大多的安全管理程序都能很好地使用防火墻，過濾路由器和其它的防御工具來保護它們的網(wǎng)絡(luò)免于受到外部黑客的襲擊。然而，對于你網(wǎng)絡(luò)的最大的敵人莫過于內(nèi)部的攻擊。內(nèi)部的訪問控制列表（ACLs）可以幫助保護你的網(wǎng)絡(luò)安全免遭內(nèi)部危害。

你的路由器和交換機中的內(nèi)部ACLs可以在安全構(gòu)件中給你提供另外一個工具。通過在你的網(wǎng)絡(luò)中限制傳輸?shù)念愋停�你就可以提高性能，并且可以減少你的弱點，以防止內(nèi)部攻擊、特洛伊木馬和蠕蟲病毒的繁衍。當你開發(fā)了內(nèi)部的ACLs，請記住這個基本的規(guī)則：客戶端發(fā)出，服務(wù)器監(jiān)聽。

服務(wù)器監(jiān)聽
除非你創(chuàng)建了一個腳本來在服務(wù)器上運行，否則你就是使用服務(wù)器來控制其它的服務(wù)器或連接（例如，一個服務(wù)器終端或者一個打印機服務(wù)器），服務(wù)器不建立連接。它們從客戶端的機器上相應(yīng)服務(wù)需求。

所以，當你開發(fā)ACLs的時候，首先要確定每個服務(wù)器是干什么的，并且要知道哪個客戶需要訪問這些信息。例如，如果你在運行一個內(nèi)部的，非SSL的網(wǎng)絡(luò)服務(wù)，你可以把訪問列表置于訪問你的網(wǎng)絡(luò)服務(wù)的端口處，并且只允許TCP的80端口可以訪問。但是，如果這個服務(wù)器是范圍控制器（DC），你就需要允許一系列的端口可以訪問這個服務(wù)器，從而可以進行客戶身份鑒定和登陸服務(wù)。

特別的，在Windows NT的DC，你需要允許：

NetBIOS 名稱： UDP 端口 137
NetBIOS 網(wǎng)絡(luò)登陸和瀏覽：UDP 端口 138
NetBIOS 會話：TCP端口 139
遠程程序調(diào)用(RPC): TCP端口 135

或者，對于Windows 2000的DC，你需要允許：

Kerberos authentication: UDP/TCP port 88
RCP: TCP端口 135
輕量級目錄訪問協(xié)議(LDAP): UDP/TCP端口 389
微軟路徑服務(wù)：TCP端口 445
LDAP 全局目錄：TCP端口3268 (如果DC保持著全局目錄的操縱權(quán))

服務(wù)器列表接下來，就依賴服務(wù)器的類型和功能The server list continues, depending on the type and function of the server.

客戶端發(fā)送
正像我前面說的一樣，客戶端“talk”，或者建立連接。為了增加內(nèi)部的安全性，你將會需要篩選客戶端的外部連接。雖然試圖篩選客戶的連接不是一件容易的事情，可是一旦你知道你的服務(wù)器在監(jiān)聽哪個端口，你就可以知道你的客戶在試圖連接哪個端口。

給客戶連接開發(fā)一個訪問列表是通過了解你的客戶需要什么服務(wù)決定的。例如，如果你不想讓一個客戶可以進行遠程登陸，你就可以通過不允許它訪問TCP端口23來完成。

最后的思考
你也許認為這些類型的ACLs太難進行管理。但是在你放棄這個決定之前，運行NMAP或者另外一個端口掃描儀并記錄客戶端和服務(wù)器的連接。這就可以給你提供一個工作基線，這樣你就可以在這個基線上建立你自己內(nèi)部的ACL ，并可以增加你成功的可能性。

特洛伊木馬和蠕蟲病毒需要端口才能進行通信。在你的內(nèi)部網(wǎng)絡(luò)中嚴格控制端口和協(xié)議，你就可以減少它們繁殖的幾率，所以要特別關(guān)注你服務(wù)器和客戶的開放端口�？刂颇愕木W(wǎng)絡(luò)安全的過程很長，從網(wǎng)絡(luò)連接開始到客戶中止連接時才結(jié)束。

【相關(guān)文章】

• 專題：訪問控制列表(ACL)介紹

• 基于時間的訪問控制列表配置實例

• 訪問控制列表概述