最近,微软在宣传如果你想要得到一个真正安全的网络,你必须关注5个重要的领域。这些领域包括周边防护,网络防护,应用防护,数据防护,和主机防护。在本文中,我将讨论网络防护,帮助获得深度安全。
加密
加密
我建议的下一个步骤对于你的网络通信进行加密。只要可能的话,就要采用IPSec。因此,你需要了解IPSec安全性。
如果你配置一台机器使用IPSec,你应该对于进行双向加密。如果你让IPSec要求加密,那么当其他的机器试图连接到你的机器上的时候,就会被告之需要加密。如果其他机器有IPSec加密的能力,那么在通信建立的开始就能够建立一个安全的通信通道。另一方面,如果其他机器没有IPSec加密的能力,那么通信进程就会被拒绝,因为所要求的加密没 有实现。
请求加密选项则略有不同。当一个机器请求联接,它也会要求加密。如果两台机器都支持IPSec机密,那么就会在两台机器之间建立起一个安全的通路,通信就开始了。如果其中一台机器不支持IPSec加密,那么通信进程也会开始,但是数据却没有 被加密。
由于这个原因,我提供一些建议。首先,我建议把一个站点内所有的服务器放在一个安全的网络中。这个网络应该完全同平常的网络分开。用户需要访问的每一台服务器都应该有两块网卡,一个联接到主要网络,另一个联接到私有服务器网络。这个服务器网络应该只包含服务器,而且应该有专用的集线器或者交换机。
这样做,你需要在服务器之间建立专用的骨干网。所有的基于服务器的通信,比如RPC通信或者是复制所使用的通信就能够在专用骨干网里进行。这样,你就能够保护基于网络的通信,你也能够提高主要网络的可用带宽的数量。
接下来,我推荐使用IPSec。对于只有服务器的网络,应该要求IPSec加密。毕竟这个网络里只有服务器,所以除非你有UNIX、Linux、Macintosh或者其他非微软的服务器,你的服务器没有理由不支持IPSec。因此你可以很放心地要求IPSec加密。
现在,对于连接到重要网络上的所有工作站和服务器,你应该让机器要求加密。这样,你就能够在安全性和功能性之间获得一个优化平衡。
不幸的是,IPSec不能区分在多台家庭电脑上网络适配器。因此,除非一台服务器是处在服务器网络之外,你可能会需要使用请求加密选项 ,否则其他的客户端就不能够访问该服务器。
当然IPSec并不是你网络通信所能选择的唯一加密方式。你还必须考虑你要如何保护通过你的网络周边以及通向你无线网络的通信。
今天谈论无线加密还有点困难,因为无线网络设备还在发展。大部分网络管理员都认为无线网络是不安全的,因为网络通信包是在开放空间传播的,任何一个人都可以用带有无线NIC卡的笔记本电脑截获这些通信包。
虽然无线网络确实存在一些风险,但是从某种角度来说,无线网络甚至比有线网络更安全。这是因为无线通信主要的加密机制是WEP加密。WEP加密从40位到152位甚至更高。实际的长度取决于最低的通信参与者。例如,如果你的接入点支持128位WEP加密,但是你的一个无线网络用户设备只支持64位WEP加密,那么你就只能获得64位加密。但是目前基本上所有的无线设备都至少支持128位加密。
很多管理员并没有意识到的事情是,虽然无线网络可以使用WEP加密,但是这并不是他们能够使用的唯一的加密方式。WEP加密仅仅是对所有通过网络的通信进行加密。它对于自己所加密的是何种类型的数据并不关心。因此,如果你已经使用了IPSec来加密数据,那么WEP就能够对已经加密的数据进行第二重加密。
网友评论