授权数据 主 标识/认证 资 体 访问控制 源 完整/保密 传输与存储 审计/抗 抵赖 (图11-1)
各种安全服务之间的逻辑关系
从这一模型可以得出如下结论:对资源的访问控制是安全保密的核心,而对
用户的身份认证或主机的地址的认证是访问控制的前提。
在**房产网络安全方案设计中,确定健全方案所涉及到的系统单元。其次要考虑该系统单元在各个层次所提供的安全服务(功能),然后还应考虑这些单元系统之间的逻辑关系,才能提供全面的、合理的、有机的安全服务。
11.9.2 网络平台安全解决方案
网络平台安全实施对象
网络平台安全主要需要解决网络下三层的安全,包括保证通信线路、网络设备的安全可靠、采用点到点的链路加密设备、采用防火墙设备等实现。
通信线路的安全可靠主要是要求线路的屏蔽性好,并采取必要的冗余措施。 链路层加密设备主要用在广域网传输数据时提供加密功能。
下面着重介绍安全的网络拓扑以及防火墙系统和拨号网络的设计,并介绍网络平台安全管理的主要内容。
安全网络拓扑
为了保证内部网络的安全,需要:
? 禁止外部用户访问内部网络;
? 允许用户(不论是内部用户还是外部用户)访问某些公共服务器上
的指定信息,并限制用户的操作; ? 限制内部用户访问外部的某些服务。
为此,在设计安全的网络拓扑结构时,建议采用非军事化区的结构,即通过配置防火墙,划分出一个非军事化区(DMZ),以隔离内部网和外部网。
如下图所示,内部网是防火墙的重点保护对象。当防火墙用于整个企业网与Internet隔离的装置时,内部网是指企业的一个内部办公网络环境;当防火墙用于企业内部以隔离不同部门的网络时,内部网指的是受防火墙保护的那个部门子网。(图11-2)
外部网 对外服务区 DNS Server Web Mail DMZ(非军事区) 内部网 (图11-2) 安全网络拓扑结构图
外部网通常是指Internet,当防火墙用于一个企业内部不同部门的网络之间是地,也包括除该企业其它部门的网络。
非军事化区(DMZ))又称停火区,是一个从外部网和内部网都可以访问到的子网。非军事化区一般用来放置一些公共服务器,如DNS、WEB、FTP、MAIL、网管等服务器,而内部应用系统的服务器(如数据库服务器、应用服务器等)一般放在内部网中。具体到**房产信息网,非军事化区指省、设区市数据中心的对外服务器区域,而内部网络是指**房产办机构内部局域网。
如上图所示,设置防火墙后,可以限制从外部网访问内部网,而内部网对外部网与DMZ区的访问、外部网访问DMZ区以及从DMZ区向外部网和内部网发送的数据包可以通过防火墙规则予以限制。
防火墙的配置
防火墙是网络安全系统的核心防护措施,它可以提供基于IP地址和TCP/IP服务端口的访问控制;对常见的网络攻击方式,如拒绝服务攻击(ping of death ,1and,syn flooding,ping flooding,tiar drop,?)、端口扫描(port
scanning)、IP欺骗(ip spoofing)、IP盗用等进行有效防护;并提供NAT地址转换、流量限制、用户认证、IP与MAC绑定等安全增强措施。 使用防火墙可以构架VPN虚信道 ,该信道具有如下特性:
? 可用来连接两 个专用网;
? 通过可靠加密技术方法保证其安全性,因此是专用的;
? 作为一个公共网络系统(如Internet)的一部分存在。 1. 防火墙的介绍
当机构的内部数据和网络设施暴露给外部黑客时,网络管理员越来越关心网络的安全,为了提供所需级别的保护,机构需要有安全策略来防止非法用户访问内部网络上的资源和非法向外传递内部信息。即使一个机构没有连接到外部上,它也需要建立内部的安全策略来管理用户对部分网络的访问并对秘密数据提供保护。
防火墙是这样的系统(或一组系统),它能增强机构内部网络的安全性。防火墙系统决定了哪些内部服务可以被外界访问;外界的哪些人可以访问内部的哪此可以访问的服务,以及哪些外部服务可以被内部人员访问。要使一个防火墙有效,所有来自和去往外部网络的信息都必须经过防火墙,接受防火墙的检查。防火墙必须只允许授权的数据通过,并且防火墙本身也必须能够免于渗透。但不幸的是,防火墙系统一旦被攻击者突破或迂回,就不能提供任何的保护了。
1)为什么要选用防火墙
防火墙负责管理外部网络和机构内部网络之间的访问。在没有防火墙时,内部网络上的每个节点都暴露给外部网络上的其它主机,极易受到攻击。这就意味着内部网络的安全性要由每一个主机的坚固程度来决定,并且安全性等同于其中最弱的系统。
防火墙允许网络管理员定义一个中心“扼制点”来防止非法用户,如黑客、网络破坏者等攻击进入内部网络。禁止存在安全脆弱性的服务进出网络,并抗击 来自各种路线的攻击。防火墙能够简化安全管理,网络安全性是在防火墙系统上得到加固,而不是分布在内部网络的所有主机上。
在防火墙上可以很方便的监视网络提安全性,并产生报警。应该注意的是:对一个内部网络已经连接到外部的机构来说,重要的问题并不是网络是否会受到攻击,而是何时会受到攻击。网络管理员必须审计并记录所有通过防火墙的重要信息。如果网络管理员不能及时响应报警并审查常规记录,防火墙就形同虚设。在这种情况下,网络管理员永远不会知道防火墙是否受到攻击。
防火墙是审计和记录外部网使用量的一个最佳地方。网络管理员可以在此向管理部门提供连接的费用情况,查出潜在带宽瓶颈所位置,并能够根据机构的核算模式提供部门级的记费。
防火墙也可以成为向客户发布信息的地点。防火墙作为部署WWW服务器和FTP服务器的地点非常理想。还可以对防火墙进行配置,允许外部网络访问上述服务,而禁止外部对受保护的内部网络上其它系统的访问。
2)使用防火墙的注意事项
防火墙无法防范通过防火墙以外的其它途径的攻击。例如,在一个被保护网络上有一个没有限制的拨出存在,内部网络上的用户就可以直接通过SLIP或PPP连接进入Internet。聪明的用户可能会对需要附加认证的代理服务器感到厌烦,因而向ISP购买直接的SLIP或PPP连接,从而试图绕过由精心构造的防火墙提供的安全系统。这就为从后门攻击创造了极大的可能。网络上的用户们必须了解这种类型连接对于一个有全面的安全保护系统来说是绝对不允许的。
防火墙也不能防止来自内部变节者和不经心的用户们带来的威胁。防火墙无法禁止变节者或公司内部存在的间谍将敏感数据拷贝到软盘或PCMCIA卡上,并将其带出公司。防火墙也不能防范这样的攻击;伪装成超级用户或诈称新的工作人员,从而劝说没有防范心理的用户公开口令或授予其临时的网络访问权限。所以必须对工作人员进行教育,让它们了解网络攻击的各种类型,并懂得保护自己的用户口令和周期性变换口令的必要性。
防火墙也不能防止传送已感染病毒的软件或文件,这是因为病毒的类型太多,操作系统也有多种,编码与压缩二进制文件的方法也各不相同。所以不能期望防火墙去对每一个文件进行扫描,查出潜在的病毒。对病毒特别关心的机构应在每个桌面部署防病毒软件,防止病毒从软盘或其它来源进入网络系统。