Asp的安全管理(12)

來源:互聯網
上載者:User
安全 附錄 C:網路安全的最佳方案
Steve Riley,Microsoft Communications Industry Solutions Group Consulting Practice

2000 年 8 月 7 日

這篇短文論述了網路設計和安全的最佳方案。儘管網路的設計和安全保護方法很多,但只有某些方法和步驟深受許多業內人士的喜歡。

篩選路由器 — 第一道防線
應當使用篩選路由器來保護任何面向 Internet 的防火牆。這種路由器只有兩個介面:一個與 Internet 相連而另一個與外部防火牆(或必要時與Server Load Balancer的防火牆群集)相連。所有攻擊中,將近 90% 涉及到 IP 位址失竊,或改變源地址以使資料包看起來如同來自內部網路。傳入資料包沒有什麼理由可以來自內部網路。另外,由於一個網路的安全性通常取決於所串連網路的安全性,因此最好能避免您的網路被用作假資料包的來源。篩選路由器是實現這些目的的理想方法。

應當將篩選路由器配置為“allow all except that which is specifically denied”(允許通過特別拒絕以外的所有通訊)狀態。這樣,ACL 就執行下列操作:

定義一個進入篩選器,它拒絕任何源地址為內部網路地址的傳入通訊。
定義一個外出篩選器,它拒絕源地址非內部網路的傳出通訊。
拒絕 RFC 1918 中所確定的任何專用位址範圍內源地址或目標地址的所有傳入或傳出通訊。
允許所有其它的傳入和傳出通訊。
這可阻止大多數攻擊,因為竊取內部地址幾乎是所有攻擊的基本條件。將篩選路由器後面的防火牆配置為“deny all except that which is specifically allowed”(拒絕除特別允許之外的所有通訊)狀態。

(這部分資訊的依據為 RFC 2267,“Network ingress filtering: Defeating denial of service attacks which employ IP source address spoofing”,1998 年 1 月。)

對可用性要求較高的環境,可使用兩個篩選路由器,並將二者串連到一對防火牆Server Load Balancer裝置上。

防火牆 — 分層保護
典型的非軍事區 (DMZ) 有兩個防火牆。外部防火牆配置為只允許 Internet 和 DMZ 之間串連所需的通訊。內部防火牆的配置要能夠保護內部網路不受 DMZ 的影響 — DMZ 是非信任網路,因此有必要對內部網路實施保護。

什麼是 DMZ?看看世界上僅有的政治方面的 DMZ:南北朝鮮之間的地區。DMZ 由其保護邊界確定 — 在這種情況下,兩個地理邊界,分別由單獨的保護實體進行監視和保護。網路中的 DMZ 與此非常類似:某單獨的網路部分經過單獨的物理防火牆與(通常)兩個其它網路相連。

DMZ 與屏蔽子網。常見的方法是使用具有多個介面的單一物理防火牆。一個介面串連 Internet,第二個介面串連到內部網路,第三個介面串連到通常稱為 DMZ 的地區。這種體繫結構不是真正的 DMZ,因為單個裝置負責多個保護地區。這種方案的確切名稱是屏蔽子網。屏蔽子網具有嚴重缺陷 — 單個攻擊就可破壞整個網路,因為所有網路段都與該防火牆相連。

DMZ 的優點。為什麼部署 DMZ?網路攻擊日趨增加 — 有些只是出於好玩、炫耀自己的惡作劇能力,還一些是嚴重的、有目的的公司間諜和破壞。有效安全體繫結構是攻擊的一道屏障,同時該結構具有可調整能力。真正的 DMZ 結構具有下列優點:

