使用自由软件维护异构网络的安全(2)

　　一个异构网络的例子

　　第一个有利的是地球上所有的操作系统都”讲”TCP／IP语言。有了这一点不同的系统可以相互通信。相应地作为探讨网络的一个例子，TCP／IP总是被提到。换而言之，其他专有的，不常见的和过时的协议不会提到。我们也不讨论物理结构，比如连接的形式，分类等等。

　　这样我们在这个网络里什么都放一些进去。当然会包括UNIX，无论专有的或免费的，比如，Solaris2.6，或SunOs 5.6，如果你原意也可以是Irix 6.5，Linux（RH 6.2）或MacOs X。我们可以加一些QNX，NeXTSTEP，NetBSD或OpenBSD。为了遵循”传统”，我们将包括那个叫Not Terminated 4.0的东西（不是，没有什么别的意思，只是它比你想像的更糟糕）。

　　这里呢，我们还包括OS２这个稍好一点的系统。最后我们加入一些”非传统”的OS，比如BeOS，AmigaOS（是的，它存在。不相信吗？）

　　当然有的人已经抱怨了：什么没有AIX，没有HP-UX？没有。如果你提到每一个UNIX，那会写一个１０卷的文章。无论如何，基本的安全准则对所有的系统都是有效的。

　　现在，我们能叫它们做些什么呢？

　　举例来说，可以让Solaris作为应用服务器。Irix负责备份。NT作为另一个应用服务器。Linux作为网关。另一个Linux机器用做http服务器或者数据库服务器。其他所有的机器都是客户机。网络中大约３０台机器使用密文认证。我们将选择比较复杂的认证方式： NIS (Yellow Pages)，LDAP或者Kerberos...。为了让事情简单一点。我们不使用NFS，它也许有用并且安全性能有所改善，但是从安全着眼，你最好忘记它。在法国，有句老话，”最好不要把所有的鸡蛋放到一个篮子里”。不是”一定要”但最好是服务或者协议一个系统只使用一种。举例来说，一个ftp服务器，http服务器很适宜在各自的UNIX机器上。另一些UNIX机器可以用做SSH服务器，其他的做SSH的客户端。后面我们会提到SSH。我们将使用静态的IP：不要DHCP。换而言之，我们使用基本的功能即可。这个样子可以构成一个有５０台机器的网络。机器再多那就会变成恶梦的。