虽然称为个人防火墙，但这类软件提供了两个主要的功能。

　　·端口阻塞
　　·连接追踪

　　你还可以拒绝特定的ip地址。这些程序并不是真的防火墙。而且，大多数的个人防火墙软件并不适合做服务器的安全解决方案。

　　流行的软件

　　流行的防火墙软件包括：

　　·network ice’s black ice和black ice defender
　　·mcaffee’s conseal
　　·zone labs’zone alarm

　　虽然大多数的个人防火墙产品是针对客户端系统的，但networkice同样也适合对高性能的产品提供支持。它们是icecap和blackice。后者是主机级的入侵监测软件的代表。

　　ipsec和加密

　　许多公司越来越重视内部的攻击。为了解决这种问题，你可以建议应用ipsec和个人加密。pgp程序是简单地应用ipsec来帮助建立有效的局域网和广域网级别的vpn解决方案的实例。

　　个人加密产品包括象bestcrypt这样的程序。这些软件有助于公司确保文件，目录甚至是整个硬盘的保密性。这些操作系统的附件可以帮助确保数据的机密。

　　加密和安全策略的一致性

　　其实，有些公司不希望使用个人加密，因为不希望员工加密的文件连管理者和it人员也解不开。因此，如果你建议了这种解决方案，你需要准备建立key escrow系统来统一管理加密和解密。

　　审计可以建立在多种级别上。例如，如果你在windows primary domain controller（pdc）实施了审计，则该策略将应用于整个域。审计还可以发生在操作系统级别。例如，你可以象前面课程中所学的审计登录失败和系统关闭。最后，你可以在资源级别实施审计，这些资源包括文件和目录。

　　修补系统漏洞

　　审计人员的工作就是发现系统漏洞并修补它们。操作系统的hot fixes和service packs是修补系统漏洞的主要手段。你可以升级tcp/ip堆栈，或者，甚至应用ipv6。

　　nt中的tcp序列

　　知道service pack5出现之前，windowsnt使用的tcp序列机制是很容易被预测的。虽然序列号可以从随机的数值开始，但是随后接收的包会在序列上加一。攻击者通常会利用这种可以预测的序列数，因为这允许他们进行劫持攻击。虽然由sp5提供的序列机制也没有像linux和unix操作系统中的复杂，但仍然建议安装最新的service pack 6a版本。

　　ipv6

　　虽然ipv6无法实施在每种场合，但它迅速成为一种选择。ipv6使用了加密和验证机制，现在主流的操作系统如windowsnt,linux 6.1和solaris都支持ipv6。在本书写作的时候，选择ipv6作为唯一的协议会限制访问internet，但是在某些情况下，对隔离的局域网使用ipv6会达到更高的安全效果。

　　ipv6提供了下列的安全特性：

　　·加强的验证机制（通过验证扩展头）减小了被spoofing和hijacking攻击的可能性。
　　·数据加密（通过encrypted security payload扩展头）减小了被嗅探攻击的可能性。

　　想获得关于ipv6的更多信息，请访问http://www.ipv6.org。这个站点包含了最新的有关ipv6发展的信息，所有与协议相关的rfc文件，和所有支持ipv6的操作系统和程序。

　　升级和替代服务

　　通常你需要升级和替代已经存在的服务。在进行更改时，请考虑下列的步骤：

　　·研究新的产品。问问自己它是否适合你的网络和商业情况。
　　·确定需要多少时间来实施这些变化。
　　·在把它们应用到产品之前彻底地进行测试。
　　·要考虑到这些升级和替代会影响其它服务。大多数的网络主机之间是相互影响的。这些新的服务会引起这些问题吗？
　　·确定是否需要对最终用户进行培训。

　　secure shell（ssh）

　　telnet,rlogin和rsh非常有用。它们允许你远程操作服务器就象在本地工作一样。rexec程序允许你不用提供密码就可以从远程在服务器上运行命令。然而，这些服务都是以明文的方式传输信息。secure shell(ssh)是最常见的替代这些服务的方法。在本文写作时，ssh2是最新的版本。

　　ssh提供的安全服务

　　ssh提供两项基本的服务：

　　·数据保密：由于服务器首先发送它的公钥给客户端，所以数据通道是加密的。然后客户端使用服务器的公钥对所有信息加密。当服务器收到加密的信息后，使用自己的私钥对信息进行解密。
　　·验证：使用上面谈到的公钥，两个用户交换彼此的公钥然后使用公钥进行验证。这种机制的好处是在网络上不会传输用户名和密码的信息。

　　你需要理解ssh首先加密了数据通道，然后运行各种各样的验证方法。缺省情况下，secure shell使用22端口，允许你使用公钥进行加密。ssh2使用dsa数字签名算法，这种算法与rsa公钥加密相似，但是没有专利。当然，ssh2可以使用rsa算法。