首页 | 新闻资讯 | 培训认证 | 安全管理 | 病毒分析 | 安全协议 | 网络安全 | 防火墙 | 黑客技术
DB安全 | Web安全 | 入侵检测 | 安全审计 | 设备安全 | 备份恢复 | 安全标准 | 法律法规 | 无线安全
OS安全 | PKI与PMI | 病毒防治 | 隔离网闸 | XML安全 | 网管专区 | 经典案例 | 技术论坛 |  
+ 文章搜索 +
当前位置:首页>>安全管理>>安全策略>>正文
关键字:
范 围:
※推荐文章※
·中小规模NT网的安全策略
·计算机网络的安全策略
防火墙及其使用环境技术策略 (三)
作者: 文章出处: 发布时间:2007-01-23 点击: 字体: 【
图3.8中两个方案从原理上是类似的,不过在右图中的防火墙配置有三个端口,可以用其中一个作为专门的DMZ。

  左图中包过滤边界路由器为外部DMZ服务器提供保护,一旦它们被黑客攻破,主防火墙提供进一步的保护。用户可以如图中将内部服务器放置在内部DMZ,为内部网络提供服务。两道防火墙可以保护这些服务器/资源,防止来自内部网络或外部网络的攻击。

  内部DMZ作为内外网络之间的一个联系点,一般情况下是位于两个防火墙之间,比方说,用户将远程访问服务器和VPN服务器放置在此区域中可以减少一种危险:远程攻击者可能利用它们进入内部网络。

  一个典型的防火墙策略是主防火墙采用NAT模式,而内部防火墙采用透明模式工作,以减少内部网络结构的复杂程度。除远程访问和VPN访问外,来自互联网的网络访问只能限制在外部DMZ对外开放的资源上,不可进入内部DMZ,更不可能进入内部网络之中。

3.4 VPN

  VPN(虚拟企业专网)是为了满足移动用户或远程机构透过公网设施访问用户内部网络,一般采用适当强度的加密协议保障信息的传输安全。目前存在几个典型的VPN协议,包括IPsec、PPTP、L2TP等。通过VPN技术可以实现对用户内部网络的扩展,同时为用户带来网络使用成本上的巨大节省。

VPN服务器有两种配置方式:

  1) 用户网络的第一道防火墙之后:防火墙必须打开内外网络之间相应的服务端口,这可能带来安全隐患:首先是防火墙无法检测内外网络之间的通信内容(因为内容是加密过的),进而实现网络的访问控制、审计和病毒检测;其次如前节所描述,远程攻击者可能将其作为攻击内部网络的跳板。因此为提高网络安全程度,最好再如图3.8中配置第二道防火墙:内部防火墙。

  2) 集成在防火墙中:这种方法避免了前种方案的弊端,报文只在VPN客户端和防火墙之间被加密。但是不是所有厂商的防火墙都支持内置的VPN服务增值功能。但是此种方式的一个可能问题就是防火墙的性能问题。此方案的一个典型配置如图3.9所示:


3.5 DNS

  DNS为互联网提供域名解析服务,对任何互联网应用都十分关键。正因为如此,对DNS服务器要采取特别的安全保护措施。

  首先,内部DNS服务器应该和外部DNS服务器分隔开。比如,为互联网服务的外部DNS服务器不应该包含对外禁止访问的内部网络系统的相关条目。将内网的相关条目放置在外部DNS服务器上只会为远程攻击者提供攻击对象名单。这种将内部DNS服务器和外部DNS服务器分隔开的方案又称作"分割DNS"。

其次,要对DNS进行必要的访问控制。基本上,DNS应用有两种服务模式:对用户查询采用UDP协议;对服务器到服务器的查询采用TCP协议。用户一定直接控制用TCP模式提供DNS服务的服务器:盲目使用这种方式可能导致DNS信息被修改破坏。如果攻击者成功修改DNS信息,他就可能将网络访问重新定向到一个非法的站点上去。

图3.10描述了一个典型的"分割DNS"例子:

  内部DNS服务器用来为内部网络系统解析名字,使得它们可以连接到其它内部系统、DMZ、和互联网;外部DNS使得外部网络能够解析出主防火墙、外部DNS本身、外部DMZ的名字,但不能解析出内网系统的名字。

3.6 入侵检测

  安全检测是信息保障的一个重要环节,目前主要的安全检测技术包括入侵检测、漏洞扫描和病毒检测。

  入侵检测能够对网络未经授权的访问进行报警,某些时候还能够通过其它手段预防这种非法网络行为。检测本身不能提供安全保护的作用,但是很多入侵检测产品能够和防火墙这类网络安全保护产品联动:一旦入侵检测发现攻击行为,它可以通知防火墙修改安全规则,阻止后续的攻击网流。

  入侵检测产品可以分为三类:基于主机的入侵检测、基于网络的入侵检测和基于应用的入侵检测。

  建议将基于主机的入侵检测和基于应用的入侵检测产品配置在关键业务服务器上,以检测主机/应用层次的网络攻击行为,尤其是基于用户的攻击行为检测。必须清楚,这两类产品有极大的安全缺陷:1)时间上的滞后性,由于它们的检测资料来源是主机操作系统/应用的日志记录,因此难以做到实时反应;2)其检测分析结果的准确性完全依赖于主机操作系统/应用的日志记录的全面性和准确性;3)占用主机资源。

  目前许多用户网络已经是或至少部分是交换网络,这种网络性能的提高却大大限制了网络入侵检测产品的工作有效性:网络入侵检测产品只可以检测同一冲突域中的网络行为,在交换环境中,需要通过交换机的端口镜像技术将要被检测的端口流量镜像到网络入侵检测产品所在的交换机端口上。

  各家厂商实现的端口镜像技术各不相同,在网络安全规划时必须对这一点全面了解。比如Cisco公司的交换机可以实现多个端口到一个端口的镜像,而3COM公司的交换机只能实现一对一的端口镜像,且两个端口速率必须相同。

  为每一个网段配置一个入侵检测的传感器目前在经济上是不可性的,在实践中也是不必要的。但是必须在用户网络中的重要网段配置入侵检测的传感器,比如从互联网可以访问的网络区域。其中的几个典型是:外部DMZ、内部DMZ和重要业务部门所在网段。

  如果防火墙具有一定的入侵检测功能,则可以在主防火墙上打开此功能,在防火墙上使用入侵检测功能可以相当程度地抵制来自外部网络的DoS(拒绝服务攻击)攻击和地址欺骗攻击。

  部署在某些区域的入侵检测产品如果能和相关的防火墙在网络上可通,则可以发挥它们之间的联动功能,提高安全效率。一个常见的防火墙和网络入侵检测配置如下:
返回顶部↑】 【推荐好友】 【查看评论
用户名: 新注册) 密码: 匿名评论 [查看评论] 发表评论
评论内容:(不能超过250字,需审核后才会公布,请自觉遵守互联网相关政策法规。
  Copyright © 2004-2005 infosecurity.org.cn . All Rights Reserved
版权所有:中国信息安全组织 系统管理:webmaster@infosecurity.net.cn
本站部分资源来自互联网,如有侵犯您的版权或其他问题,请通知管理员,我们会尽快处理!