網絡隔離

如果你的公司非常大，那么你很有可能有一臺Web服務器作為公司網站的主機。如果這臺網絡服務器不需要訪問后臺數據庫或者你私有網絡中的其他資源的話，那么就沒有理由把它放在你的私有網絡中。既然你可以把這臺服務器和你自己的網絡隔離開來，那為什么要把它放在私有網絡內部，給黑客一個進入你私有網絡的機會呢？

如果你的Web服務器需要訪問數據庫或者私有網絡中的其他資源，那么我建議你在你的防火墻和網絡服務器之間放置一臺ISA服務器。互聯網用戶同ISA服務器進行通信，而不是直接通過Web服務器訪問。ISA服務器將代理用戶和Web服務器之間的請求。你就能在Web服務器和數據庫服務器建立起一個IPSec連接，并在Web服務器和ISA服務器之間建立起了一個SSL聯接。

包監聽

在你已經采取了所有必要的步驟來保護經過你的網絡中的通信之后，我建議偶爾采用包監聽來監視網絡通信。這僅僅是一個預防措施，因為它幫助你了解在你的網絡中究竟發生了哪些類型的通信。如果你發現了意料不到的通信包類型，你就可以查找到這些包的來源。

協議分析器的最大問題在于它可能被黑客所利用，成為黑客手中的利器。由于包監聽的特性，我曾經認為不可能探測出誰在我的網絡中進行包監聽。包監聽僅僅是監視線纜中發生的通信。由于包監聽不改變通信包，那又怎么能夠知道誰在進行監聽呢？

其實檢查包監聽比你想象的要容易得多。你所需要的僅僅是一臺機器作為誘餌。誘餌機器應該是一臺除了你之外任何人都不知道它存在的工作站。確保你的誘餌機器有一個IP地址，但是不在域之中。現在把誘餌機器連接到網絡中，并讓它產生一些通信包。如果有人在監聽網絡。監聽這就會發現這些由誘餌機器所發出的通信包。問題在于監聽者會知道誘餌機器的IP地址，但是卻不知道它的主機名。通常，監聽者會進行一次DNS查找，試圖找到這臺機器的主機名。由于你是唯一知道這臺機器存在的人，沒有人會進行DNS查找來尋找這臺機器。所以，如果你發現DNS日志中有人進行DNS查找來查找你的誘餌機器，那么你就有理由懷疑這臺機器被利用來監聽網絡了。

  另一個你可以采取、用以阻止監聽的步驟是用VLAN交換機替換掉所有現有的集線器。這些交換機在包的發送者和接受者創建虛擬網絡。包不再經過網絡里的所有機器。它將直接從發送端發送到接受端。這意味著如果有監聽者在監聽你的網絡，他就很難獲得有用的信息。

  這種類型的交換機還有其他的優點。對于一個標準的集線器，所有的節點都落在同一個域中。這就意味著如果你有100 Mbps的總帶寬，那么帶寬將在所有的節點之間進行分配。但是VLAN交換機卻不是如此，每一個虛擬LAN都有專有的帶寬，它不需要進行分享。這就意味著一臺100 Mbps交換機能夠同時處理好幾百Mbps的通信量，所有的通信都發生在不同的虛擬網絡上。采用VLAN交換機能夠同時提高安全性和效率。