Wes Noonan， "Hardening Network Infrastructures"的作者，回顾了在Windows和网络上保护数据的步骤，这些步骤适用于不同情况的网络周边环境。

一个常见的安全性误区是将网络和应用作为互不作用的单独实体。它们可能有各自的维护人员，各自的安全性政策，以及各自的程序等等。健壮的Windows服务器会在保护这些服务器上的数据的整体性上做得更多，但是，我们还必须强化网络本身的基础结构。让我们从下面五个步骤开始。

1.执行访问控制表（ACL）

如果有人可以进入了你的网络，那么他们就可以访问你的Windows系统。因此，我们必须在网络设备上实现严格的ACL，并只对需要访问的用户授予访问权限。比如，在Houston的用户是否需要访问New York的系统？如果不是，在这些系统上传输的流量就不是必不可少的。

2.执行基于网络访问控制（NBAC）

过去将系统连接到网络是很麻烦的：我们必须编译网络驱动程序，分配地址并物理地连接系统以便实现它们之间的通信。虽然，这能够够使得非授权的系统很难连接到网络上，但是这也将导致出现过多的管理开销。然而，诸如星形网络和Dynamic Host Configuration Protocol (DHCP)的技术都可以极其简单地实现将系统连接到网络上。对于这种方法，我一开始也感到非常高兴。但是，马上我意识到现在是任何人都可以连接到网络上。事实上，我的客户中接近90%都有一些活跃网络我可以很容易地进入并获得网络权限，即使它们有一些书面政策声明禁止非授权的连接。

NBAC试图提供一个强制性机制来支持这些书面政策。通过NBAC，我们需要定义什么是授权用户，并确保连接的系统运行了正确的补丁和软件版本。如果没有，它们将被隔离直到系统打上补丁或更新。

3.限制远程连接

实现一个VPN可能会有风险。它是同时允许用户和病毒的网络访问。不要允许VPN访问整个网络，而是通过实现网络ACL来限制远程用户仅可访问所需的服务器和资源。比如，使用VPN来连接Citrix或Terminal Server群以确保允许通过VPN的流量仅限于到Citrix服务器的Citrix流量；如果远程客户端系统感染了病毒，它也不会感染我们的网络。

4.限制和保证无线连接安全

如果处于在防火墙之后，无线LAN连接会在网络边界形成一个特别大的漏洞。这样，这个无线LAN连接必须如其它的远程连接一样对待：在防火墙之外就阻止它们，并要求使用一个VPN连接来获取内部的受保护资源的访问权限。

5.实现IPsec

在网络上实现IPsec是一个有效保护数据在传输过程中不受危害的方式。但是它并不是万能的。比如，如果一台机器受到Slammer的感染，IPsec将只保证在传输之前Slammer流量是加密的。但是，当与其他的加强方法一起使用时，IPsec可以作为一个保护内部流量不受窃取的有效方法。

总结

由于网络边界去除（de-perimeterization）技术，因此我们就可以不再专门依靠网络边界来保护系统和数据。完全删除边界并不是一个解决方法，加强边界也不是。当网络边界失效或被规避了，我们必须加强Windows系统和网络基础结构来保护数据。

关于作者

Wesley J. Noonan在计算机行业有12年多的工作经历，他专注于基于Windows的网络和网络基础结构安全设计和实现。他是Collective Technologies, LLC (www.colltech.com)的高级网络咨询师。最近，Wes为Osborne/McGraw-Hill撰写了"Hardening Network Infrastructures"，并且之前他还为QUE Publishing的"The CISSP training guide"撰写了一章关于网络安全和设计的内容。