 |
4000156919 |
|
4000156919 |
來源:巨靈鳥軟件 作者:進銷存軟件 發布:2014/10/23 瀏覽次數:6237
3、Intranet安全解決方案
3.1 Intranet安全解決方案
過去我們往往把信息安全局限于通信保密,局限于對信息加密功能要求,其實網絡信息安全牽涉到方方面面的問題,是一個極其復雜的系統工程。從簡化的角度來看,要實施一個完整的網絡與信息安全體系,至少應包括三類措施,并且三者缺一不可。一是社會的法律政策、企業的規章制度以及安全教育等外部軟環境。在該方面政府有關部門、企業的主要領導應當扮演重要的角色。二是技術方面的措施,如防火墻技術、網絡防毒、信息加密存儲通信、身份認證、授權等。只有技術措施并不能保證百分之百的安全。三是審計和管理措施,該方面措施同時包含了技術與社會措施。其主要措施有:實時監控企業安全狀態、提供實時改變安全策略的能力、對現有的安全系統實施漏洞檢查等,以防患于未然。
企業要實施一個安全的系統應該三管齊下。其中法律、企業領導層的重視應處于最重要的位置。沒有社會的參與就不可能實施安全保障。
網絡信息安全包括了建立安全環境的幾個重要組成部分,其中安全的基石是社會法律、法規與手段,這部分用于建立一套安全管理標準和方法。
第二部分為增強的用戶認證,用戶認證在網絡和信息的安全中屬于技術措施的第一道大門,最后防線為審計和數據備份,不加強這道大門的建設,整個安全體系就會較脆弱。用戶認證的主要目的是提供訪問控制和不可抵賴的作用。用戶認證方法按其層次不同可以根據以下三種因素提供認證。
1.用戶持有的證件,如大門鑰匙、門卡等等;
2.用戶知道的信息,如密碼;
3.用戶特有的特征,如指紋、聲音、視網膜掃描等等。
根據在認證中采用因素的多少,可以分為單因素認證、雙因素認證,多因素認證等方法。
第三部分是授權,這主要為特許用戶提供合適的訪問權限,并監控用戶的活動,使其不越權使用。該部分與訪問控制(常說的隔離功能)是相對立的。隔離不是管理的最終目的,管理的最終目的是要加強信息有效、安全的使用,同時對不同用戶實施不同訪問許可。
第四部分是加密。在上述的安全體系結構中,加密主要滿足以下幾個需求。
1.認證——識別用戶身份,提供訪問許可;
2.一致性——保證數據不被非法篡改;
3.隱密性——保護數據不被非法用戶查看;
4.不可抵賴——使信息接收者無法否認曾經收到的信息。
加密是信息安全應用中最早開展的有效手段之一,數據通過加密可以保證在存取與傳送的過程中不被非法查看、篡改、竊取等。在實際的網絡與信息安全建設中,利用加密技術至少應能解決以下問題:
1.鑰匙的管理,包括數據加密鑰匙、私人證書、私密等的保證分發措施;
2.建立權威鑰匙分發機構;
3.保證數據完整性技術;
4.數據加密傳輸;
5.數據存儲加密等。
第五部分為審計和監控,確切說,還應包括數據備份,這是系統安全的最后一道防線。系統一旦出了問題,這部分可以提供問題的再現、責任追查、重要數據復原等保障。
在網絡和信息安全模型中,這五個部分是相輔相成、缺一不可的。其中底層是上層保障的基礎,如果缺少下面各層次的安全保障,上一層的安全措施則無從說起。如果一個企業沒有對授權用戶的操作規范、安全政策和教育等方面制定有效的管理標準,那么對用戶授權的控制過程以及事后的審計等的工作就會變得非常困難。
3.2 網絡信息安全產品
為了實施上面提出的安全體系,可采用防火墻產品來滿足其要求。
(1)訪問控制
實施企業網與外部、企業內部不同部門之間的隔離。其關鍵在于應支持目前Internet中的所有協議,包括傳統的面向連接的協議、無連接協議、多媒體、視頻、商業應用協議以及用戶自定義協議等。
(2)普通授權與認證
