[转载]控制网络访问的五个措施
信息来源:IT专家网人们对安全问题有一个普遍的误解:认为网络和应用软件是两个独立的实体,不会互相影响。因而会有单独的人员分别维护它们,或者为它们制定单独的安全策略以及单独的处理流程等。增强Windows服务器安全的措施也对保护服务器上数据的完整性大有帮助,但是,与此同时你也必须加强网络基础设施本身。从下列五个步骤开始:
1.执行访问控制列表
如果别人能够进入你的网络,那么他们就可以访问你的Windows操作系统。因此,你必须在网络设备上执行严格的访问控制列表,只有列表上登记了的用户才有访问权限。例如:休斯敦的用户需要访问纽约的系统吗?如果不需要,那么两地的系统之间就没有必要建立信息传送的通道。
2.执行基于网络的访问控制
将系统和网络连接起来曾经是一个难题:你不得不建立网络驱动器、分配网络地址并且将各个系统物理地连接在一起。虽然这样做使得未经授权的系统很难连接到网络上,但是也造成管理费用严重超支。而星型网和动态主机配置协议等技术使得系统很容易连接到网络上。最开始我感到很高兴!但是现在我意识到这样做任何人都可以连接到网络上。事实上,我在调查中发现:大约90%的用户会利用网络玩在线抓子游戏,这样即使他们的系统配置了禁止非授权连接的安全策略,但是我还是很轻易的通过网络抓子游戏进入到系统中。
基于网络的访问控制提供了一种加强的安全机制以保证配置的安全策略能有效工作。利用基于网络的访问控制,你可以定义哪些用户拥有访问权限,并且保证连接到网络上的系统安装了更安全的补丁和软件版本。如果有些系统没有安装,那么这些系统就会被隔离直到用户安装补丁更新系统。
3.限制远程连接
由于虚拟局域网不区分用户和病毒对网络的访问,因此划分虚拟局域网是很冒险的。但是我们可以配置网络访问控制列表只允许远程用户访问服务器和他们需要的资源,而不允许通过虚拟局域网访问你的整个网络。例如:利用虚拟局域网连接Citrix或终端服务器,限制虚拟局域网只允许Citrix与服务器之间的通信流量通过。这样如果一个远程客户端系统被感染了,也不至于感染你的网络。
4.限制无线接入并确保安全
如果这项措施在防火墙之后执行,那么无线局域网接入会给你的网络带来明显的安全漏洞。因此,无线局域网和其他的远程连接一样需要加强安全措施:在防火墙的外面终结这种访问,并且要求它们利用虚拟局域网访问内部网络和重要资源。
5.启用Internet协议安全规则
启用系统的Internet协议安全规则可以有效地避免传输数据被中途截获并破译。但是它也不是万能药。例如:如果一台机器已经感染了Slammer病毒,Internet协议安全规则只能保证数据在传输之前是加密的。然而,当和其他的强化安全措施一起使用时,Internet协议安全规则可以有效地保护网络内部数据不被破译。
结论
由于很容易突破网络的边界保护,因此你不能再完全依赖网络边界保护设备来保护你的系统和数据。完全撤掉边界保护设备、或者单独加强边界保护设备的性能都不能解决问题。而必须同时加强Windows系统和网络基础设施的安全性能。只有这样才能在网络边界保护不起作用的时候有效地保护数据。
页:
[1]