安全是网络的生命,一个缺乏安全保证的网络系统就不能称为一个合格的网络系统。在网络安全中,内部安全无疑最为重要,但当局域网接入Internet时,Intranet与Internet互联边界安全问题更为突出,也十分重要。一个成熟的网络设计者,除了在Intranet与Internet互联建设方面有着长期的经验外,对于任何一个网络工程规划、设计和施工,都必须自始至终把网络安全贯串于网络的设计与工程实施之中,特别是网络边界的设计。
1.网络边界安全分析
下面以Internet接入Intranet为例,说明网络安全的基本层面及其相互关系。Internet为人们提供了丰富的信息,也极大地方便了各种机构与相关单位之间的沟通。然而,Internet是一把双刃剑,它给人们带来方便的同时,也给Intranet的安全防范提出了新的问题——如何保证Intranet不受外部网络非法用户的侵犯,这无疑是网络系统安全解决方案的关键部分之一。
但是,网络安全仅靠某一种技术和手段是远远不够的,一定需要依靠综合手段才能够实现对网络的保护。为此,一方面需要好的安全技术产品、好的安全策略;另一方面还需要有完善的安全管理制度。
2.网络安全防范的层次与手段
网络安全防范分为三个层次:安全防护、主动安全评估和安全实时监控。
(1)安全防护
安全防护属于消极安全防范策略。如在网络中布防一些防火墙产品或者利用网络设备提供的安全特性对进出网络的数据包进行控制,限制一些不符合安全策略的数据包通过网络。同时,在应用程序、主机上限制非法用户或用户的非法访问。所有这些措施都是一种被动防范行为,对于一般的安全系统来说,这种消极防御措施已经足够了。
在安全防护方面,配合网络安全防火墙,可采用以下手段加强网络安全的保护。
1)设计合理的网络拓扑结构。好的网络拓扑结构,一方面可以让用户很好地控制网络中的数据流,限制违反安全策略的数据包进出网络;另一方面,让攻击者难以发现网络的内部结构,使其实施攻击更加困难。
2)制定有针对性的安全策略。选择合适的产品、技术,有针对性的实现相应的安全控制策略。例如,借助路由器的ACL,限制某些范围的用户对某些网络资源的访问;借助防火墙,对有危害性的SMTP操作命令进行过滤以及对TCP SYN攻击包的过滤;借助IPSec、CA等技术,保护数据传输过程中的安全并实现对数据加密和用户身份认证等。
(2)主动安全评估
主动安全评估属于主动安全防御策略。指在实施了系统消极防御措施之后,对这些消极防御措施进行评估,验证消极防御措施是否正确,是否有效。经过主动安全评估的系统的安全性显然要强于只有简单的消极防御的系统。不过,主动安全评估除了需要一些工具之外,更重要的需要有经验丰富的专家。
主动安全评估具体的内容如下。
1)检查所有的网络设备和应用服务器是否存在不必要的网络服务。例如,在WWW服务器上,是否开放了不必要的RCP、FTP等服务。
2)检查网络设备和应用服务器是否存在安全漏洞的网络服务。例如,有些服务存在安全上的漏洞,在需要严格安全要求的应用环境中,对这类服务应该坚决予以关闭。(www.xing528.com)
3)检查网络设备和网络资源的访问策略是否合理。例如,允许从Internet远程登录到Intranet接入路由器,这可能是违反安全策略的。
4)检查系统的各种安全策略是否真正得到了贯彻和落实。以上只是主动安全评估的一部分内容。在许多计算机网络的建设要求中,经常缺少了对主动安全评估的要求。为了确保网络的安全,安装具有主动安全评估功能的安全系统软件(如漏洞扫描系统),以帮助网络管理人员获得更多的保护网络安全的主动权。
(3)安全实时监控
安全实时监控属于网络主动防御策略。安全实时监控用于对网络上的各种行为进行全方位的实时监控。黑客攻击一个网络系统之前,往往需要了解网络系统的结构或者漏洞。当黑客利用网络扫描工具对某个网段或者主机进行扫描,实时监控系统能够检测到这类行为。安全实时监控的具体的方式如下。
1)基于网络的实时监控。如实时监控网络上是否有网络扫描,是否有攻击行为。
2)基于主机的实时监控。如针对WWW服务器的实时监控,防止用户在非工作时间更改主页,更改系统时间等。
实际上,网络安全保护的三个层次不是相互孤立的,每个安全保护层次之间只有相互有机结合才能发挥最大的安全防护功能,这就是所谓的“动态网络安全体系”。
3.网络边界安全设计要点
这里所指的网络边界是Intranet与Internet或其他行业专网的互连部分。网络边界设计的目的就是要防范在接入Internet后,非法用户对Intranet的攻击,确保内部网络的安全。重点说明网络互连设备的选型和配置时针对安全问题的考虑要点。
依据一般企业计算机网络建设的要求,除了把Intranet架构成一个统一、可靠、安全的通信平台,同时还要能够安全流畅地与Internet互联。企业网络的Internet的方案通常为:若当地ISP介入企业计算机网络的建设,网络边界连接用的路由器可省去,由ISP提供Internet宽带接入网络电缆,可直接连接于计算机网络交换机,被内部网络用户共享访问Internet。
为了安全起见,ISP提供的Internet宽带接入网络电缆不能直接与网络的交换机连接,必须通过防火墙,才能进入内部网。与此同时,企业内部网用户也不能直接访问Internet,也必须通过防火墙的过滤。与此同时,为了网络管理的方便,通常在网络中都配置一台代理服务器,所有用户均通过代理服务器访问Internet。
下面对一般网络边界设计中路由器与防火墙的选型策略作简要说明。
1)在计算机内部网与Internet连接的结构中,路由器是直接“面对”Internet的设备,在路由器的后面是防火墙。这样,内部网络将受到路由器和防火墙的双层保护。内部网络和外部网络之间的关系是,内部网络用户可以透明地访问Internet(通过代理服务器),而从Internet对内部网络的访问是被拒绝的(不是绝对的,其访问将受到防火墙策略的限制)。
2)在网络边界的设计中,一般都采用了硬件防火墙方案,其目的是利用硬件防火墙的DMZ区(非军事区),把所有对外的服务器与内部网隔离,以减少内部网被攻击的风险。这样,不但在一定程度上保护了这些服务器,又可保证这些服务器一旦被攻破后,黑客不能利用这些服务器作为攻击内部网的平台。
3)具有DMZ功能的防火墙产品比较多,除了美国思科公司PIX等十几个进口防火墙产品外,国产防火墙品牌也非常多,其产品的性能和质量与国外差别不大,如天融信的TOPSEC防火墙和联想网御防火墙等。不同品牌的防火墙,其内部体系结构各有千秋,但功能大同小异。但在有些安全保护能力上,每个防火墙有各自的特点。因此,在进行防火墙选型时,要根据网络的应用特点,确定防火墙安全保护的重点,并参照网络安全投资的多少,最终选择一款性价比较高的防火墙产品。由于一般用户单位不大会有高水平的防火安全技术人员,所以在防火墙的选择中,要特别在意防火墙产品的提供商是否有较强技术服务能力,这是防火墙能否在计算机网络中发挥作用的一个十分重要的因素。
4)防火墙一般都有三个以上网络接口,分别用于连接不同安全级别的区域,3个区域的安全等级由低到高分别为外部区(WAN)、DMZ区、内部区(LAN)等,其中外部区直接连接Internet,DMZ区放置对外应用与服务的服务器,内部区连接的是内部网。若防火墙配置更多的网络接口,则意味着该防火墙可以作为多个网段的边界连接安全设备。
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。