提供多種認證和授權方法,控制不同的信息源。
(3)內容安全
對流入企業內部的網絡信息流實施內部檢查,包括URL過濾等等。
(4)加密
提供防火墻與防火墻之間、防火墻與移動用戶之間信息的安全傳輸。
(5)網絡設備安全管理
目前一個企業網絡可能會有多個連通外界的出口,如連接ISP的專線、撥號線等,同時,在大的企業網內不同部門和分公司之間可能亦會有由多級網絡設備隔離的小網絡。根據信息源的分布情況,有必要對不同網絡和資源實施不同的安全策略和多種級別的安全保護,如可以在防火墻上實施路由器、交換機、訪問服務器的安全管理。
(6)集中管理
實施一個企業一種安全策略,實現集中管理、集中監控等。
(7)提供記帳、報警功能
實施移動方式的報警功能,包括E-mail、SNMP等。
企業如何選擇合適的防火墻
計算機網絡將有效的實現資源共享,但資源共享和信息安全是一對矛盾。隨著資源共享進一步加強,隨之而來的信息安全問題也日益突出。
并不是每一款防火墻都適應于每個用戶的需求,根據用戶需求的不同,所需要的防火墻可能完全不同。下面列舉了幾種網絡中的防火墻應用。
INTERNET或信息發布服務
這種情況非常普遍,ISP或ICP,企業的網頁,在INTERNET上提供信息服務或提供數據庫服務等。任何一種想提供普遍服務或廣而告之的網絡行為,必須允許用戶能夠訪問到你提供服務的主機,都屬于這種情況。
對訪問服務行業而言,訪問服務提供者必須把要提供服務的服務器主機放在外部用戶可以訪問的地方,也就是說,主機安全幾乎是唯一的保證。除非明確地知道誰會對你的訪問驚醒破壞,才可以對出口路由器或出口防火墻驚醒一些針對性的限制訪問控制的設定,否則,訪問控制變得毫無意義。
主機安全是一個非常有效的手段。所謂的主機安全是一個非常廣義的概念,首先是要有一個安全的操作系統,建立在一個不安全、甚至穩定性都很差的操作系統上,是無法作到一個安全的主機。然后是仔細的檢查你所提供的服務,如果不是你所必須提供的服務,建議除掉一切你所不需要的進程,對你的服務而言,它們都是你安全上的隱患。可以采用一些安全檢測或網絡掃描工具來確定你的服務器上到底有伸麼服務,以保證是否有安全漏洞或隱患。最后是對主機確定非常嚴格的訪問限制規則,除了允許提供商愿意提供的服務之外,宣紙并拒絕所有未允許的服務,這是一個非常嚴格的措施。
除了主機安全以外,如果還需要提高服務的安全性,就該考慮采用網絡實時監控和交互式動態防火墻。網絡實時監控系統,會自動捕捉網絡上所有的通信包,并對其進行分析和解析,并判斷出用戶的行為和企圖。如果發現用戶的行為或企圖與服務商所允許的服務不同,交互式防火墻立即采取措施,封堵或拒絕用戶的訪問,將其拒絕在防火墻之外,并報警。網絡實時監控系統和交互式防火墻具有很強的審計功能,但成本相對偏高。
INTERNET和內部網
企業一方面訪問INTERNET,得到INTERNET所帶來的好處,另一方面,卻不希望外部用戶去訪問企業的內部數據庫和網絡。企業當然沒有辦法去建立兩套網絡來滿足這種需求。
防火墻的基本思想不是對每臺主機系統進行保護,而是讓所有對系統的訪問通過某一點,并且保護這一點,并盡可能地對受保護的內部網和不可信任的外界網絡之間建立一道屏障,它可以實施比較慣犯的安全政策來控制信息流,防止不可預料的潛在的入侵破壞。
根據企業內部網安全政策的不同,采取防火墻的技術手段也有所不同。
包過濾防火墻的安全性是基于對包的IP地址的校驗。在Internet上,所有信息都是以包的形式傳輸的,信息包中包含發送方的IP地址和接收方的IP地址。包過濾防火墻將所有通過的信息包中發送方IP地址、接收方IP地址、TCP端口、TCP鏈路狀態等信息讀出,并按照預先設定過濾原則過濾信息包。那些不符合規定的IP地址的信息包會被防火墻過濾掉,以保證網絡系統的安全。
