小型網(wǎng)絡(luò)兩個(gè)模塊安全設(shè)計(jì)和配置

2019-11-04 21:15:43

字體：大中小

供稿：網(wǎng)友

　　小型網(wǎng)絡(luò)有兩個(gè)模塊：公司互聯(lián)網(wǎng)模塊與園區(qū)模塊。公司互聯(lián)網(wǎng)模塊擁有與互聯(lián)網(wǎng)的連接，同時(shí)也端接VPN與公共服務(wù)（DNS、HTTP、FTP、SMTP）信息流。園區(qū)模塊包含第2層交換功能與所有的用戶以及治理與內(nèi)部網(wǎng)服務(wù)器。關(guān)于這種設(shè)計(jì)的討論的前提是小型網(wǎng)絡(luò)用作企業(yè)的頭端。

　　互聯(lián)網(wǎng)模塊

　　互聯(lián)網(wǎng)模塊為內(nèi)部用戶提供了與互聯(lián)網(wǎng)的連接并使用戶能夠通過(guò)互聯(lián)網(wǎng)訪問(wèn)公共服務(wù)器上的信息，同時(shí)還為遠(yuǎn)程地點(diǎn)和遠(yuǎn)程工作人員提供了VPN訪問(wèn)能力。這種模塊不適用于電子商務(wù)類型的應(yīng)用。

　　互聯(lián)網(wǎng)模塊涉及的要害設(shè)備有：SMTP服務(wù)器、DNS服務(wù)器、FTP／HTTP服務(wù)器、防火墻或防火墻路由器、第2層交換機(jī)（支持專用VLAN）。

　　擁有公共地址的服務(wù)器是最輕易被攻擊的。以下是互聯(lián)網(wǎng)模塊潛在的威脅：未授權(quán)訪問(wèn)、應(yīng)用層攻擊、病毒與特洛伊馬攻擊、密碼攻擊、拒絕服務(wù)、ip電子欺騙、分組竊聽(tīng)、網(wǎng)絡(luò)偵察、信任關(guān)系利用、端口重定向。

　　設(shè)計(jì)指南——在小型VPN網(wǎng)絡(luò)設(shè)計(jì)中，該模塊堪稱為極至。VPN功能被壓縮入一個(gè)機(jī)箱，但依然執(zhí)行著路由選擇、NAT、IDS和防火墻功能。在確定如何實(shí)施該功能時(shí)，提及了兩種主要替代措施。第一是使用帶防火墻和VPN功能的路由器。這種選擇為小型網(wǎng)絡(luò)帶來(lái)了極大的靈活性，因?yàn)槁酚善鲗⒅С衷诋?dāng)今網(wǎng)絡(luò)中可能是不可或缺的所有高級(jí)服務(wù)。作為一種替代措施，可使用帶VPN的專用防火墻來(lái)取代路由器。這種設(shè)置給部署造成了一些限制。首先，防火墻通常都只是以太網(wǎng)，要求對(duì)相應(yīng)的WAN協(xié)議進(jìn)行一些轉(zhuǎn)換。在目前的環(huán)境中，大多數(shù)有線和DSL路由器/調(diào)制解調(diào)器都是由電信服務(wù)供給商提供的，可用于連接以太網(wǎng)防火墻。假如設(shè)備要求WAN連接（如電信供給商的DSL電路），那么，就必須使用路由器。使用專用防火墻不具備輕松配置安全性和VPN服務(wù)的優(yōu)勢(shì)，當(dāng)發(fā)揮防火墻功能時(shí)，可提供改進(jìn)性能。無(wú)論選用哪種設(shè)備，都要考慮一些VPN的因素。請(qǐng)注重，路由器傾向于答應(yīng)信息流通過(guò)，而防火墻的缺省設(shè)置則傾向于阻止信息流通過(guò)。

