服务器网络安全如何保障(2)

　　另外一种情况是，服务器使用真实IP地址，防火墙配置成路由模式，不使用它的NAT功能。这种情况虽然可以实现，但会使你的网络结构变得很复杂，似乎也不会带来效益的提高。

　　大多数IDC的机房不提供防火墙服务，你需要自己购买和配置使用防火墙。你完全可以按透明模式或NAT模式来配置，具体怎么配取决于你的实际情况。有些IDC公司会提供防火墙服务，作为他们吸引客户的一个手段。一般来说，他们的防火墙服务会收费。

　　如果你的服务器在IDC提供的公共防火墙后面，那么就有必要仔细考虑你的内网结构了。如果IDC提供给你的防火墙使用透明模式，也即是你的服务器全部使用真实IP地址，在这种情况下，除非你的服务器数量足够多(象我们在北京有500多台)，那么在你的逻辑网段里肯定还有其他公司的主机存在。

　　这样，虽然有防火墙，你的系统管理任务也不会轻松多少，因为你要受到同一网段里其他公司主机的威胁。例如，你的服务器的IP地址段是211.139.130.0/24，你使用了其中的几个地址，那么在这个网段里还会有200多台其他公司的主机，它们与你的主机同处于一个防火墙之后，虽然防火墙可以屏蔽来自因特网的某些访问，然而，内部这些主机之间的相互访问却没有任何屏蔽措施。于是，其他公司不怀好意的人可以通过他们的主机来攻击你。

　　或者，网络中一台主机被黑客入侵，则所有服务器都会面临严重威胁。在这样的网络中，你不要运行NFS、Sendmail、BIND这样的危险服务。

　　这种问题的解决方法是自己购买防火墙，并配置使用透明模式，不要使用公用防火墙的透明模式。

　　有的IDC公司会给你提供NAT方式的防火墙，你需要在服务器上设置私有IP地址，然后由防火墙来给服务器做地址转换。这种情况与上述情况存在同样的问题，那就是，在你的服务器所在的逻辑网段里还有其他公司的主机。

　　例如在172.16.16.0/24这个网段可容纳254台主机，你的服务器使用了其中的几个IP，那么可能还有200多台其他公司的主机与你的服务器在同一个网段里。这样，虽然对外有防火墙保护，但无法防范来自内网的攻击。

　　要解决这个问题，你不必自己购买防火墙。既然私有IP是可以任意分配的，那么你可以向IDC单独要一个网段，例如172.16.19.0/24网段，把你的服务器都放在这个网段里，其中不要有其他公司的主机。这样一来，你的内网也无懈可击了。

　　实际上，如果你有一个大的UNIX主机的网络，那么没必要让每台主机都在防火墙上打开登陆端口。你可以特别设置一台或两台主机做为登陆入口，对其他主机的访问都必须使用入口主机作为跳板。这样做牺牲了使用的方便性，但带来更强的安全性。当然，前提是你必须管理好入口主机。

　　有一种电子令牌卡适合这种应用，它是一张随身携带的卡，每隔一段时间(这个时间通常很小，几分钟或者几十秒)动态产生一个口令，你只有使用这个口令才能登陆主机，并且该口令很快就会失效。

　　不仅是UNIX主机，对Windows主机的终端管理也可以采用这种跳板的方式。但Windows的终端比UNIX的shell要麻烦得多，如果你不愿牺牲太多的方便性，那么就不要这样做。

　　网络安全是服务器安全中重要的部分，希望大家已经掌握以上的内容，另外，还希望大家多多关注防火墙的知识，以更明白的了解服务器网络安全。