不幸的是,IPSec不能区分在多台家庭电脑上网络适配器。因此,除非一台服务器是处在服务器网络之外,你可能会需要使用请求加密选项 ,否则其他的客户端就不能够访问该服务器。
当然IPSec并不是你网络通信所能选择的唯一加密方式。你还必须考虑你要如何保护通过你的网络周边以及通向你无线网络的通信。
今天谈论无线加密还有点困难,因为无线网络设备还在发展。大部分网络管理员都认为无线网络是不安全的,因为网络通信包是在开放空间传播的,任何一个人都可以用带有无线NIC卡的笔记本电脑截获这些通信包。
虽然无线网络确实存在一些风险,但是从某种角度来说,无线网络甚至比有线网络更安全。这是因为无线通信主要的加密机制是WEP加密。WEP加密从40位到152位甚至更高。实际的长度取决于最低的通信参与者。例如,如果你的接入点支持128位WEP加密,但是你的一个无线网络用户设备只支持64位WEP加密,那么你就只能获得64位加密。但是目前基本上所有的无线设备都至少支持128位加密。
很多管理员并没有意识到的事情是,虽然无线网络可以使用WEP加密,但是这并不是他们能够使用的唯一的加密方式。WEP加密仅仅是对所有通过网络的通信进行加密。它对于自己所加密的是何种类型的数据并不关心。因此,如果你已经使用了IPSec来加密数据,那么WEP就能够对已经加密的数据进行第二重加密。
网络隔离
如果你的公司非常大,那么你很有可能有一台Web服务器作为公司网站的主机。如果这台网络服务器不需要访问后台数据库或者你私有网络中的其他资源的话,那么就没有理由把它放在你的私有网络中。既然你可以把这台服务器和你自己的网络隔离开来,那为什么要把它放在私有网络内部,给黑客一个进入你私有网络的机会呢?
如果你的Web服务器需要访问数据库或者私有网络中的其他资源,那么我建议你在你的防火墙和网络服务器之间放置一台ISA服务器。互联网用户同ISA服务器进行通信,而不是直接通过Web服务器访问。ISA服务器将代理用户和Web服务器之间的请求。你就能在Web服务器和数据库服务器建立起一个IPSec 连接,并在Web服务器和ISA服务器之间建立起了一个SSL联接。
