那个计算机的任何客户机提供它们自己的网段。这样将访问有疑问的计算机很困难,但是,也不是不可能,因为那个有疑问的计算机仍连接到同样的物理网段。例如,在同一个物理网段上运行Snort的某个人也许能够嗅探到这个通讯。
在它们自己的线路上隔离计算机和任何需要的客户机也是可能的。但是,除非你已经为这些计算机准备了地方,否则,这种事情通常是不切合实际的。在我以前的一个工作岗位上,在无线网络开始应用之前,我们曾创建了一个单独的物理网络进行测试。我们在办公室之间的天花板上来回布线,铺设了CAT5电缆线。这个网络可以使用,但是非常不方便。后来有人发现房间天花板上的线路很乱,我们就不得不拆除了这个网络。
IPsec
保护Windows服务器安全的一个最好的方法是使用IPsec。IPsec是在数据包层工作的一种强大的集成的网络安全机制。数据包是加密的并且仅根据服务器上创建的政策在服务器和客户机之间交换数据。除了加密之外,IPsec的另一个最大的好处是验证:这些数据包是不是来自正确的服务器。
IPsec另一个方便的事情是它能够使用Windows自己内置的身份识别机制“Kerberos”。因此,因此,当你使用它的时候很少会发生烦恼。此外,由于它集成到了Windows自己的IP栈,并且不是Windows的附属物(如防火墙),你可以充分地信任它。例如,IPsec能够让你与另一个子网中的另一个域名控制器交换受保护的通讯。对于许多人来说,IPsec是有选择地隔离服务器而又不把这个服务器彻底从网络上拆除的最简单的方法之一。
“净室”隔离
一台“净室”计算机就是一台完全没有网络连接的计算机。这是一种隔离的计算机,很可能还隐藏在上了锁的房间中。需要这种程度隔离的环境已经极少了,但是,这种隔离确实存在。例如,一个互联网应用的认证机构(如代码签名)可能就会在这种机器上托管。认证申请必须手工提交和发放。这种机器在硬件和软件方面有严格的规定,不经过管理员的允许,这种机器不允许安装其它的软件和硬件。例如,这种规定将防止有人安装一个无线USB网络设备或者插入一个U盘。
即使你的机构不须要完全隔离的计算机,你至少需要制定一个政策和建立一个物理区域,这样,在你需要的时候你可以物理隔离一台机器。有这样的方法和地方总是很好的,你需要使用曾经受到病毒和其它灾难攻击的计算机,或者你需要检查计算机是否发生了这种问题。
评论