學會如何在內部服務器和客戶端使用訪問控制列表來保護你的網絡不會遭到各種各樣的襲擊。

大多的安全管理程序都能很好地使用防火墻，過濾路由器和其它的防御工具來保護它們的網絡免于受到外部黑客的襲擊。然而，對于你網絡的最大的敵人莫過于內部的攻擊。內部的訪問控制列表（ACLs）可以幫助保護你的網絡安全免遭內部危害。

你的路由器和交換機中的內部ACLs可以在安全構件中給你提供另外一個工具。通過在你的網絡中限制傳輸的類型，你就可以提高性能，并且可以減少你的弱點，以防止內部攻擊、特洛伊木馬和蠕蟲病毒的繁衍。當你開發了內部的ACLs，請記住這個基本的規則：客戶端發出，服務器監聽。

服務器監聽

除非你創建了一個腳本來在服務器上運行，否則你就是使用服務器來控制其它的服務器或連接（例如，一個服務器終端或者一個打印機服務器），服務器不建立連接。它們從客戶端的機器上相應服務需求。

所以，當你開發ACLs的時候，首先要確定每個服務器是干什么的，并且要知道哪個客戶需要訪問這些信息。例如，如果你在運行一個內部的，非SSL的網絡服務，你可以把訪問列表置于訪問你的網絡服務的端口處，并且只允許TCP的80端口可以訪問。但是，如果這個服務器是范圍控制器（DC），你就需要允許一系列的端口可以訪問這個服務器，從而可以進行客戶身份鑒定和登陸服務。

特別的，在Windows NT的DC，你需要允許：

NetBIOS 名稱： UDP 端口 137

NetBIOS 網絡登陸和瀏覽：UDP 端口 138

NetBIOS 會話：TCP端口 139

遠程程序調用(RPC): TCP端口 135

或者，對于Windows 2000的DC，你需要允許：

Kerberos authentication: UDP/TCP port 88

RCP: TCP端口 135

輕量級目錄訪問協議(LDAP): UDP/TCP端口 389

微軟路徑服務：TCP端口 445

LDAP 全局目錄：TCP端口3268 (如果DC保持著全局目錄的操縱權)

服務器列表接下來，就依賴服務器的類型和功能The server list continues, depending on the type and function of the server.

客戶端發送

正像我前面說的一樣，客戶端“talk”，或者建立連接。為了增加內部的安全性，你將會需要篩選客戶端的外部連接。雖然試圖篩選客戶的連接不是一件容易的事情，可是一旦你知道你的服務器在監聽哪個端口，你就可以知道你的客戶在試圖連接哪個端口。

給客戶連接開發一個訪問列表是通過了解你的客戶需要什么服務決定的。例如，如果你不想讓一個客戶可以進行遠程登陸，你就可以通過不允許它訪問TCP端口23來完成。

最后的思考

你也許認為這些類型的ACLs太難進行管理。但是在你放棄這個決定之前，運行NMAP或者另外一個端口掃描儀并記錄客戶端和服務器的連接。這就可以給你提供一個工作基線，這樣你就可以在這個基線上建立你自己內部的ACL ，并可以增加你成功的可能性。

特洛伊木馬和蠕蟲病毒需要端口才能進行通信。在你的內部網絡中嚴格控制端口和協議，你就可以減少它們繁殖的幾率，所以要特別關注你服務器和客戶的開放端口。控制你的網絡安全的過程很長，從網絡連接開始到客戶中止連接時才結束。