服務器網絡安全如何保障(2)

　　另外一種情況是，服務器使用真實IP地址，防火墻配置成路由模式，不使用它的NAT功能。這種情況雖然可以實現，但會使你的網絡結構變得很復雜，似乎也不會帶來效益的提高。

　　大多數IDC的機房不提供防火墻服務，你需要自己購買和配置使用防火墻。你完全可以按透明模式或NAT模式來配置，具體怎么配取決于你的實際情況。有些IDC公司會提供防火墻服務，作為他們吸引客戶的一個手段。一般來說，他們的防火墻服務會收費。

　　如果你的服務器在IDC提供的公共防火墻后面，那么就有必要仔細考慮你的內網結構了。如果IDC提供給你的防火墻使用透明模式，也即是你的服務器全部使用真實IP地址，在這種情況下，除非你的服務器數量足夠多(象我們在北京有500多臺)，那么在你的邏輯網段里肯定還有其他公司的主機存在。

　　這樣，雖然有防火墻，你的系統(tǒng)管理任務也不會輕松多少，因為你要受到同一網段里其他公司主機的威脅。例如，你的服務器的IP地址段是211.139.130.0/24，你使用了其中的幾個地址，那么在這個網段里還會有200多臺其他公司的主機，它們與你的主機同處于一個防火墻之后，雖然防火墻可以屏蔽來自因特網的某些訪問，然而，內部這些主機之間的相互訪問卻沒有任何屏蔽措施。于是，其他公司不懷好意的人可以通過他們的主機來攻擊你。

　　或者，網絡中一臺主機被黑客入侵，則所有服務器都會面臨嚴重威脅。在這樣的網絡中，你不要運行NFS、Sendmail、BIND這樣的危險服務。

　　這種問題的解決方法是自己購買防火墻，并配置使用透明模式，不要使用公用防火墻的透明模式。

　　有的IDC公司會給你提供NAT方式的防火墻，你需要在服務器上設置私有IP地址，然后由防火墻來給服務器做地址轉換。這種情況與上述情況存在同樣的問題，那就是，在你的服務器所在的邏輯網段里還有其他公司的主機。

　　例如在172.16.16.0/24這個網段可容納254臺主機，你的服務器使用了其中的幾個IP，那么可能還有200多臺其他公司的主機與你的服務器在同一個網段里。這樣，雖然對外有防火墻保護，但無法防范來自內網的攻擊。

　　要解決這個問題，你不必自己購買防火墻。既然私有IP是可以任意分配的，那么你可以向IDC單獨要一個網段，例如172.16.19.0/24網段，把你的服務器都放在這個網段里，其中不要有其他公司的主機。這樣一來，你的內網也無懈可擊了。

　　實際上，如果你有一個大的UNIX主機的網絡，那么沒必要讓每臺主機都在防火墻上打開登陸端口。你可以特別設置一臺或兩臺主機做為登陸入口，對其他主機的訪問都必須使用入口主機作為跳板。這樣做犧牲了使用的方便性，但帶來更強的安全性。當然，前提是你必須管理好入口主機。

　　有一種電子令牌卡適合這種應用，它是一張隨身攜帶的卡，每隔一段時間(這個時間通常很小，幾分鐘或者幾十秒)動態(tài)產生一個口令，你只有使用這個口令才能登陸主機，并且該口令很快就會失效。

　　不僅是UNIX主機，對Windows主機的終端管理也可以采用這種跳板的方式。但Windows的終端比UNIX的shell要麻煩得多，如果你不愿犧牲太多的方便性，那么就不要這樣做。

　　網絡安全是服務器安全中重要的部分，希望大家已經掌握以上的內容，另外，還希望大家多多關注防火墻的知識，以更明白的了解服務器網絡安全。