防火墻是有效的隔離手段嗎

當人們談?wù)撚嘘P(guān)計算機安全的問(wèn)題時(shí)，人們總要討論隔離一臺計算機的問(wèn)題。為了保證安全，包含敏感數據的計算機或者只允許某些人訪(fǎng)問(wèn)的計算機也許是在關(guān)閉的大門(mén)后面和沒(méi)有網(wǎng)絡(luò )接入的。正如某人曾經(jīng)說(shuō)過(guò)的那樣，真正安全的計算機是在上了鎖的房間里的并且沒(méi)有互聯(lián)網(wǎng)連接的計算機(可能沒(méi)有插入或者打開(kāi))。

　　然而，隔離一臺服務(wù)器并不是一個(gè)絕對的條件。對一個(gè)系統可以實(shí)施許多程度的隔離，例如，從安裝一個(gè)簡(jiǎn)單的防火墻到完全的物理隔離等多種程度。如果你擔心系統暴露給外界可能產(chǎn)生嚴重的后果(甚至暴露給你自己機構的其它部分也會(huì )產(chǎn)生嚴重后果)，根據你自己的需求，部分鎖定可能與完全鎖定一樣有效。

　　安裝防火墻

　　防火墻是對計算機實(shí)施某種程度的隔離的最簡(jiǎn)單和最基本的方法，主要作為保護服務(wù)器防止受到直接攻擊的主要方法。所有版本的Windows操作系統都有微軟自己的基本的和合理使用的防火墻產(chǎn)品。這種防火墻能夠鎖定一切不需要訪(fǎng)問(wèn)的內容。Windows防火墻可以根據端口和應用程序進(jìn)行使用，因此，Windows防火墻對于入網(wǎng)和出網(wǎng)的通訊一樣有效。然而，Windows防火墻沒(méi)有對通訊本身提供保護。如果某人向服務(wù)器發(fā)送明文信息，它的回復也是明文信息，能夠捕捉到這些數據包的任何人都將知道正在通訊的內容。

　　虛擬網(wǎng)段和子網(wǎng)

　　網(wǎng)段或者子網(wǎng)是對計算機進(jìn)行隔離的另一種方法：向有疑問(wèn)的計算機和需要訪(fǎng)問(wèn)那個(gè)計算機的任何客戶(hù)機提供它們自己的網(wǎng)段。這樣將訪(fǎng)問(wèn)有疑問(wèn)的計算機很困難，但是，也不是不可能，因為那個(gè)有疑問(wèn)的計算機仍連接到同樣的物理網(wǎng)段。例如，在同一個(gè)物理網(wǎng)段上運行Snort的某個(gè)人也許能夠嗅探到這個(gè)通訊。

　　在它們自己的線(xiàn)路上隔離計算機和任何需要的客戶(hù)機也是可能的。但是，除非你已經(jīng)為這些計算機準備了地方，否則，這種事情通常是不切合實(shí)際的。在我以前的一個(gè)工作崗位上，在無(wú)線(xiàn)網(wǎng)絡(luò )開(kāi)始應用之前，我們曾創(chuàng )建了一個(gè)單獨的物理網(wǎng)絡(luò )進(jìn)行測試。我們在辦公室之間的天花板上來(lái)回布線(xiàn)，鋪設了CAT5電纜線(xiàn)。這個(gè)網(wǎng)絡(luò )可以使用，但是非常不方便。后來(lái)有人發(fā)現房間天花板上的線(xiàn)路很亂，我們就不得不拆除了這個(gè)網(wǎng)絡(luò )。

　　IPsec

　　保護Windows服務(wù)器安全的一個(gè)最好的方法是使用IPsec。IPsec是在數據包層工作的一種強大的集成的網(wǎng)絡(luò )安全機制。數據包是加密的并且僅根據服務(wù)器上創(chuàng )建的政策在服務(wù)器和客戶(hù)機之間交換數據。除了加密之外，IPsec的另一個(gè)最大的好處是驗證：這些數據包是不是來(lái)自正確的服務(wù)器。

　　IPsec另一個(gè)方便的事情是它能夠使用Windows自己內置的身份識別機制“Kerberos”。因此，因此，當你使用它的時(shí)候很少會(huì )發(fā)生煩惱。此外，由于它集成到了Windows自己的IP棧，并且不是Windows的附屬物(如防火墻)，你可以充分地信任它。例如，IPsec能夠讓你與另一個(gè)子網(wǎng)中的另一個(gè)域名控制器交換受保護的通訊。對于許多人來(lái)說(shuō)，IPsec是有選擇地隔離服務(wù)器而又不把這個(gè)服務(wù)器徹底從網(wǎng)絡(luò )上拆除的最簡(jiǎn)單的方法之一。

　　“凈室”隔離

　　一臺“凈室”計算機就是一臺完全沒(méi)有網(wǎng)絡(luò )連接的計算機。這是一種隔離的計算機，很可能還隱藏在上了鎖的房間中。需要這種程度隔離的環(huán)境已經(jīng)極少了，但是，這種隔離確實(shí)存在。例如，一個(gè)互聯(lián)網(wǎng)應用的認證機構(如代碼簽名)可能就會(huì )在這種機器上托管。認證申請必須手工提交和發(fā)放。這種機器在硬件和軟件方面有嚴格的規定，不經(jīng)過(guò)管理員的允許，這種機器不允許安裝其它的軟件和硬件。例如，這種規定將防止有人安裝一個(gè)無(wú)線(xiàn)USB網(wǎng)絡(luò )設備或者插入一個(gè)U盤(pán)。

　　即使你的機構不須要完全隔離的計算機，你至少需要制定一個(gè)政策和建立一個(gè)物理區域，這樣，在你需要的時(shí)候你可以物理隔離一臺機器。有這樣的方法和地方總是很好的，你需要使用曾經(jīng)受到病毒和其它災難攻擊的計算機，或者你需要檢查計算機是否發(fā)生了這種問(wèn)題。