大多的安全管理程序都能很好地使用防火墻，過濾路由器和其它的防御工具來保護它們的網(wǎng)絡免于受到外部黑客的襲擊。然而，對于你網(wǎng)絡的最大的敵人莫過于內(nèi)部的攻擊。內(nèi)部的訪問控制列表（ACLs）可以幫助保護你的網(wǎng)絡安全免遭內(nèi)部危害。

你的路由器和交換機中的內(nèi)部ACLs可以在安全構(gòu)件中給你提供另外一個工具。通過在你的網(wǎng)絡中限制傳輸?shù)念愋停憔涂梢蕴岣咝阅埽⑶铱梢詼p少你的弱點，以防止內(nèi)部攻擊、特洛伊木馬和蠕蟲病毒的繁衍。當你開發(fā)了內(nèi)部的ACLs，請記住這個基本的規(guī)則：客戶端發(fā)出，服務器監(jiān)聽。

服務器監(jiān)聽
除非你創(chuàng)建了一個腳本來在服務器上運行，否則你就是使用服務器來控制其它的服務器或連接（例如，一個服務器終端或者一個打印機服務器），服務器不建立連接。它們從客戶端的機器上相應服務需求。

所以，當你開發(fā)ACLs的時候，首先要確定每個服務器是干什么的，并且要知道哪個客戶需要訪問這些信息。例如，如果你在運行一個內(nèi)部的，非SSL的網(wǎng)絡服務，你可以把訪問列表置于訪問你的網(wǎng)絡服務的端口處，并且只允許TCP的80端口可以訪問。但是，如果這個服務器是范圍控制器（DC），你就需要允許一系列的端口可以訪問這個服務器，從而可以進行客戶身份鑒定和登陸服務。

特別的，在Windows NT的DC，你需要允許：

NetBIOS 名稱： UDP 端口 137
NetBIOS 網(wǎng)絡登陸和瀏覽：UDP 端口 138
NetBIOS 會話：TCP端口 139
遠程程序調(diào)用(RPC): TCP端口 135

或者，對于Windows 2000的DC，你需要允許：

Kerberos authentication: UDP/TCP port 88
RCP: TCP端口 135
輕量級目錄訪問協(xié)議(LDAP): UDP/TCP端口 389
微軟路徑服務：TCP端口 445
LDAP 全局目錄：TCP端口3268 (如果DC保持著全局目錄的操縱權(quán))

服務器列表接下來，就依賴服務器的類型和功能The server list continues, depending on the type and function of the server.

客戶端發(fā)送
正像我前面說的一樣，客戶端“talk”，或者建立連接。為了增加內(nèi)部的安全性，你將會需要篩選客戶端的外部連接。雖然試圖篩選客戶的連接不是一件容易的事情，可是一旦你知道你的服務器在監(jiān)聽哪個端口，你就可以知道你的客戶在試圖連接哪個端口。

給客戶連接開發(fā)一個訪問列表是通過了解你的客戶需要什么服務決定的。例如，如果你不想讓一個客戶可以進行遠程登陸，你就可以通過不允許它訪問TCP端口23來完成。

最后的思考
你也許認為這些類型的ACLs太難進行管理。但是在你放棄這個決定之前，運行NMAP或者另外一個端口掃描儀并記錄客戶端和服務器的連接。這就可以給你提供一個工作基線，這樣你就可以在這個基線上建立你自己內(nèi)部的ACL ，并可以增加你成功的可能性。

特洛伊木馬和蠕蟲病毒需要端口才能進行通信。在你的內(nèi)部網(wǎng)絡中嚴格控制端口和協(xié)議，你就可以減少它們繁殖的幾率，所以要特別關注你服務器和客戶的開放端口。控制你的網(wǎng)絡安全的過程很長，從網(wǎng)絡連接開始到客戶中止連接時才結(jié)束。