防火墻是有效的隔離手段嗎

當(dāng)人們談?wù)撚嘘P(guān)計(jì)算機(jī)安全的問題時(shí)，人們總要討論隔離一臺(tái)計(jì)算機(jī)的問題。為了保證安全，包含敏感數(shù)據(jù)的計(jì)算機(jī)或者只允許某些人訪問的計(jì)算機(jī)也許是在關(guān)閉的大門后面和沒有網(wǎng)絡(luò)接入的。正如某人曾經(jīng)說過的那樣，真正安全的計(jì)算機(jī)是在上了鎖的房間里的并且沒有互聯(lián)網(wǎng)連接的計(jì)算機(jī)(可能沒有插入或者打開)。

　　然而，隔離一臺(tái)服務(wù)器并不是一個(gè)絕對(duì)的條件。對(duì)一個(gè)系統(tǒng)可以實(shí)施許多程度的隔離，例如，從安裝一個(gè)簡單的防火墻到完全的物理隔離等多種程度。如果你擔(dān)心系統(tǒng)暴露給外界可能產(chǎn)生嚴(yán)重的后果(甚至暴露給你自己機(jī)構(gòu)的其它部分也會(huì)產(chǎn)生嚴(yán)重后果)，根據(jù)你自己的需求，部分鎖定可能與完全鎖定一樣有效。

　　安裝防火墻

　　防火墻是對(duì)計(jì)算機(jī)實(shí)施某種程度的隔離的最簡單和最基本的方法，主要作為保護(hù)服務(wù)器防止受到直接攻擊的主要方法。所有版本的Windows操作系統(tǒng)都有微軟自己的基本的和合理使用的防火墻產(chǎn)品。這種防火墻能夠鎖定一切不需要訪問的內(nèi)容。Windows防火墻可以根據(jù)端口和應(yīng)用程序進(jìn)行使用，因此，Windows防火墻對(duì)于入網(wǎng)和出網(wǎng)的通訊一樣有效。然而，Windows防火墻沒有對(duì)通訊本身提供保護(hù)。如果某人向服務(wù)器發(fā)送明文信息，它的回復(fù)也是明文信息，能夠捕捉到這些數(shù)據(jù)包的任何人都將知道正在通訊的內(nèi)容。

　　虛擬網(wǎng)段和子網(wǎng)

　　網(wǎng)段或者子網(wǎng)是對(duì)計(jì)算機(jī)進(jìn)行隔離的另一種方法：向有疑問的計(jì)算機(jī)和需要訪問那個(gè)計(jì)算機(jī)的任何客戶機(jī)提供它們自己的網(wǎng)段。這樣將訪問有疑問的計(jì)算機(jī)很困難，但是，也不是不可能，因?yàn)槟莻€(gè)有疑問的計(jì)算機(jī)仍連接到同樣的物理網(wǎng)段。例如，在同一個(gè)物理網(wǎng)段上運(yùn)行Snort的某個(gè)人也許能夠嗅探到這個(gè)通訊。

　　在它們自己的線路上隔離計(jì)算機(jī)和任何需要的客戶機(jī)也是可能的。但是，除非你已經(jīng)為這些計(jì)算機(jī)準(zhǔn)備了地方，否則，這種事情通常是不切合實(shí)際的。在我以前的一個(gè)工作崗位上，在無線網(wǎng)絡(luò)開始應(yīng)用之前，我們?cè)鴦?chuàng)建了一個(gè)單獨(dú)的物理網(wǎng)絡(luò)進(jìn)行測(cè)試。我們?cè)谵k公室之間的天花板上來回布線，鋪設(shè)了CAT5電纜線。這個(gè)網(wǎng)絡(luò)可以使用，但是非常不方便。后來有人發(fā)現(xiàn)房間天花板上的線路很亂，我們就不得不拆除了這個(gè)網(wǎng)絡(luò)。

　　IPsec

　　保護(hù)Windows服務(wù)器安全的一個(gè)最好的方法是使用IPsec。IPsec是在數(shù)據(jù)包層工作的一種強(qiáng)大的集成的網(wǎng)絡(luò)安全機(jī)制。數(shù)據(jù)包是加密的并且僅根據(jù)服務(wù)器上創(chuàng)建的政策在服務(wù)器和客戶機(jī)之間交換數(shù)據(jù)。除了加密之外，IPsec的另一個(gè)最大的好處是驗(yàn)證：這些數(shù)據(jù)包是不是來自正確的服務(wù)器。

　　IPsec另一個(gè)方便的事情是它能夠使用Windows自己內(nèi)置的身份識(shí)別機(jī)制“Kerberos”。因此，因此，當(dāng)你使用它的時(shí)候很少會(huì)發(fā)生煩惱。此外，由于它集成到了Windows自己的IP棧，并且不是Windows的附屬物(如防火墻)，你可以充分地信任它。例如，IPsec能夠讓你與另一個(gè)子網(wǎng)中的另一個(gè)域名控制器交換受保護(hù)的通訊。對(duì)于許多人來說，IPsec是有選擇地隔離服務(wù)器而又不把這個(gè)服務(wù)器徹底從網(wǎng)絡(luò)上拆除的最簡單的方法之一。

　　“凈室”隔離

　　一臺(tái)“凈室”計(jì)算機(jī)就是一臺(tái)完全沒有網(wǎng)絡(luò)連接的計(jì)算機(jī)。這是一種隔離的計(jì)算機(jī)，很可能還隱藏在上了鎖的房間中。需要這種程度隔離的環(huán)境已經(jīng)極少了，但是，這種隔離確實(shí)存在。例如，一個(gè)互聯(lián)網(wǎng)應(yīng)用的認(rèn)證機(jī)構(gòu)(如代碼簽名)可能就會(huì)在這種機(jī)器上托管。認(rèn)證申請(qǐng)必須手工提交和發(fā)放。這種機(jī)器在硬件和軟件方面有嚴(yán)格的規(guī)定，不經(jīng)過管理員的允許，這種機(jī)器不允許安裝其它的軟件和硬件。例如，這種規(guī)定將防止有人安裝一個(gè)無線USB網(wǎng)絡(luò)設(shè)備或者插入一個(gè)U盤。

　　即使你的機(jī)構(gòu)不須要完全隔離的計(jì)算機(jī)，你至少需要制定一個(gè)政策和建立一個(gè)物理區(qū)域，這樣，在你需要的時(shí)候你可以物理隔離一臺(tái)機(jī)器。有這樣的方法和地方總是很好的，你需要使用曾經(jīng)受到病毒和其它災(zāi)難攻擊的計(jì)算機(jī)，或者你需要檢查計(jì)算機(jī)是否發(fā)生了這種問題。