包過濾防火墻是基于訪問控制來實現的。它利用數據包的頭信息(源IP地址、封裝協議、端口號等)判定與過濾規則相匹配與否決定舍取。建立這類防火墻需按如下步驟去做;建立安全策略;寫出所允許的和禁止的任務;將安全策略轉化為數據包分組字段的邏輯表達式;用相應的句法重寫邏輯表達式并設置之,
包過濾防火墻主要是防止外來攻擊,或是限制內部用戶訪問某些外部的資源。如果是防止外部攻擊,針對典型攻擊的過濾規則,大體有:
對付源IP地址欺騙式攻擊(Source IP Address Spoofing Attacks)
對入侵者假冒內部主機,從外部傳輸一個源IP地址為內部網絡IP地址的數據包的這類攻擊,防火墻只需把來自外部端口的使用內部源地址的數據包統統丟棄掉。
對付殘片攻擊(Tiny Fragment Attacks)
入侵者使用TCP/IP數據包 分段特性,創建極小的分段并強行將TCP/IP頭信息分成多個數據包,以繞過用戶防火墻的過濾規則。黑客期望防火墻只檢查第一個分段而允許其余的分段通過。對付這類攻擊,防火墻只需將TCP/IP協議片斷位移植(Fragment Offset)為1的數據包全部丟棄即可。
包過濾防火墻簡單、透明,而且非常行之有效,能解決大部分的安全問題,但必須了解包過濾防火墻不能做伸麼和有伸麼缺點。
對于采用動態分配端口的服務,如很多RPC(遠程過程調用)服務相關聯的服務器在系統啟動時隨機分配端口的,就很難進行有效地過濾。
包過濾防火墻只按照規則丟棄數據包而不對其作日志,導致對過濾的IP地址的不同用戶,不具備用戶身份認證功能,不具備檢測通過高層協議(如應用層)實現的安全攻擊的能力。
包過濾防火墻從很大意義上像一場戰爭,黑客想攻擊,防火墻堅決予以拒絕。而代理服務器則是另外一種方式,能回避就回避,甚至干脆隱藏起來。代理服務器接收客戶請求后會檢查驗證其合法性,如其合法,代理服務器象一臺客戶機一樣取回所需的信息再轉發給客戶。它將內部系統與外界隔離開來,從外面只能看到代理服務器而看不到任何內部資源。代理服務器只允許有代理的服務通過,而其他所有服務都完全被封鎖住。
代理服務器非常適合那些根本就不希望外部用戶訪問企業內部的網絡,而也不希望內部的用戶無限制的使用或濫用INTERNET。采用代理服務器,可以把企業的內部網絡隱藏起來,內部的用戶需要驗證和授權之后才可以去訪問INTERNET。
代理服務器包含兩大類:一類是電路級代理網關,另一類是應用級代理網關。
電路級網關又稱線路級網關,它工作在會話層。它在兩主機收次建立TCP連接時創立一個電子屏障。它作為服務器接收外來請求,轉發請求;與被保護的主機連接時則擔當客戶機角色、起代理服務的作用。它監視兩主機建立連接時的握手信息,如Syn、Ack和序列數據等是否合乎邏輯,信號有效后網關僅復制、傳遞數據,而不進行過濾。電路網關中特殊的客戶程序只在初次連接時進行安全協商控制,其后就透明了。只有懂得如何與該電路網關通信的客戶機才能到達防火墻另一邊的服務器。
電路級網關的防火墻的安全性比較高,但它仍不能檢查應用層的數據包以消除應用層攻擊的威脅。
應用級網關使用軟件來轉發和過濾特定的應用服務,如TELNET、FTP等服務的連接。這是一種代理服務。它只允許有代理的服務通過,也就是說只有那些被認為“可信賴的”服務才被允許通過防火墻。另外代理服務還可以過濾協議,如過濾FTP連接、拒絕使用FTP放置命令等。應用級網關的安全性高,其不足是要為每種應用提供專門的代理服務程序。
兩種代理技術都具有登記、日記、統計和報告功能,有很好的審計功能。還可以具有嚴格的用戶認證功能。先進的認證措施,如驗證授權RADIUS、智能卡、認證令牌、生物統計學和基于軟件的工具已被用來克服傳統口令的弱點。
