篩選路由器 — 第一道防線
應當使用篩選路由器來保護任何面向 Internet 的防火牆。這種路由器只有兩個介面:一個與 Internet 相連而另一個與外部防火牆(或必要時與Server Load Balancer的防火牆群集)相連。所有攻擊中,將近 90% 涉及到 IP 位址失竊,或改變源地址以使資料包看起來如同來自內部網路。傳入資料包沒有什麼理由可以來自內部網路。另外,由於一個網路的安全性通常取決於所串連網路的安全性,因此最好能避免您的網路被用作假資料包的來源。篩選路由器是實現這些目的的理想方法。
應當將篩選路由器配置為“allow all except that which is specifically denied”(允許通過特別拒絕以外的所有通訊)狀態。這樣,ACL 就執行下列操作:
定義一個進入篩選器,它拒絕任何源地址為內部網路地址的傳入通訊。
定義一個外出篩選器,它拒絕源地址非內部網路的傳出通訊。
拒絕 RFC 1918 中所確定的任何專用位址範圍內源地址或目標地址的所有傳入或傳出通訊。
允許所有其它的傳入和傳出通訊。
這可阻止大多數攻擊,因為竊取內部地址幾乎是所有攻擊的基本條件。將篩選路由器後面的防火牆配置為“deny all except that which is specifically allowed”(拒絕除特別允許之外的所有通訊)狀態。
(這部分資訊的依據為 RFC 2267,“Network ingress filtering: Defeating denial of service attacks which employ IP source address spoofing”,1998 年 1 月。)
基於主機的防火牆保護。徹底防禦應當是任何安全方案的設計目標。篩選路由器和傳統的 DMZ 提供三層保護,它們通常足以保護大多數網路服務。對於高度安全的環境,基於主機的防火牆還可提供另一層的保護。基於主機的防火牆允許安全性系統管理員確定詳細周全的安全性原則,以使伺服器的 IP 棧只對該伺服器上應用程式所要求的連接埠和協議開放。一些基於主機的防火牆還實施傳出保護,以協助確保某台遭到破壞的機器不會影響同一網路上的其它機器。當然,基於主機的防火牆確實增加了普通系統管理的負擔。應考慮僅對那些包含至關重要資料的伺服器增加基於主機的保護。
交換網路可以實際杜絕這種情況的發生。交換網路中任何機器的網路介面將只能看到特別發給該介面的那些幀。在這裡混雜模式沒有什麼不同,因為 NIC 不識別其它任何網路通訊。攻擊者窺探交換網路的唯一已知方法是:攻擊者破壞交換器本身並更改其操作,這樣交換器至少在一個連接埠充斥了所有通訊。破壞交換器很難,並且很快會被網路系統管理員發現。
交換網路還免去了使用雙主機 DMZ 伺服器的必要。雙主機提供不了更多的附加保護;附加的 NIC 不能防止來自已破壞電腦的攻擊。但是在需要高可用性或高效能情況下,使用兩個 NIC 可能更加適合。
消除故障點。在需要高可用性的環境中有必要使用兩個 NIC。一種切實可行的設計方案是在核心部分包括兩台交換器,並在每台伺服器中包括兩個 NIC。一個 NIC 串連到一台交換器,另一個 NIC 串連到另一台交換器。
