在第一部分中，我解释了处理网络消除边界的关键之处并非取消网络外围，但是不得承认，网络外围存在诸多漏洞，你必须采取措施，以保护数据的安全，防止恶意信息流通过网络外围。在第二部分中涵盖了强化Windows的几个步骤，此外，这里，我们将关注确保网络基础设施安全的步骤。

　　一个普遍存在的安全错误是将网络和应用程序视为从来都不会互相作用的不同实体。你可能会让不同的人来维护、使用不同的安全策略、不同的程序等等。在保护这些服务器上数据的完整性方面，强化Windows服务器会大有帮助，但是你也必须要强化网络基础设施本身。首先采取如下五个步骤。

　　1．执行访问控制列表（ACLs）

　　如果有些人可以进入你网络的内部，那么他们就可以获得你的Windows系统的访问权。你需要在你的网络设备上执行严格的访问控制列表，并且只对那些需要的用户授予访问权。比如，休斯顿的用户是否需要访问纽约的系统呢？如果不需要，这些系统之间通过信息流的可能性对于业务来说并不是必要的。

　　2．执行基于网络的访问控制（NBAC）

　　将系统连接到网络过去常常是件麻烦事：你必须构建网络驱动程序、分配地址、并在物理上连接各个系统，进而使得它们可以对话。尽管这使得未经授权的系统要想容易地连接到网络变得极其困难，但是它却导致了过多的管理费用。然后，像星型连环状网络和动态主机配置协议（DHCP）等技术使得将系统连接到网络变得尤其简单。起初我很高兴。但现在，我意识到任何人都可以连接到网络上。实际上，我所访问过的大约90%的客户都配备有活动的网络插孔，我很容易就可以插入，并获得网络访问权，如果他们有一些书面的策略，表明未经授权的连接是不允许的。

　　NBAC旨在提供一个执行机制来支持这些书面的策略。有了NBAC，你就可以界定什么是授权用户，并且确保所连接的系统正在运行合适的补丁和软件版本。如果没有运行合适的补丁和软件，就会将其安置在检疫状态，直到系统经过了修补和升级。

　　3．限制远程连接

　　执行VPN是一个冒险的尝试。它允许用户和病毒都可以访问网络。不要允许VPN访问你的整个网络，而要执行网络访问控制列表，限制仅使远程用户可以访问服务器和他们所需要的资源。比如，使用VPN来连接到Citrix或者终端服务器机房，以确保唯一允许通过VPN的信息流是通往Citrix服务器的Citrix信息流；如果某个远程客户的系统受到感染，它将不会感染你的网络。

　　4．限制并保护无线连接

　　如果在你的放火墙后面执行访问控制，无线局域网连接给你的网络外围带来了一个特别大的、敞开的漏洞。因此，创建你的无线局域网连接应当像任何其它远程连接一样：在放火墙外部终止它们，并在访问内部资源和受保护资源时，要求VPN连接。

　　5．执行IPsec

　　在你的网络上执行IPsec是保护数据在传输过程中不受到威胁的一种不错的方式。但是它也并非灵丹妙药。比如，如果某个计算机受到了Slammer的感染，那么在信息传输之前，IPsec仅能确保Slammer信息流是经过加密的。然而，当与其它强化方法一起使用时，IPsec可以作为保护你的内部流量免于受到窥探的有效方法。

　　结论

　　由于网络消除了边界，你就不能再完全依靠网络外围来保护系统和数据。全部去除网络边界并不是解决方法，只强化外围也不行。你必须同时强化你的Windows系统和网络基础设施，网络边界不能起到保护作用，或者被规避绕开时，保护数据。