具有針對性的安全性原則。每個防火牆實施與保護對象對應的策略。
深入防禦。在安全遭到破壞時,裝置的多個物理構件為安全性系統管理員提供更多時間來做出反應。這是為什麼要部署真正的 DMZ 而不是屏蔽子網的唯一、也是最重要的原因。
改進效能。兩裝置間通訊檢查的職責分開,每個特定保護區配置一台裝置。
可擴充性。可根據需要擴充防火牆 — 外部防火牆處理的負載通常必須比內部防火牆高很多。像 RadWare's FireProof 這樣的技術可以跨防火牆農場而平衡負載。
消除故障點。為了獲得高可用性,應當至少部署與一對防火牆完全適用的一對防火牆Server Load Balancer器。這樣防火牆即可與 DMZ 核心交換器完全符合。

防火牆類型
目前有三種防火牆:

基本資料包篩選器。
狀態檢測資料包篩選器。
應用程式代理程式。
基本資料包篩選器。把簡單的資料包篩選作為一種防火牆已不常見,因為幾乎所有的路由器都可執行此功能。資料包篩選只是簡單地按照一組規則比較傳出和傳入資料包的連接埠、協議和地址。不符合規則的資料包被防火牆終止。基本的資料包篩選提供很少的安全性,因為很多種攻擊可輕易地繞過它。

狀態檢測資料包篩選器。這些防火牆除檢查單獨的資料包外還對流程進行檢查。狀態檢查引擎跟蹤每個串連的啟動並確保啟動與某個先前登入的串連相應的所有通訊。符合防火牆規則但無法映射到任何串連的未經請求資料包將被終止。狀態檢查比基本資料包篩選更為安全,但還是可能受到能夠通過防火牆可用協議(如 HTTP)的入侵的襲擊。兩類資料包篩選器都無法分析任何資料包的內容。另外,兩類資料包篩選防火牆幾乎都無法在按照規則集進行計算之前將片段資料包重新組裝起來。於是,某些類型的攻擊得以用高超技巧製作的資料包片段進行成功傳遞。

應用程式代理程式。應用程式代理程式提供最高的安全層級。串連不通過代理,而傳入串連在代理處被中截,並由代理實現與目標伺服器的串連。應用程式代理程式檢查有效載荷並可確定它是否符合協議。例如,正常的 HTTP 要求有確定的特徵。通過 HTTP 傳遞的攻擊將與這些特徵有所出入(最顯著的是通過 HTTP 要求傳遞的通訊具有過多傳入資訊量),並將被終止。應用程式代理程式還不易受到片段的攻擊。由於為應用程式代理程式施加了負載,因此它在三類防火牆技術中速度最慢。

如此說來,哪種技術最好呢?答案取決於您所需的安全層級。一些狀態檢查防火牆開始加入應用程式代理程式功能;Checkpoint 的 Firewall-1 就是這樣的執行個體。

基於主機的防火牆保護。徹底防禦應當是任何安全方案的設計目標。篩選路由器和傳統的 DMZ 提供三層保護,它們通常足以保護大多數網路服務。對於高度安全的環境,基於主機的防火牆還可提供另一層的保護。基於主機的防火牆允許安全性系統管理員確定詳細周全的安全性原則,以使伺服器的 IP 棧只對該伺服器上應用程式所要求的連接埠和協議開放。一些基於主機的防火牆還實施傳出保護,以協助確保某台遭到破壞的機器不會影響同一網路上的其它機器。當然,基於主機的防火牆確實增加了普通系統管理的負擔。應考慮僅對那些包含至關重要資料的伺服器增加基於主機的保護。

DMZ 體繫結構 — 安全和效能
另一類常見的攻擊是從線路上窺探資料包。儘管有最近出現的防窺探工具(可能經常不可靠),但用簡單集線器構建的網路還是很容易受到這種攻擊。(並且反防窺探工具也可能使它成為一項重要議題。) 使用交換器替代集線器可消除此弱點。在共用介質網路(即用集線器構建的網路)中,所有的裝置可看見所有的通訊。通常網路介面對非發給它的資料幀不進行處理。混雜模式的介面將把每一幀的內容向上傳到電腦的協議棧。該資訊對於有協議分析器的攻擊者可能非常有價值。

