第1节 信息服务的立体安全需求
当今,无论是企业、政府、还是学校及科研机构,都开始广泛的利用信息化手段提升自身的能力,利用各种信息设施有效地提高自身的运营效率。然而在从信息化过程获得好处的同时,给许多信息化单位造成重大损失的信息安全问题同样也在困扰着这些单位。因此如何解决信息化所带来的各种各样的安全威胁,就成为摆在每个用户面前的严峻问题。 1 信息服务面临的安全问题
1.1 攻击的目的
如今凡是连接到互联网的主机所面对的安全威胁形式多样,工作原理各异。然而就其目的而言分为以下2种:
1.1.1 破坏型攻击
破坏型攻击指的是通过占用目标的网络资源、系统资源,而破坏攻击目标的运行状态,使其不能正常工作。主要的手段是拒绝服务攻击(Denial of Service)。 1.1.2 入侵型攻击
另一类常见的攻击目的是侵入攻击目标,获得一定的权限,从而达到控制攻击目标,窃用目标资源、或窃取目标数据的目的。 1.2 攻击的阶段
从攻击者角度看,攻击分为三个阶段:攻击前的探测阶段、攻击阶段、攻击后的善后阶段。攻击手段相应地分为:探测、攻击、隐藏等三大类, 1.2.1 探测
探测是黑客在攻击开始前必需的情报收集工作,攻击者通过这个过程需要尽可能多地了解攻击目标的与安全相关的各方面信息,以便能够进行攻击。探测过程又可以分为三个基本步骤:踩点、扫描和查点。 扫描技术包括
▼ Ping 扫描(确定正在活动的主机)、 ▼ 端口扫描(确定打开的开放服务)、
▼ 操作系统辨识(确定目标主机的操作系统类型) ▼ 安全漏洞扫描(获得目标上存在的可利用的安全漏洞)。 1.2.2 攻击
在攻击阶段,攻击者通过探测阶段掌握的有关攻击目标的安全情况会选择不同的攻击方法来达成其攻击目的。攻击方法层出不穷,但可以将其归为以下四类,即窃听技术、欺骗技术、拒绝服务和数据驱动攻击。
窃听技术是攻击者通过非法手段对系统活动的监视从而获得一些安全关键信息。目前属于窃听技术的流行攻击方法有键击记录器、网络监听、非法访问数据和攫取密码文件。
欺骗技术是攻击者通过冒充正常用户以获取对攻击目标访问权或获取关键信息的攻击方法,属于此类的有获取口令、恶意代码、网络欺骗等攻击手法。
拒绝服务是中断或者完全拒绝对合法用户、网络、系统和其他资源的服务的攻击方法,属于破坏型攻击,是最邪恶的攻击,其意图就是彻底地破坏,而这比真正取得他们的访问权要容易得多,同时所需的工具在网络上也极易得到。因此拒绝服务攻击,特别是分布式拒绝服务(DDoS)攻击对目前的互联网络构成了严重的威胁,造成的经济损失也极为庞大。
数据驱动攻击是通过向某个程序发送数据,以产生非预期结果的攻击,通常为攻击者给出访问目标系统的权限,数据驱动攻击分为缓冲区溢出攻击、格式化字符串攻击、输入验证攻击、同步漏洞攻击、信任漏洞攻击等。 1.2.3 隐藏
攻击者在完成其攻击目标(如获得root 权限)后,通常会采取隐藏技术来消除攻击留下的蛛丝马迹,避免被系统管理员发现,同时还会尽量保留隐蔽的通道,一边将来还能轻易的重新进入目标系统。隐藏技术主要包括日志清理、安装后门、内核套件等。 2 信息服务的立体安全需求
信息服务是一个综合系统,涉及网络系统、主机系统两个层次。
网络系统的模型是一个分层次的拓扑结构,通常采用五层模型,即物理层、数据链路层、网络层、传输层、应用层。
主机系统也可以分为两个层次:操作系统、应用服务,因此信息服务的安全防护也需采用分层次的拓扑防护措施。即一个完整的信息服务安全解决方案应该覆盖网络与主机的各个层次,并且与安全管理相结合。以该思想为出发点,曙光公司提出了“全方位、深度的立体安全防护”的集群安全解决方案。 本文给出的是信息服务的网络安全的基础设施——防火墙的安全解决方案。
第 2 节 信息服务的安全解决方案
