6.使用802.1X进行身份验证

有线网络方面的身份验证和加密经常被忽略，因为这涉及很高的复杂性。IT通常会加密无线连接，但也不要忘记或忽略有线连接。本地攻击者可能插入到你的网络，而没有什么能够阻止他们发送或接受信息。

虽然不熟802.1X身份验证不会加密以太网流量，至少可以阻止他们在使用登陆凭证前发送或访问任何资源。并且，你也可以在无线网络利用这种身份验证，通过AES加密部署企业级WPA2安全，这比使用WPA2的个人级加密有更多好处。

802.1X身份验证的另一大好处是动态分配用户到VLAN的能力。

为了部署802.1X身份验证，你首先需要一个远程身份验证拨入用户服务(RADIUS)服务器，它基本上是作为用户数据库，也是授权/拒绝网络接入的组件。如果你有Windows Server，那么你就已经有了一个RADIUS服务器：网络政策服务器(NPS)角色;或者在旧的Windows Server版本中，就是互联网验证服务(IAS)角色。如果你还没有服务器，你可以考虑独立的RADIUS服务器。

7. 使用VPN来加密所选电脑或服务器

如果你真的希望保护网络流量，可以考虑使用加密。请记住，即使你使用了VLAN和802.1X身份验证，仍然有人可以在网络( VLAN)上窃听以捕获未加密的流量，其中可能包括密码、电子邮件和文件。

虽然您可以加密所有流量，首先请分析你的网络。你应该加密你认为还没有加密的最重要的通信，例如通过SSL/HTTPS。你可以通过客户端上的标准VPN来传输敏感流量，这可仅用于敏感通信或用于所有通信。

8.加密整个网络

你还可以加密整个网络。一种选择是IPsec。Windows Server可以作为IPsec服务器，Windows还支持客户端功能。然而，加密过程可能给网络带来很大的负担;有效的传输率可能会大幅度下降。网络供应商还提供了专有网络加密解决方案，很多采用2层网络方法，而不是3层网络(例如IPsec)来帮助减少延迟性和开销。

(责任编辑：)