安全的數(shù)據(jù)中心可以幫助企業(yè)降低業(yè)務(wù)宕機(jī)和安全問題造成的損失。

傳輸在網(wǎng)絡(luò)中的數(shù)據(jù)包一般都存在風(fēng)險(xiǎn)，IT安全專家們需要對(duì)此加以重視。

每時(shí)每刻，以百萬計(jì)的網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)入企業(yè)網(wǎng)絡(luò)，安全專家有責(zé)任對(duì)這龐大的網(wǎng)絡(luò)流量進(jìn)行分析并阻止和減少惡意數(shù)據(jù)包對(duì)網(wǎng)絡(luò)的危害。為了更有效率的履行上述職責(zé)，人們已經(jīng)開發(fā)了不少方法和工具，如入侵檢測(cè)系統(tǒng)，入侵防御系統(tǒng)，WEB應(yīng)用防火墻等。若這些方法運(yùn)用得當(dāng)，可以非常有效的過濾惡意流量，保障網(wǎng)絡(luò)安全。

然而，很多時(shí)候網(wǎng)絡(luò)攻擊者可以成功突破這些防御機(jī)制壁壘，人們往往更多在事后才發(fā)現(xiàn)入侵痕跡。這是攻擊者與防守者之間的對(duì)弈，防守者則需要十分熟悉Wireshark網(wǎng)絡(luò)分析技巧。

步驟一：設(shè)置捕獲點(diǎn)

企業(yè)安全專家可能嘗試的方法是，通過啟用Wireshark捕獲網(wǎng)絡(luò)中兩個(gè)不同點(diǎn)，來驗(yàn)證防火墻性能效率。首先，在直通模式設(shè)備的非軍事區(qū)中，開啟混合模式，并啟動(dòng)Wireshark進(jìn)行抓包。這樣能獲取到所有試圖通過網(wǎng)絡(luò)的未過濾數(shù)據(jù)包。接著，立即在在防火墻后的某臺(tái)設(shè)備上開啟Wireshark。根據(jù)實(shí)際網(wǎng)絡(luò)拓?fù)�，可能需要配置一個(gè)監(jiān)控點(diǎn)。在數(shù)據(jù)獲取到一定量后，保存數(shù)據(jù)并開始分析。

步驟二：檢查是否有入侵

對(duì)比步驟一中收集的兩個(gè)數(shù)據(jù)包，對(duì)比依據(jù)為防火墻上設(shè)置的過濾規(guī)則，檢查數(shù)據(jù)是否存在差異。例如，許多防火墻默認(rèn)屏蔽所有TCP 23端口的Telnet流量�？梢試L試從外部網(wǎng)絡(luò)發(fā)起針對(duì)內(nèi)部網(wǎng)絡(luò)設(shè)備的telnet登錄。檢查Wireshark獲取的數(shù)據(jù)內(nèi)容，驗(yàn)證數(shù)據(jù)包是否有發(fā)往防火墻。接下來，需要見證防火墻后的Wireshark數(shù)據(jù)，通過過濾器塞選Telent流量，如果發(fā)現(xiàn)有任何Telnet記錄，則說明防火墻配置存在嚴(yán)重問題了。

警覺的安全專家需要時(shí)刻意識(shí)到上述Telnet測(cè)試是最最基本的，對(duì)生產(chǎn)環(huán)境并不會(huì)有任何影響，因?yàn)楫?dāng)今最復(fù)雜的防火墻已經(jīng)可以輕松拒絕傳統(tǒng)非安全協(xié)議，如Telnet和FTP。盡管如此，既然已經(jīng)著手測(cè)試，上述內(nèi)容是一個(gè)不錯(cuò)的開始。所以，在我們通過Wireshark捕捉兩臺(tái)網(wǎng)絡(luò)設(shè)備的數(shù)據(jù)包后，現(xiàn)在可以開始著手更深入的包檢測(cè)方法。

步驟三：限制網(wǎng)絡(luò)端口

在開啟Wireshark一段時(shí)間后，停止捕捉并將文件保存為PCAP文件格式。如果兩個(gè)捕捉點(diǎn)之間有任何互聯(lián)網(wǎng)信息數(shù)據(jù)傳輸，那么數(shù)據(jù)包的數(shù)量將很快達(dá)到上千個(gè)。

大多數(shù)企業(yè)需要某種類型的網(wǎng)站展示，主要有兩種可能性：業(yè)務(wù)需要Web服務(wù)器，而且服務(wù)器通常要開放TCP 80端口。由于通過80端口的HTTP流量無須任何驗(yàn)證，許多攻擊者操作HTTP報(bào)文作為通過防火墻的方法，并以此竊取重要數(shù)據(jù)。簡(jiǎn)單來說。HTTP是大多數(shù)防火墻允許通過并直接放行的報(bào)文，所以攻擊者會(huì)將攻擊信息捎帶在正常的數(shù)據(jù)報(bào)文中，作為獲得某些授權(quán)的方式。