網絡狀態監控技術普遍被認為是下一代的網絡安全技術。傳統的網絡狀態監控技術對網絡安全正常的工作完全沒有影響的前提下,采用捕捉網絡數據包的方法對網絡通信的各個層次實行監測,并作安全決策的依據。監視模塊支持多種網絡協議和應用協議,可以方便地實現應用和服務擴充。狀態監視服務可以監視RPC(遠程過程調用)和UDP(用戶數據包)端口信息,而包過濾和代理服務則都無法做到。
網絡狀態監控對主機的要求非常高,128M的內存可能是一個基本的要求,硬盤的要求也非常大,至少要求9G,對SWAP區至少也要求192M以上。一個好的網絡狀態監控系統,處理的量可能高達每秒45M左右(一條T3的線路)。
網絡狀態的監控的結果,直接就是要求能夠有一種交互式的防火墻來滿足客戶較高的要求。中網的IP防火墻就是這樣一種產品。
EXTRANET和VPN是現代網絡的新熱點。虛擬專用網的本質實際上涉及到密碼的問題。在無法保證電路安全、信道安全、網絡安全、應用安全的情況下,或者也不相信其他安全措施的情況下,一種行之有效的辦法就是加密,而加密就是必須考慮加密算法和密碼的問題。考慮到我國對密碼管理的體制情況,密碼是一個單獨的領域。對防火墻而言,是否防火墻支持對其他密碼體制的支持,支持提供API來調用第三方的加密算法和密碼,非常重要。
企業利用Internet構筑虛擬專用網絡(VPN),意味著可以削減巨額廣域網成本,然而在VPN中確保關鍵數據的安全等因素又是企業必須面對的問題。
削減廣域網成本,吸引新客戶,這是當今每一位企業主管的求勝之路。但是涉及到Internet,企業有得又有失,比如專用線路的高可靠性及安全性就是VPN需要重點考慮的地方。相比之下VPN比租用專線的費用低近80%,而且可以將Internet上的多個網站連接起來,使企業接觸新的企業伙伴和客戶。
首先企業要明確需要與哪種WAN連接,用戶是通過LAN/WAN還是撥號鏈路進入企業網絡,遠程用戶是否為同一機構的成員等問題。
WAN的連接有兩類:內聯網連接和外聯網連接。內聯網連接著同一個機構內的可信任終端和用戶,這一類典型連接是總部與下屬辦事處、遠程工作站及路途中用戶的連接。
對于內聯網連接,VPN應提供對企業網絡相同的訪問途徑就好象用戶或下屬辦事處真正與總部連接起來。內聯網VPN執行的安全決策通常是標準的公司決策,遠程用戶至少要經過一次認證。
圍繞下屬辦事處,VPN要考慮的一個關鍵問題是這些辦事處的物理安全性。物理安全性涵蓋了一切因素,從下屬辦事處的密鑰和鎖,到計算設備的物理訪問,再到可訪問設施的非雇員數量等等。如果所有這一切都萬無一失,在總部和下屬辦事處之間就可以建立一個“開放管道”的VPN。這類似于LAN到LAN的連接。即不需要基于VPN的用戶認證,因為我們認為這樣的連接是安全的。但是,如果這些地方有問題,網絡設計人員就要考慮采用更嚴格的安全措施。例如,VPN需要嚴格認證,或者將對總部網絡的訪問限制在某個孤立的子網中。
VPN對外聯網的安全要求通常十分嚴格,對保密信息的訪問只有在需要時才能獲準,而敏感的網絡資源則禁止訪問。由于外聯網連接可能會涉及機構外人員,解決用戶的變化問題則很有挑戰性。從根本上說,這是嚴格政治問題。但在機構確定用戶時,這是嚴格急需解決的技術問題。
企業網絡是攻擊者垂涎的目標,因此,管理層必須保護公司網絡免遭遠程入侵。一個機構的安全決策應界定何種形式的遠程訪問是允許的或不允許的,決策中還要確定相應的VPN設備和實施選擇方法。
一般來說,決策者應解決VPN特有的幾個問題:遠程訪問的資格,可執行的計算能力,外聯網連接的責任,以及VPN資源的監管。另外,還應包括為出差旅行的員工及遠程工作站的員工提供的訪問步驟。當然,決策中應包括一些技術細節,例如加密密鑰長度,如果VPN的加密算法要求公開認證,則還需要法律的支持保護。
