什么时候进行网络隔离?

申请免费试用、咨询电话：400-8352-114

人们谈论电脑安全问题最多的是怎样保护自己的电脑。为了安全的目的，一台存储有机密数据或是只有特定的人能进入的电脑也许是被锁起来，而且是不能上网的。一旦有人想进入电脑，唯一安全的电脑就是锁起来的，断网的(也许再加上没有开机的或没有插件的)。

但是，要保护一台服务器需要很复杂的措施。在系统可以装些软件，例如装防火墙，这样，就可以完全的保护电脑。如果你害怕有可能把你的系统信息暴露给别人，(或只是一部分你的文件)，你可以只选用其中的一些防范功能，这样也是有效的。取决于个人的需要。

防火墙

保护电脑，防火墙是最简单，也是最基本的，它主要是保护服务器免受直接的攻击。微软公司的各个版本的windows系统都适当的带有防火墙，它可以阻挡所有不必要的访问。它可以在端口运行，或是用软件的形式运行。所以它的应用是很方便的。但是如果有人发送纯文本，而它运行这个纯文本的时候，这个软件自己就要受到破坏。任何人发现了那些数据包，就知道了是怎么回事了。

实际网络segmentation/subnetting

网络划分或子网 是保护电脑的另一种方法:给电脑设定进入密码，客户机想进入就要输入密码。但是这样做也不是完全保险的。别人可以从相同的子网，运行Snort，从而进入这台电脑。

还有一种保护电脑的办法就是客户机用自己的网线。但是这样不合实际，除非你已经为客户机设定了空间。在无线网络可用之前，目前，我们为了测试，用CAT5线，在办公室之间专门建了子网。这很管用，但是不是最好的办法。一旦有人知道了，我们不得不放弃这种办法。

IPSec

一种非常好的保护主机的办法就是用IPSec-一种在信息平台的非常强的网络安全机制。数据包在服务器上加密，而且只在服务器和自己信任的客户机之间交换。IPSec的另一个好处就是除了加密，还对数据包鉴别，鉴别数据包是不是来自正确的服务器。

IPSec的一个特别的方便之处是，它可以用Windows自己的内置-鉴别配置，Kerberos，所以它用起来比你想象的还方便。它被统一到Windows的IP堆栈，而仅仅是附在上面(像防火墙)，你可以很好的相信它。这样，它可以让你和在另一个子网里的另一个控制器交换被保护的数据。对于大多数人来说，IPSec是最早有选择性的保护服务器的方法，而不需要把服务器和整个网络断开。

"干净空间"隔离

一个"干净空间"电脑就是一台没有网络连接的机器。一个隔离的PC,非常像躲在锁了门的后面一样。需要隔绝的环境类型是难以观察的,但是它们确实存在。举例来说，一个内部使用的权威证明(像代码标记)能够在这样的一个系统上被主办。需要的证明书用手带来或拿走。这样一部机器应该有对硬件和软件的严格控制即不允许没有管理通路的软件安装, 也不允许任何的新硬件安装。 例如，这将会避免安装一个闪存网络装置或堵塞的无线万用串列总线。

即使在你的公司里你不需要完全独立的机器，你也至少应该设立政策和独立空间，当你不得不需要一部独立的机器。运用这样的方法且有支持的空间是很必要的，例如，你需要和一部个人电脑一起工作，这种情况会经常遇到病毒或是别的一些意外，这时你需要在那种情况下检查那台个人电脑。(techtarget)