網(wǎng)絡(luò)管理十一殺招 網(wǎng)管幾年經(jīng)驗(yàn)總結(jié)

    第六、代理服務(wù)器

    代理服務(wù)器最先被利用的目的是可以加速訪問(wèn)我們經(jīng)常看的網(wǎng)站，因?yàn)榇�理服�?wù)器都有緩沖的功能，在這里可以保留一些網(wǎng)站與IP地址的對(duì)應(yīng)關(guān)系。

    要想了解代理服務(wù)器，首先要了解它的工作原理：

    環(huán)境：局域網(wǎng)里面有一臺(tái)機(jī)器裝有雙網(wǎng)卡，充當(dāng)代理服務(wù)器，其余電腦通過(guò)它來(lái)訪問(wèn)網(wǎng)絡(luò)。

    1、內(nèi)網(wǎng)一臺(tái)機(jī)器要訪問(wèn)新浪，于是將請(qǐng)求發(fā)送給代理服務(wù)器。

    2、代理服務(wù)器對(duì)發(fā)來(lái)的請(qǐng)求進(jìn)行檢查，包括題頭和內(nèi)容，然后去掉不必要的或違反約定的內(nèi)容。

    3、代理服務(wù)器重新整合數(shù)據(jù)包，然后將請(qǐng)求發(fā)送給下一級(jí)網(wǎng)關(guān)。

    4、新浪網(wǎng)回復(fù)請(qǐng)求，找到對(duì)應(yīng)的IP地址。

    5、代理服務(wù)器依然檢查題頭和內(nèi)容是否合法，去掉不適當(dāng)?shù)膬?nèi)容。

    6、重新整合請(qǐng)求，然后將結(jié)果發(fā)送給內(nèi)網(wǎng)的那臺(tái)機(jī)器。

    由此可以看出，代理服務(wù)器的優(yōu)點(diǎn)是可以隱藏內(nèi)網(wǎng)的機(jī)器，這樣可以防止黑客的直接攻擊，另外可以節(jié)省公網(wǎng)IP。缺點(diǎn)就是每次都要經(jīng)由服務(wù)器，這樣訪問(wèn)速度會(huì)變慢。另外當(dāng)代理服務(wù)器被攻擊或者是損壞的時(shí)候，其余電腦將不能訪問(wèn)網(wǎng)絡(luò)。

     第七、防火墻

     提到防火墻，顧名思義，就是防火的一道墻。防火墻的最根本工作原理就是數(shù)據(jù)包過(guò)濾。實(shí)際上在數(shù)據(jù)包過(guò)濾的提出之前，都已經(jīng)出現(xiàn)了防火墻。

     數(shù)據(jù)包過(guò)濾，就是通過(guò)查看題頭的數(shù)據(jù)包是否含有非法的數(shù)據(jù)，我們將此屏蔽。

     舉個(gè)簡(jiǎn)單的例子，假如體育中心有一場(chǎng)劉德華演唱會(huì)，檢票員坐鎮(zhèn)門(mén)口，他首先檢查你的票是否對(duì)應(yīng)，是否今天的，然后撕下右邊的一條，將剩余的給你，然后告訴你演唱會(huì)現(xiàn)場(chǎng)在哪里，告訴你怎么走。這個(gè)基本上就是數(shù)據(jù)包過(guò)濾的工作流程吧。

     你也許經(jīng)常聽(tīng)到你們老板說(shuō)：要增加一臺(tái)機(jī)器它可以禁止我們不想要的網(wǎng)站，可以禁止一些郵件它經(jīng)常給我們發(fā)送垃圾郵件和病毒等，但是沒(méi)有一個(gè)老板會(huì)說(shuō)：要增加一臺(tái)機(jī)器它可以禁止我們不愿意訪問(wèn)的數(shù)據(jù)包。實(shí)際意思就是這樣。接下來(lái)我們推薦幾個(gè)常用的數(shù)據(jù)包過(guò)濾工具。

     最常見(jiàn)的數(shù)據(jù)包過(guò)濾工具是路由器。

     另外系統(tǒng)中帶有數(shù)據(jù)包過(guò)濾工具，例如Linux TCP/IP中帶有的ipchain等

     windows 2000帶有的TCP/IP Filtering篩選器等，通過(guò)這些我們就可以過(guò)濾掉我們不想要的數(shù)據(jù)包。

     防火墻也許是使用最多的數(shù)據(jù)包過(guò)濾工具了，現(xiàn)在的軟件防火墻和硬件防火墻都有數(shù)據(jù)包過(guò)濾的功能。接下來(lái)我們會(huì)重點(diǎn)介紹防火墻的。