交換網路可以實際杜絕這種情況的發生。交換網路中任何機器的網路介面將只能看到特別發給該介面的那些幀。在這裡混雜模式沒有什麼不同,因為 NIC 不識別其它任何網路通訊。攻擊者窺探交換網路的唯一已知方法是:攻擊者破壞交換器本身並更改其操作,這樣交換器至少在一個連接埠充斥了所有通訊。破壞交換器很難,並且很快會被網路系統管理員發現。

交換網路還免去了使用雙主機 DMZ 伺服器的必要。雙主機提供不了更多的附加保護;附加的 NIC 不能防止來自已破壞電腦的攻擊。但是在需要高可用性或高效能情況下,使用兩個 NIC 可能更加適合。

消除故障點。在需要高可用性的環境中有必要使用兩個 NIC。一種切實可行的設計方案是在核心部分包括兩台交換器,並在每台伺服器中包括兩個 NIC。一個 NIC 串連到一台交換器,另一個 NIC 串連到另一台交換器。

內部網路的情況如何?出於同樣的原因,內部網路也應當用交換器來構建。如果需要高可用性,請遵照 DMZ 中同樣的原則。

群集互連。無論在 DMZ 還是在內部網路中,都使用集線器串連所有群集。Microsoft 不建議使用跨接電纜,因為它們不能提供確保介質敏感型操作正常工作所需的電子訊號。

IPSec — 信任 DMZ 的一種更安全的選擇
如果所有的伺服器都在運行 Windows 2000,則應當使用 網際網路通訊協定 (IP)安全 (IPSec) 來保護 DMZ 和內部網路之間所有通訊的安全。IPSec 提供下列功能:

身分識別驗證。 可以確定這樣的策略,使得只有那些需要彼此通訊的電腦才可以互相通訊。
加密。 已經侵入到 DMZ 的入侵者無法將通訊解釋進或解釋出內部網路。
保護。 IPSec 保護網路避免重放攻擊、人為幹預攻擊以及通過標準協議(如 ICMP 或 HTTP)進行的攻擊(這些攻擊可通過基本防火牆和狀態檢查資料包篩選器防火牆)。
啟用 IPSec 後,內部防火牆必須只允許 IPSec、IKE、Kerberos 以及 DNS 通訊,這樣進一步加強了內部網路的安全性。內部防火牆中不會有其它漏洞。對於各種應用程式有漏洞的標準防火牆規則,入侵者可以通過 Firewalk 這樣的工具確定防火牆的策略;而將所有通訊封裝在 IPSec 中並只許使用該協議,可隱藏對攻擊者可能有用的實施細節(但是還應參見下面的“可能的安全含意”)。下表列出了應當在防火牆中開啟的服務: 服務
位置
說明

Domain

連接埠 53/tcp 和 53/udp

網域名稱服務 (DNS)


kerberos

連接埠 88/tcp 和 88/udp

Kerberos v.5 身分識別驗證


isakmp

連接埠 500/udp

網際網路金鑰交換


esp

協議 50

IPSec 封裝的安全有效載荷


ah

協議 51


相關文章

Cloud Intelligence Leading the Digital Future

Alibaba Cloud ACtivate Online Conference, Nov. 20th & 21st, 2019 (UTC+08)

Register Now >

Starter Package

SSD Cloud server and data transfer for only $2.50 a month

Get Started >

Alibaba Cloud Free Trial

Learn and experience the power of Alibaba Cloud with a free trial worth $300-1200 USD

Learn more >

聯繫我們

該頁面正文內容均來源於網絡整理,並不代表阿里雲官方的觀點,該頁面所提到的產品和服務也與阿里云無關,如果該頁面內容對您造成了困擾,歡迎寫郵件給我們,收到郵件我們將在5個工作日內處理。

如果您發現本社區中有涉嫌抄襲的內容,歡迎發送郵件至: info-contact@alibabacloud.com 進行舉報並提供相關證據,工作人員會在 5 個工作天內聯絡您,一經查實,本站將立刻刪除涉嫌侵權內容。