1 以防火墙隔离不同的安全区域的方案
1.1 隔离内外网的防火墙方案
作为最基本的功用,防火墙可以用于实现对网络不同安全区域的隔离。如下图,防火墙将办公局域网与不安全的互联网隔离成两个逻辑区域,在保证局域网内的客户端访问互联网、以及互联网用户访问局域网对外的服务器的同时,限制互联网与办公局域网之间的访问,达到可控访问的目的。
这是最简单的防火墙部署方案,初步实现了对局域网的安全防护,通常用于应用服务较少、以客户机上网为主要目标的小型网络。
虽然这是个简单的防火墙方案,但是采用曙光防火墙产品,可以获得以下安全保障: 丰富的包过滤功能 网络地址转换—NAT DMZ(非军事区)
多种服务代理及智能内容过滤 统计计费功能
安全检测与实时报警功能 与IDS联动 抗IP欺骗 防端口扫描 DoS攻击拦截 P2P协议过滤
另外还可以获得以下功能: 支持多种工作模式 支持ADSL接入 带宽控制功能 负载均衡 DHCP功能
如今虽然通过禁用主机上的没用的或者不安全的服务,亦或者安装个人防火墙,可以实现防火墙的包过滤等功能,然而,毕竟这是由主机自身提供的防护,一旦主机系统已经被侵入,并获得足够的权限,上述的防护措施均可以被入侵者修改。
而采用专用防火墙则可以降低系统被入侵后造成的部分侵害,例如入侵者如果打开了主机上某些被禁止的端口,由于防火墙并未开放该端口,因此入侵者仍然不可以使用该端口进行内外网之间的通讯,因而也就在一定程度上防止了内部资源或数据的外泄。 1.2 带DMZ的防火墙方案
在前一个方案中,办公局域网中除了部署有办公用的客户机之外,还部署有提供不同服务的各种服务器。这些服务器中,
有些是为其它服务提供后台支持的,由各种应用服务访问,而不直接面向任何客户,如数据库服务器、目录服务器;
有些是对内部用户提供服务的,如OA、内部邮件等;
有些是允许所有用户访问(包括互联网用户),对外提供服务的主机,如web服务器、邮件网关等。 这里对外的服务器与上网的客户机放置在同一安全区域内,不便于设置更安全的控制规则。 因此将对外的服务器与办公局域网分隔开,在保证对外服务器正常提供服务的前提下,提高办公局域网的安全,因此在防火墙的第三个接口设置为DMZ(非军事区),在其中部署各种对外的服务器(如下图)。
在该方案中,通过防火墙将网络分隔为三个不同的安全区域,办公局域网、DMZ以及互联网,三个区域之间的通讯均需要通过防火墙,从而可以简化防火墙的规则的设置、提高防火墙工作效率、提高内部的办公局域网的安全。
本方案适用于具有多种应用服务、且对于服务器安全要求较高的用户网络。 1.3 提高内网服务器的防火墙部署方案
在前面的方案中,内部的办公局域网的安全得到了保证,提高了内部服务器抵御来自互联网的威胁的能力。然而内部服务器与办公用客户机部署在同一区域中,因此内部服务器仍然要面对来自内部网络的各种威胁。因此隔离内部服务器与办公用客户机,可以提高内部服务器的安全防护(如下图)。
在本方案中,将网络分隔为四个不同的安全区域:服务器网络、DMZ、DMZ1、以及互联网。其中, 服务器网络部署的是各种内部服务器;
DMZ区域部署的是各种对外提供应用服务的服务器;
DMZ1区域是原有的办公局域网,所有办公用客户机部署在其中。
本方案适用于具有多种应用服务、且对于服务器安全要求很高的用户网络。
但是这样的部署方式在获取更高的安全防护的同时,也会付出降低部分性能的代价,建议选用高性能的千兆防火墙,并且启用流量控制功能,以保证内、外网服务器之间的通讯带宽。
防火墙应该运行在混合模式下,即DMZ1(办公局域网)与互联网和DMZ(外网服务器)之间采用路由模式,而DMZ(外网服务器)与内部的服务器网络之间则采用透明模式。 在更大规模的网络中,也可以采用下图所示的双防火墙的部署方式: