安全的数据中心可以帮助企业降低业务宕机和安全问题造成的损失。

传输在网络中的数据包一般都存在风险，IT安全专家们需要对此加以重视。

每时每刻，以百万计的网络数据包进入企业网络，安全专家有责任对这庞大的网络流量进行分析并阻止和减少恶意数据包对网络的危害。为了更有效率的履行上述职责，人们已经开发了不少方法和工具，如入侵检测系统，入侵防御系统，WEB应用防火墙等。若这些方法运用得当，可以非常有效的过滤恶意流量，保障网络安全。

然而，很多时候网络攻击者可以成功突破这些防御机制壁垒，人们往往更多在事后才发现入侵痕迹。这是攻击者与防守者之间的对弈，防守者则需要十分熟悉Wireshark网络分析技巧。

步骤一：设置捕获点

企业安全专家可能尝试的方法是，通过启用Wireshark捕获网络中两个不同点，来验证防火墙性能效率。首先，在直通模式设备的非军事区中，开启混合模式，并启动Wireshark进行抓包。这样能获取到所有试图通过网络的未过滤数据包。接着，立即在在防火墙后的某台设备上开启Wireshark。根据实际网络拓扑，可能需要配置一个监控点。在数据获取到一定量后，保存数据并开始分析。

步骤二：检查是否有入侵

对比步骤一中收集的两个数据包，对比依据为防火墙上设置的过滤规则，检查数据是否存在差异。例如，许多防火墙默认屏蔽所有TCP 23端口的Telnet流量。可以尝试从外部网络发起针对内部网络设备的telnet登录。检查Wireshark获取的数据内容，验证数据包是否有发往防火墙。接下来，需要见证防火墙后的Wireshark数据，通过过滤器塞选Telent流量，如果发现有任何Telnet记录，则说明防火墙配置存在严重问题了。

警觉的安全专家需要时刻意识到上述Telnet测试是最最基本的，对生产环境并不会有任何影响，因为当今最复杂的防火墙已经可以轻松拒绝传统非安全协议，如Telnet和FTP。尽管如此，既然已经着手测试，上述内容是一个不错的开始。所以，在我们通过Wireshark捕捉两台网络设备的数据包后，现在可以开始着手更深入的包检测方法。

步骤三：限制网络端口

在开启Wireshark一段时间后，停止捕捉并将文件保存为PCAP文件格式。如果两个捕捉点之间有任何互联网信息数据传输，那么数据包的数量将很快达到上千个。

大多数企业需要某种类型的网站展示，主要有两种可能性：业务需要Web服务器，而且服务器通常要开放TCP 80端口。由于通过80端口的HTTP流量无须任何验证，许多攻击者操作HTTP报文作为通过防火墙的方法，并以此窃取重要数据。简单来说。HTTP是大多数防火墙允许通过并直接放行的报文，所以攻击者会将攻击信息捎带在正常的数据报文中，作为获得某些授权的方式。

例如，恶意用户可通过操纵HTTP报文的方式，让WEB响应大量的敏感信息，而这些信息可能是不允许未经授权查看的。更具体来说，恶意用户可以使用通配符路径插入结束语句，指示接收结点返回攻击者想要的指定目录所有文件。例如，一个恶意的HTTP GET方法可能看来如下所示：

GET /complete_table/*.html HTTP/1.1\r\n

如果防火墙没有配置为针对所有Web流量的深度包检测模式，那么上述命令可能允许终端用户获取/complete_table/目录下的所有HTML文件。Wireshark捕获功能一直开启的话，可以通过如下命令进行过滤分析：

http.request.method==GET && http.request.uri=="/complete_table/*"

在语句中将/complete_table/*替换成可通过HTTP访问的文件具体路径。如果WEB服务器是Linux系统，那么路径可能看起来像这样：

/var/www/your_files*

在http.request.uri字段会因网络而异，但可以通过通配符来寻找问题，我们需要确定通配符*在哪里出现。如果发现这方面的线索，深入分析后将可能找到更合乎逻辑的解释。

防火墙与其他网络防御设备解决方案差异很大。某些设备高品质，高可配置和高性能。其他设备则更倾向与在可行性与预算允许情况下的权宜之计。无论组织选择何种针对互联网的防御机制，都需要人工和一些直觉来分析网络数据包并预测未来可能的数值趋势。

(责任编辑：安博涛)