防火墙是有效的隔离手段吗?

日期: 2008-02-02 作者:Serdar Yegulalp 来源:TechTarget中国 英文

当人们谈论有关计算机安全的问题时,人们总要讨论隔离一台计算机的问题。为了保证安全,包含敏感数据的计算机或者只允许某些人访问的计算机也许是在关闭的大门后面和没有网络接入的。正如某人曾经说过的那样,真正安全的计算机是在上了锁的房间里的并且没有互联网连接的计算机(可能没有插入或者打开)。   然而,隔离一台服务器并不是一个绝对的条件。

对一个系统可以实施许多程度的隔离,例如,从安装一个简单的防火墙到完全的物理隔离等多种程度。如果你担心系统暴露给外界可能产生严重的后果(甚至暴露给你自己机构的其它部分也会产生严重后果),根据你自己的需求,部分锁定可能与完全锁定一样有效。   安装防火墙   防火墙是对计算……

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

当人们谈论有关计算机安全的问题时,人们总要讨论隔离一台计算机的问题。为了保证安全,包含敏感数据的计算机或者只允许某些人访问的计算机也许是在关闭的大门后面和没有网络接入的。正如某人曾经说过的那样,真正安全的计算机是在上了锁的房间里的并且没有互联网连接的计算机(可能没有插入或者打开)。

  然而,隔离一台服务器并不是一个绝对的条件。对一个系统可以实施许多程度的隔离,例如,从安装一个简单的防火墙到完全的物理隔离等多种程度。如果你担心系统暴露给外界可能产生严重的后果(甚至暴露给你自己机构的其它部分也会产生严重后果),根据你自己的需求,部分锁定可能与完全锁定一样有效。

  安装防火墙

  防火墙是对计算机实施某种程度的隔离的最简单和最基本的方法,主要作为保护服务器防止受到直接攻击的主要方法。所有版本的Windows操作系统都有微软自己的基本的和合理使用的防火墙产品。这种防火墙能够锁定一切不需要访问的内容。Windows防火墙可以根据端口和应用程序进行使用,因此, Windows防火墙对于入网和出网的通讯一样有效。然而,Windows防火墙没有对通讯本身提供保护。如果某人向服务器发送明文信息,它的回复也是明文信息,能够捕捉到这些数据包的任何人都将知道正在通讯的内容。

  虚拟网段和子网

  网段或者子网是对计算机进行隔离的另一种方法:向有疑问的计算机和需要访问那个计算机的任何客户机提供它们自己的网段。这样将访问有疑问的计算机很困难,但是,也不是不可能,因为那个有疑问的计算机仍连接到同样的物理网段。例如,在同一个物理网段上运行Snort的某个人也许能够嗅探到这个通讯。

  在它们自己的线路上隔离计算机和任何需要的客户机也是可能的。但是,除非你已经为这些计算机准备了地方,否则,这种事情通常是不切合实际的。在我以前的一个工作岗位上,在无线网络开始应用之前,我们曾创建了一个单独的物理网络进行测试。我们在办公室之间的天花板上来回布线,铺设了CAT5电缆线。这个网络可以使用,但是非常不方便。后来有人发现房间天花板上的线路很乱,我们就不得不拆除了这个网络。

  IPsec

  保护Windows服务器安全的一个最好的方法是使用IPsec。IPsec是在数据包层工作的一种强大的集成的网络安全机制。数据包是加密的并且仅根据服务器上创建的政策在服务器和客户机之间交换数据。除了加密之外,IPsec的另一个最大的好处是验证:这些数据包是不是来自正确的服务器。

  IPsec另一个方便的事情是它能够使用Windows自己内置的身份识别机制“Kerberos”。因此,因此,当你使用它的时候很少会发生烦恼。此外,由于它集成到了Windows自己的IP栈,并且不是Windows的附属物(如防火墙),你可以充分地信任它。例如,IPsec能够让你与另一个子网中的另一个域名控制器交换受保护的通讯。对于许多人来说,IPsec是有选择地隔离服务器而又不把这个服务器彻底从网络上拆除的最简单的方法之一。

  “净室”隔离

  一台“净室”计算机就是一台完全没有网络连接的计算机。这是一种隔离的计算机,很可能还隐藏在上了锁的房间中。需要这种程度隔离的环境已经极少了,但是,这种隔离确实存在。例如,一个互联网应用的认证机构(如代码签名)可能就会在这种机器上托管。认证申请必须手工提交和发放。这种机器在硬件和软件方面有严格的规定,不经过管理员的允许,这种机器不允许安装其它的软件和硬件。例如,这种规定将防止有人安装一个无线USB网络设备或者插入一个U盘。

  即使你的机构不须要完全隔离的计算机,你至少需要制定一个政策和建立一个物理区域,这样,在你需要的时候你可以物理隔离一台机器。有这样的方法和地方总是很好的,你需要使用曾经受到病毒和其它灾难攻击的计算机,或者你需要检查计算机是否发生了这种问题。

作者

Serdar Yegulalp
Serdar Yegulalp

Serdar Yegulalp从1994年到2001年为Windows杂志写作,覆盖了广泛的技术方面。他现在是《The Windows 2000 Power Users Newsletter》一书的出版者,辛勤钻研他擅长的Windows NT, Windows 2000 and Windows XP领域,并为TechTarget写专栏。

相关推荐

  • NSS实验室评估下一代防火墙

    根据NSS实验室对下一代防火墙的评估发现,来自七家供应商的产品可有效保护企业免受恶意流量的侵害,而且总体拥有成 […]

  • 实施虚拟化:管理员应避免五大安全错误

    如今,有约50%的服务器负载在虚拟机上运行,并且在未来的几年还要增加。虚拟化带来很多好处,也不可避免地带来许多由其自身产生的威胁……

  • 为何我们要检查SSL流量?

    数据流量加密是否有利于网络安全?某种程度上来说,的确如此。然而美好的事物往往都是鱼和熊掌不可兼得,为提高安全性而牺牲应用性能是我们需要避免的事情……

  • 对于企业来说,自加密驱动器是好的选择吗?

    加密敏感数据是信息安全的关键要素,因为这可确保企业信息的保密性。然而,大多数用户发现很难部署加密,并且,企业管理员通常难以对所有用户设备执行加密。而自加密驱动器和设备正是这些加密问题的潜在解决方案……