你网络上的每一台设备都是安全结构的一部分,你需要购买的、和安全相关的设备以及软件的清单正在戏剧性地增长。明确你需要买什么来保护网络的安全对于实现深度的防护是至关重要的。
如果你的资金有限,那么下面清单的工具都是预算可以承受的——事实上,它们都是免费的。这些工具能够在很长时间内能够向你提供必要的信息,从而让你为网络安全作出正确的决定。
关于入侵检测系统(intrusion detection system,IDS)的争论已经结束——你要知道谁在扫描你的网络,以及谁在撕碎你的安全防护网,这一点很重要。你知道吗?经过证明和测试的最佳IDS实现居然是免费的。
Snort几乎能在任何平台(包括Windows)上运行。在和MySQL这样开放源代码的数据库结合在一起的时候,这是一种无与伦比的好方法,它能够对你已有的和未来的入侵检测设计提供可靠的和极佳的响应。
这些解决方案都不需要最新的硬件来支持其运行。你可以一台Snort机器上带有的三个接口来同时监测外部和内部的流量。
请下载Snort的文档,并在饭后慢慢阅读。你不用对实现IDS解决方案夸夸其谈,今天就安装一个就行了。
安全的一个基础部分是能够识别你网络上的每台设备及其功能。但是你无法知道网络上有什么,除非侦听自己的网络。
Nmap是一个优秀的开放源代码工具,它能够提供内部网络设备的具体细节,以及这些设备用来通信的端口。扫描到新的硬件部署以关闭掉无用的服务,并定期扫描你的网络来发现外来设备是十分重要的。
不要再猜测你需要在自己的网络上开放什么端口了。用Nmap侦听你的网络,制定你的内部访问控制表。
从Internet地址分配机构(IANA)下载一份端口的参考列表,并为你网络上运行的每个应用程序创建一个参考列表。
在往你的内部网上加载联网的应用程序之前,要确信你的文档指出了应用程序会使用哪些端口和协议来通信。一旦你弄清了联网的应用程序,在不同的子网里安装和移动服务器就要容易得多,麻烦也会少得多。
对于每个联网的应用程序来说,应该确定为客户提供服务所需的最少端口数。如果生产商无法告知你其应用程序要使用哪些端口,那你就换另一个生产商吧。
安全不是免费的,但是这些工具是免费的。从网络安全的角度讲,你不需要很多预算就能够实现高安全性。你只需要实现正确的工具——并使用它们。