對外另外而言,決策中應具體說明及時通報遠程用戶人員變更的步驟,被解雇的人員必須盡快從數據庫中清除。這需要外聯網用戶機構同VPN管理人員之間進行良好的協作。通常,企業的人事部門已制定有人事管理規定,這些規定可能也適用于VPN用戶。
可選擇的VPN產品很多,但產品基本上可分成三大類:基于系統的硬件、獨立的軟件包和基于系統的防火墻。大部分產品對LAN到LAN及遠程撥號連接都支持。
硬件VPN產品是典型的加密路由器,由于它們在設備的硅片中存儲了加密密鑰,因此,較之基于軟件的同類產品更不易被破壞.另外,加密路由器的速度快,事實上,如果鏈路的傳輸速度超過T1(1.554Mbps),這樣的VPN是名列前茅的。
基于軟件的VPN可能提供更多的靈活性。許多產品允許根據地址或協議打開通道,而硬件產品則不同,它們一般為全部信息流量打開通道,而不考慮協議要求。因流量類型不同,特定的通道在遠程站點可能遇到混合信息流時分優先級,例如有些信息流需要通過VPN進入總部的數據庫,有些信息流則是在網上沖浪。在一般情況下,如通過撥號鏈路連接的用戶,軟件結構也許是最佳的選擇。
軟件系統的問題在于難于管理,它要求使用者熟悉主機操作系統、應用程序本身以及相應的安全機制,甚至一些軟件包需要對路由表和網絡地址方案進行改動。
基于防火墻的VPN則利用了防火墻安全機制的優勢,可以對內部網絡訪問進行限制。此外,它們還執行地址的翻譯,滿足嚴格的認證功能要求,提供實時報警,具備廣泛的登錄能力。大多數商業防火墻還能通過剔除危險或不必要的服務加固主機操作系統內核。由于很少有VPN廠商提供操作系統級的安全指導,因此,提供操作系統保護是這種VPN的一大優勢。
什么時候企業選擇基于防火墻的VPN呢?一般是在遠程用戶或網絡充滿潛在敵意的時候。這時,網管員可建立起所謂的非軍事區(DMZ),部分,系統一般使用在防火墻上的一個第三方界面,并有自己的訪問控制規則。攻擊者也許能到達DMZ,但不能破壞內部部分。基于防火墻的VPN對于僅僅實施內聯網應用的企業還是蠻好的,它是軟件產品中最容易保證安全和管理的產品。
對于這三種VPN產品,網管員還要在四個領域進行考核:協議處理、IP安全支持、認證服務器支持和加密密鑰的引出。
例如:雖然大多數公司網絡為多協議型,但VPN產品只解決IP協議的傳輸,如果其他協議如IPX或SNA需要傳送,用戶需要尋找能為這些協議加密,或者能將它們打包成IP,讓基于IP的VPN系統處理的方案。顯然,后一種選擇可能會降低系統性能。
盡管大部分VPN可保留自己的認證數據庫,但網管員也希望借助于現有的認證服務器。比如,許多遠程訪問服務器使用下述兩種協議之一的外部系統來認證用戶:遠程認證撥入用戶服務器(Radius)或終端訪問控制器訪問系統(Tacscs)。獨立認證服務器的優勢在于可收縮性,即無論增加多少臺訪問設備,一臺認證服務器就足矣。
如果一個企業的VPN延伸到海外,網管員還必須解決出口問題。目前美國法律禁止128位加密算法出口,盡管未來立法可能會或多或少地放寬限制,但一般跨國經營的美國公民可能需要部署兩個VPN系統:一個加密功能較弱,用于國際用戶的,一個加密功能較強,用于國內用戶。
企業不能武斷地選擇某種VPN方案,一般要通過廣泛測試,運行兩到三種VPN產品,再作出決定。企業首先要確定一個遠程用戶間的測試伙伴小組,由他們測試系統的情況。
注意,測試小組中一定要包括各種技術工種的員工,這一點對于保證VPN測試的公正以及評估系統管理人員排除故障的能力至關重要。
