防火墻是有效的隔離手段嗎

當人們談?wù)撚嘘P(guān)計算機安全的問題時，人們總要討論隔離一臺計算機的問題。為了保證安全，包含敏感數(shù)據(jù)的計算機或者只允許某些人訪問的計算機也許是在關(guān)閉的大門后面和沒有網(wǎng)絡(luò)接入的。正如某人曾經(jīng)說過的那樣，真正安全的計算機是在上了鎖的房間里的并且沒有互聯(lián)網(wǎng)連接的計算機(可能沒有插入或者打開)。

　　然而，隔離一臺服務(wù)器并不是一個絕對的條件。對一個系統(tǒng)可以實施許多程度的隔離，例如，從安裝一個簡單的防火墻到完全的物理隔離等多種程度。如果你擔心系統(tǒng)暴露給外界可能產(chǎn)生嚴重的后果(甚至暴露給你自己機構(gòu)的其它部分也會產(chǎn)生嚴重后果)，根據(jù)你自己的需求，部分鎖定可能與完全鎖定一樣有效。

　　安裝防火墻

　　防火墻是對計算機實施某種程度的隔離的最簡單和最基本的方法，主要作為保護服務(wù)器防止受到直接攻擊的主要方法。所有版本的Windows操作系統(tǒng)都有微軟自己的基本的和合理使用的防火墻產(chǎn)品。這種防火墻能夠鎖定一切不需要訪問的內(nèi)容。Windows防火墻可以根據(jù)端口和應(yīng)用程序進行使用，因此，Windows防火墻對于入網(wǎng)和出網(wǎng)的通訊一樣有效。然而，Windows防火墻沒有對通訊本身提供保護。如果某人向服務(wù)器發(fā)送明文信息，它的回復(fù)也是明文信息，能夠捕捉到這些數(shù)據(jù)包的任何人都將知道正在通訊的內(nèi)容。

　　虛擬網(wǎng)段和子網(wǎng)

　　網(wǎng)段或者子網(wǎng)是對計算機進行隔離的另一種方法：向有疑問的計算機和需要訪問那個計算機的任何客戶機提供它們自己的網(wǎng)段。這樣將訪問有疑問的計算機很困難，但是，也不是不可能，因為那個有疑問的計算機仍連接到同樣的物理網(wǎng)段。例如，在同一個物理網(wǎng)段上運行Snort的某個人也許能夠嗅探到這個通訊。

　　在它們自己的線路上隔離計算機和任何需要的客戶機也是可能的。但是，除非你已經(jīng)為這些計算機準備了地方，否則，這種事情通常是不切合實際的。在我以前的一個工作崗位上，在無線網(wǎng)絡(luò)開始應(yīng)用之前，我們曾創(chuàng)建了一個單獨的物理網(wǎng)絡(luò)進行測試。我們在辦公室之間的天花板上來回布線，鋪設(shè)了CAT5電纜線。這個網(wǎng)絡(luò)可以使用，但是非常不方便。后來有人發(fā)現(xiàn)房間天花板上的線路很亂，我們就不得不拆除了這個網(wǎng)絡(luò)。

　　IPsec

　　保護Windows服務(wù)器安全的一個最好的方法是使用IPsec。IPsec是在數(shù)據(jù)包層工作的一種強大的集成的網(wǎng)絡(luò)安全機制。數(shù)據(jù)包是加密的并且僅根據(jù)服務(wù)器上創(chuàng)建的政策在服務(wù)器和客戶機之間交換數(shù)據(jù)。除了加密之外，IPsec的另一個最大的好處是驗證：這些數(shù)據(jù)包是不是來自正確的服務(wù)器。

　　IPsec另一個方便的事情是它能夠使用Windows自己內(nèi)置的身份識別機制“Kerberos”。因此，因此，當你使用它的時候很少會發(fā)生煩惱。此外，由于它集成到了Windows自己的IP棧，并且不是Windows的附屬物(如防火墻)，你可以充分地信任它。例如，IPsec能夠讓你與另一個子網(wǎng)中的另一個域名控制器交換受保護的通訊。對于許多人來說，IPsec是有選擇地隔離服務(wù)器而又不把這個服務(wù)器徹底從網(wǎng)絡(luò)上拆除的最簡單的方法之一。

　　“凈室”隔離

　　一臺“凈室”計算機就是一臺完全沒有網(wǎng)絡(luò)連接的計算機。這是一種隔離的計算機，很可能還隱藏在上了鎖的房間中。需要這種程度隔離的環(huán)境已經(jīng)極少了，但是，這種隔離確實存在。例如，一個互聯(lián)網(wǎng)應(yīng)用的認證機構(gòu)(如代碼簽名)可能就會在這種機器上托管。認證申請必須手工提交和發(fā)放。這種機器在硬件和軟件方面有嚴格的規(guī)定，不經(jīng)過管理員的允許，這種機器不允許安裝其它的軟件和硬件。例如，這種規(guī)定將防止有人安裝一個無線USB網(wǎng)絡(luò)設(shè)備或者插入一個U盤。

　　即使你的機構(gòu)不須要完全隔離的計算機，你至少需要制定一個政策和建立一個物理區(qū)域，這樣，在你需要的時候你可以物理隔離一臺機器。有這樣的方法和地方總是很好的，你需要使用曾經(jīng)受到病毒和其它災(zāi)難攻擊的計算機，或者你需要檢查計算機是否發(fā)生了這種問題。