網路安全原理與實踐
dmz是網路安全中使用的最重要的分割槽術語之一。乙個dmz是網路中的這樣乙個區:因為它所包含的裝置性質而將其同網路的其他部分分隔開來的區。這些裝置(通常是需要從公共網路上訪問的伺服器)不允許在它們所在的區域部署乙個太嚴格的安全策略。因而,需要把這個區同網路的其他部分分離開來。
dmz通常是駐留於私有網路和公共網路之間的乙個子網。來自外網的連線通常終止於dmz區域的裝置。這些伺服器可以相對安全的被私有網路內的裝置訪問。
建立dmz的方法有很多。怎樣建立dmz依賴於網路的安全需求,同時也取決於對它的預算。建立dmz的最常用方法如下。
使用乙個三腳(three-legged)防火牆建立dmz。
將dmz置於防火牆之外,公共網路和防火牆之間。
將dmz置於防火牆之外,但不在公共網路和防火牆之間的通道上(也叫做「髒dmz[dirty dmz]」)。
在層疊的防火牆之間建立dmz。
這可能是建立dmz最常用的方法。這種方法是使用乙個有三個介面的防火牆去建立隔離區,每個隔離區成為這個防火牆介面的一員。防火牆提供區之間的隔離。這種機制提供了許多關於dmz安全的控制。這一點是重要的,因為乙個被攻陷的dmz可能是精心設計的攻擊的第一步。圖2-1展示了怎樣使用乙個三腳防火牆建立dmz。注意乙個防火牆可以有多於三個的介面,允許建立許多dmz。每個dmz可以具有自己獨特的安全需求。
在這種配置中,dmz暴露在防火牆的公共面一側。需要通過防火牆的流量首先通過dmz。一般情況下不推薦這種配置,因為在這種配置中針對dmz區域內裝置可用的安全控制非常少。這些裝置實際上是公共區域的一部分,它們自身並沒有真正地被保護。圖2-2顯示了乙個在防火牆之外,公共網路和防火牆之間的dmz是怎樣建立的。
顯然,這是相當不安全的建立dmz的方法,因為在這種配置中防火牆的安全特性根本沒有用到。但是,在網路邊緣路由器的公網方向可以部署一些安全策略,從而向dmz的成員裝置提供一些基本的安全保障。這種安全可能使用訪問控制列表的形式,只允許以特定的埠訪問dmz中的成員裝置並拒絕其他所有的訪問。
「髒dmz」同前面描述的dmz非常相似。它們僅有的區別是:這裡的dmz不是位於防火牆和公共網路之間,而是位於邊緣路由器用於連線防火牆的介面以外的乙個隔離介面(如圖2-3所示)。這種型別的配置只為dmz網路中的裝置提供了非常少的安全保障。但是同前面部分描述的配置相比,這種配置為dmz提供了稍多的隔離性。這種配置中的邊緣路由器能夠用於拒絕從dmz子網到防火牆所在的子網的所有訪問。並且,單獨的vlan能夠提供防火牆所在的子網和dmz子網間更進一步第二層的隔離。這在當乙個位於dmz子網的主機被攻陷,並且攻擊者開始使用這個主機對防火牆和網路發動更進一步攻擊的情形下是非常有用的。在這些情形下,增加的隔離層能夠幫助延緩對防火牆的攻擊進度。
因為防火牆通常要處理所有通往內網和通往普通dmz伺服器的資料,因此當防火牆的效能不足以處理額外的流量的時候,可以通過建立髒dmz的方式來解決。因為在dmz上伺服器(通常是公共伺服器)的流量是相當可觀的,所以網路管理員通常被迫將這些裝置置於防火牆之外的乙個dmz上,這樣防火牆就不必處理通往這些伺服器的流量。
網路管理員經常竭盡全力,以確保位於髒dmz上的主機在面對大部分通常的網路攻擊時特別牢固。乙個暴露在公共網路中並且得到加強以面對網路攻擊的主機稱為堡壘主機(bastion host)。這些主機通常關掉所有不需要的服務,以防止攻擊者利用這些服務入侵主機。同樣,任何不需要的埠和網路協議也都被移除或禁用以增強主機的安全。同時這些主機的作業系統也需要安裝所有必要的更新和補丁。大部分能夠用於操縱這個主機的工具和配置程式都要從該主機上刪除。另外,主機有大量開啟的日誌記錄,以捕獲任何入侵的企圖。這很可能是乙個在將來提公升主機安全性的重要工具。甚至在設定了所有這些安全措施之後,還要部署額外措施以確保即使是主機被攻陷了,攻擊者也無法通過從堡壘主機獲得的訪問許可權訪問內網。通常這也意味著堡壘主機和內部私有網路不共享相同的認證系統。
在這種形成dmz的機制中,兩個防火牆層疊放置,因而需要訪問離公共網路最遠的防火牆後面的私有網路時,所有流量必須要通過這兩個防火牆。在這種方案中,兩個防火牆中間的網路用作dmz。在這種方案中,由於dmz前面的防火牆而使它獲得了相當高的安全性。但是,它的乙個缺點是所有從內部網路流向公共網路的流量必須經過dmz網路。在這種方案中,乙個被攻陷的dmz裝置能夠使攻擊者以不同的方法阻截或者偵聽這個流量。為抵禦這種風險,可以在兩個防火牆之間的裝置上使用私有vlan。這種配置的主要缺點之一是要用兩個防火牆。圖2-4顯示了層疊在兩個防火牆之間的dmz是怎樣建立的。
《網路安全原理與實踐》一1 7 部署網路安全策略
網路安全原理與實踐 定義了安全策略之後,下一步要做的就是部署它。部署安全策略不是一件簡單的事情,它包括技術性和非技術性兩方面的內容。找到能夠互相相容的裝置,並且通過這些裝置真正地實現安全策略具有足夠的挑戰性,同時對所有相關的團隊提出乙個切實可行的設計也同樣困難。在開始實現安全策略之前,有幾點需要記住...
《網路安全原理與實踐》一1 9 審計和改進
網路安全原理與實踐 一旦實現了安全策略,繼續對它分析 測試和改進是非常關鍵的。可以通過安全系統的正規化審計來實現這一點,也可以通過使用基於標準操作的度量方法每天檢測它來實現。審計可能具有不同的形式,包括使用不同的自動審計工具 比如cisco secure scanner 來自動檢查。這些工具用於查詢...
網路安全知識(一)
計算機病毒的破壞行為 計算機病毒的破壞行為主要分為四類 1 刪除 修改檔案。被開啟檔案變為乙個可執行檔案,原檔案內容被覆蓋。2 占用系統資源。絕大多數的蠕蟲病毒。瘋狂在計算機網路中傳播,占用網路以及本地計算機資源。3 非法訪問系統程序。主要以黑客病毒為主。通過感染計算機,然後黑客或非法使用者獲得對已...