成功的VPN測試包括6個方面:首先,測試VPN是否可按照機構的遠程訪問決策進行配置;其次,測試VPN是否支持所有正在使用的認證與授權機構;第三,驗證VPN可有效地產生和分配的密鑰;第四,測試VPN是否允許遠程用戶加入到公司網絡中,就像他們在物理上是連接起來的一樣;第五,驗證系統為排除故障和提供明顯線索的能力;最后,驗證是否技術與非技術人員同樣能輕松運用VPN。
為企業系統選擇合適的硬件時,網絡決策者要估計系統用戶的總數,同時舉行網絡會議的典型數量,以及數據的時間敏感性(它決定所需的密鑰長度)。例如對于基于軟件的VPN,假設采用三倍的DES(數據加密標準)加密,使用128位密鑰、數據壓縮和信息認證,這樣,200MHz Pentium處理器就能處理T1網絡連接。鑒于內存越大,可允許同時連接的信息流越多,因此,系統在服務器上可以指定盡可能多的RAM。正如以上所述,速度高于T1的網絡連接則可能需要基于硬件的VPN。
如果廠商提供產品性能基準,網絡管理員注意務必了解如何進行測試的詳細說明。為了能對不同廠商的產品進行公平比較,網管員需考慮諸如幀長度、加密算法及密鑰長度、壓縮的使用及信息認證算法的現狀。
另外,網管員在設計生產系統時,還要考慮備份和冗余問題,大型機構或信息流量大的機構也許還想考慮多服務器上的負載均衡問題。
遠程用戶的從屬關系有助于確定VPN設備放置的位置。對于期望通過遠程訪問復制辦事處工作環境的員工來說,VPN服務器最好直接放在專用網絡中,但這一方法也最易成為攻擊者的攻擊目標。
對于員工企業,如果絕大多數遠程用戶屬于外部機構,將VPN設備放在DMZ網絡上意義更大,因為它要比內部網絡更為安全,屏蔽DMZ的防火墻有助于保護其間的設備。這種方法也比將VPN設備完全放在安全設施周邊之外更安全。如果一臺認證服務器屬于DMZ子網,它會得到細心的管理和保護,免于內部和外部的威脅。
企業在設計安全內聯網和外聯網時,安置VPN和認證服務器是關鍵的一步。其中,建立與下屬辦事處的鏈路最簡單:一對VPN服務器只需在兩個站點間建立加密通道。因為出差旅行的員工或遠程工作站需要進行認證,因此,它們建立與VPN服務器的鏈路,將認證請求傳送到DMZ上的認證服務器。外界顧問不需要認證,他們只需同另一臺VPN服務器連接起來,這一臺服務器應位于第二個DMZ上,以保護公司的認證服務器。另外值得注意的是,企業為業務伙伴進行的連接配置最需要技巧,連接請求首先到達第二個DMZ上的VPN服務器,之后請求被傳送到第一個DMZ上的認證服務器,最后,批準的請求被傳送到請求訪問的資源中。
安裝VPN,特別是涉及IP地址管理和防火墻時,公司可能要對網絡上的其他設備重新進行配置。VPN通常使用網絡地址翻譯器(NAT),如IETF RFC 1918中所述,NAT將專用地址(通常從一組保留的地址中選出)映射到一個或幾個在Internet上可見的地址上。
網管員至少要使VPN設備的配置清楚哪些地址要保留下來供內部使用。此外,許多基于VPN的防火墻還支持動態主機配置協議(DHCP)。網管員需將DHCP和VPN功能協調起來,否則,客戶機可能最終將信息只發送到Internet而不是專用網絡上。
一些VPN設備使用虛擬網絡適配器將有效的IP地址分配到專用網絡上,如DEC公司的Altavista通道服務器,或使用由微軟公司開發的點到點通道協議(PPTP)都可以將這些地址分配到未使用的地址中,并對路由器及其他需要進行地址更新的網絡設備進行必要的修改。
如果VPN服務器在防火墻以內,網絡管理員還要對防火墻進行重新配置。大多數VPN將所有信息流閉合起來,形成一股使用單一TCP端口號的信息流。這樣,防火墻需要一個類屬代理或用于傳遞封閉VPN信息 流的規則,以及允許將信息流傳送到VPN設備上的規則。
如果VPN設備位于DMZ部分的外聯網中,防火墻還需要一個允許加密信息流從Internet流動到DMZ上的規則,另外,還有讓應用程序流從DMZ流動到內部網絡上的規則。如果認證服務器位于內部網絡上,防火墻的配置一定要有允許DMZ和專用網絡間的認證請求。
網絡管理員應該注意,網絡中中有一個千萬不能被篡改的地方是專用網絡的域名系統(DNS)服務器,它負責專用網絡設備的主機名稱到IP地址的解析。如果DNS可在Internet上看到,那么攻擊者可了解專用網絡的布局。
對于基于軟件的VPN和那些圍繞防火墻制作的產品,從安全系統入手是根本。在安裝前從服務器中取消所有不必要的服務、應用程序和用戶帳戶,以確保安裝的是最新的、安全的產品,這樣安裝VPN軟件才是安全的。
對VPN進行配置時,網管員要為一系列因素設定參數,包括密鑰長度、主要與次要認證服務器及相關的共享秘密資源、連接和超時設置、證書核查VPN終點設備(而不是用戶)的身份,大部分VPN產品都提供此功能。對此,一些廠商的實現的方式是,讓所有信息進入總部設備下載相關信息。而對于遠程用戶,則需要建立口令,準備連接腳本,確立認證步驟。
網管員還要讓認證和授權程序協調起來。兩者聽起來差不多,但有些微妙且重要的差別。認證是要證明遠程用戶是她或他聲稱的身份(在外聯網設置中,要證明的則相反,即服務器可信)。授權是要確定遠程用戶有權訪問何種網絡資源。如果認證服務器還控制授權分組,例如營銷或策劃小組的授權,則系統還要注意核查它是否能正確地同VPN設備聯絡組信息。
這一步是要建立監控Internet連接的機制,它可以測定VPN對網絡的利用和吞吐量,而且也是培訓訪問臺員工操作VPN設備及認識認證服務器和防火墻互相間的影響的重要一步。另外,機構中的所有網管員都應該了解VPN的基本操作,認識到管理VPN的人不應該只是那些安裝和配置的人,最終用戶也需要接受Internet了解及VPN軟件工作原理的基本培訓。而且,讓最終一接受一些基本故障排除方法的培訓,可以使他們能自己解決一些小故障。
隨著用戶對VPN的進一步熟悉,企業可能會涉及到一些由任務決定的應用程序,例如公司要為客戶建立一個電子商店。在這樣的情況下,備份連接是必須的,因此網管員在設計網絡階段就應為冗余鏈路和設備制定計劃。信息流量大的站點應選擇支持多設備負載均衡的VPN,原因在于提供負載均衡能力的VPN廠商非常少,目前NetScreen的防火墻產品支持負載均衡和流量控制的功能同時也支持冗余路徑。
即使網絡應用并不重要,進行備份也不失為避免用戶投訴的好辦法。在這方面,保留幾臺調制解調器和電話線路用于緊急情況可能就足矣。然而,這種方法的費用較高,而且速度慢,對于LAN到LAN的連接,備份連接最好由ISDN或其他專用線路來滿足。要注意的是,一定要定期測試備份連接系統。
防火墻體系的采納是一個非常專業化的過程,不是一個簡單的是和非。當然可以根據具體的情況,作出一定的安全政策,并采用某種上述特定的防火墻。但絕大多數情況是,根據具體的安全需求,通過某種體系構架,來實現更高強度的安全體系。或者是采用包含上述功能的復合型防火墻。我們就具體的情況作一個簡單的說明:
屏蔽主機網關由一個運行代理服務 雙穴網關和一個具有包過濾功能的路由器組成,功能的分開提高了防護系統的效率。
一個獨立的屏蔽子網位于Intranet與Internet之間,起保護作用。它由兩臺過濾路由器和一臺代理服務主機構成。路由器過濾掉禁止或不能識別的信息,將合法的信息送到代理服務主機上,并讓其檢查,并向內或向外轉發符合安全要求。
來源:巨靈鳥 歡迎分享本文
上一個文章:技術一旦被用來作惡,究竟會有多可怕(一)
下一個文章:企業網絡安全系統如何布局(三)