    防火墻通過(guò)一下方面來(lái)加強(qiáng)網(wǎng)絡(luò)的安全：

    1、策略的設(shè)置

    策略的設(shè)置包括允許與禁止。允許例如允許我們的客戶(hù)機(jī)收發(fā)電子郵件，允許他們?cè)L問(wèn)一些必要的網(wǎng)站等。例如防火墻經(jīng)常這么設(shè)置，允許內(nèi)網(wǎng)的機(jī)器訪問(wèn)網(wǎng)站、收發(fā)電子郵件、從FTP下載資料等。這樣我們就要打開(kāi)80、25、110、21端口，開(kāi)HTTP、SMTP、POP3、FTP等。

    禁止就是禁止我們的客戶(hù)機(jī)去訪問(wèn)哪些服務(wù)。例如我們禁止郵件客戶(hù)來(lái)訪問(wèn)網(wǎng)站，于是我們就給他打開(kāi)25、110，關(guān)閉80。

    2、NAT

    NAT，即網(wǎng)絡(luò)地址轉(zhuǎn)換，當(dāng)我們內(nèi)網(wǎng)的機(jī)器在沒(méi)有公網(wǎng)IP地址的情況下要訪問(wèn)網(wǎng)站，這就要用到NAT。工作過(guò)程就是這樣，內(nèi)網(wǎng)一臺(tái)機(jī)器192.168.0.10要訪問(wèn)新浪，當(dāng)?shù)竭_(dá)防火墻時(shí)，防火墻給它轉(zhuǎn)變成一個(gè)公網(wǎng)IP地址出去。一般我們?yōu)槊總�(gè)工作站分配一個(gè)公網(wǎng)IP地址。

     防火墻中要用到以上提到的數(shù)據(jù)包過(guò)濾和代理服務(wù)器，兩者各有優(yōu)缺點(diǎn)，數(shù)據(jù)包過(guò)濾僅僅檢查題頭的內(nèi)容，而代理服務(wù)器除了檢查標(biāo)題之外還要檢查內(nèi)容。當(dāng)數(shù)據(jù)包過(guò)濾工具癱瘓的時(shí)候，數(shù)據(jù)包就都會(huì)進(jìn)入內(nèi)網(wǎng)，而當(dāng)代理服務(wù)器癱瘓的時(shí)候內(nèi)網(wǎng)的機(jī)器將不能訪問(wèn)網(wǎng)絡(luò)。

    另外，防火墻還提供了加密、身份驗(yàn)證等功能。還可以提供對(duì)外部用戶(hù)VPN的功能。

    第八、DMZ

    DMZ本來(lái)是朝鮮的南北大戰(zhàn)的時(shí)候，提出的停火帶。但是在我們網(wǎng)絡(luò)安全里面，DMZ來(lái)放置例如網(wǎng)站服務(wù)器、郵件服務(wù)器、DNS服務(wù)器、FTP服務(wù)器等。

    我們可以通過(guò)DMZ出去，這樣就為黑客進(jìn)來(lái)提供了通道，所以我們有必要添加第二臺(tái)防火墻，來(lái)加強(qiáng)我們的網(wǎng)絡(luò)安全。

    這樣帶來(lái)的麻煩就是從網(wǎng)上下載，首先要來(lái)驗(yàn)證安全性，下載的時(shí)候要等一會(huì)。

    第九、IDS

    我們使用了防火墻和防病毒之后，使用IDS來(lái)預(yù)防黑客攻擊。

    IDS，就是分析攻擊事件以及攻擊的目標(biāo)與攻擊源，我們利用這些可以來(lái)抵御攻擊，以將損壞降低到最低限度。

    目前IDS還沒(méi)有象防火墻那樣用的普遍，但是這個(gè)也將是未來(lái)幾年的趨勢(shì)，現(xiàn)在一些政府已經(jīng)開(kāi)始使用。

    國(guó)內(nèi)著名的IDS廠家例如金諾網(wǎng)安、中聯(lián)綠盟、啟明星辰。

    第十、VPN

    以前我們都是通過(guò)電話(huà)和郵件來(lái)和外地的分公司聯(lián)系。分公司從總公司找一些文件都是通過(guò)撥號(hào)上網(wǎng)，即使用點(diǎn)對(duì)點(diǎn)協(xié)議，這樣安全，但是花費(fèi)很高。VPN可以解決這一點(diǎn)。

    第十一、分析時(shí)間日志與記錄

    我們要經(jīng)常的來(lái)查看防火墻日志、入侵檢測(cè)的日志以及查看防病毒軟件的更新組件是否最新等。