　　從ISP的客戶邊緣路由器開(kāi)始，ISP出口將限制那些超出預(yù)定閾值的次要信息流，以便減少DDoS攻擊。同時(shí)在ISP路由器的入口處，RFC1918與RFC 2827過(guò)濾功能將防止針對(duì)本地網(wǎng)絡(luò)及專用地址的源地址電子欺騙。

　　在防火墻的入口，RFC1918與RFC2827將首先被用于驗(yàn)證ISP的過(guò)濾功能。此外，由于零散的分組帶來(lái)了極大的安全隱患，因此防火墻將丟棄那些在互聯(lián)網(wǎng)上不應(yīng)被視作標(biāo)準(zhǔn)信息流的零散分組。這種過(guò)濾有可能導(dǎo)致某些合格信息流被丟棄，但考慮到答應(yīng)以上不合格的信息流通過(guò)所帶來(lái)的風(fēng)險(xiǎn)，上述情況是可以接受的。目的地為防火墻的信息流僅限于IPSec信息流和用于路由的任何必要協(xié)議。

　　防火墻為通過(guò)防火墻發(fā)起的會(huì)話提供了連接狀態(tài)執(zhí)行操作以及具體的過(guò)濾。擁有公共地址的服務(wù)器通過(guò)在防火墻上使用半開(kāi)放連接限制能夠防止TCP SYN洪水。從過(guò)濾的角度講，除了將公共服務(wù)區(qū)域的信息流限定到相關(guān)地址和端口外，在相反的方向上也在進(jìn)行過(guò)濾。假如某個(gè)攻擊涉及到一個(gè)公共服務(wù)器（通過(guò)規(guī)避防火墻和基于主機(jī)的IDS），那么這個(gè)服務(wù)器應(yīng)該不會(huì)再進(jìn)一步攻擊網(wǎng)絡(luò)。為了緩解這種攻擊，具體的過(guò)濾將防止公共服務(wù)器向其他任何地點(diǎn)發(fā)出任何未授權(quán)請(qǐng)求。例如，應(yīng)該對(duì)Web服務(wù)器進(jìn)行過(guò)濾，以便使其不能自身產(chǎn)生請(qǐng)求，而只能回答來(lái)自客戶機(jī)的請(qǐng)求。這種設(shè)置有助于防止黑客在實(shí)施最初的攻擊后將更多的應(yīng)用下載到被破壞的機(jī)器。同時(shí)還有助于防止黑客在主攻擊過(guò)程中觸發(fā)不受歡迎的會(huì)話。這種攻擊的例子是從Web服務(wù)器生成一個(gè)xterm，再通過(guò)防火墻將其傳送到黑客的機(jī)器。此外，DMI上的專用VLAN可以防止一個(gè)被破壞的公共服務(wù)器攻擊同一區(qū)域的其他服務(wù)器。這種信息流甚至不能被防火墻發(fā)現(xiàn)，由此可以證實(shí)專用VLAN的重要性。

　　從主機(jī)的角度看，公共服務(wù)區(qū)域內(nèi)的每個(gè)服務(wù)器均擁有主機(jī)入侵檢測(cè)軟件，用于監(jiān)控OS級(jí)的任何不良活動(dòng)以及普通服務(wù)器應(yīng)用的活動(dòng)（HTTP、FTP、SMTP等）。DNS主機(jī)應(yīng)該只響應(yīng)必要的命令，同時(shí)消除任何可能有助于黑客的網(wǎng)絡(luò)偵察攻擊的不必要響應(yīng)。這包括防止從任何地點(diǎn)進(jìn)行zone傳輸（合格的二級(jí)DNS服務(wù)器除外）。在郵件服務(wù)方面，防火墻在第7層過(guò)濾SMTP信息，以便只答應(yīng)必要的命令到達(dá)郵件服務(wù)器。

　　防火墻與防火墻路由器的安全功能中通常包括一些有限的NIDS功能。這種功能會(huì)影響設(shè)備的性能，但在您遭受攻擊的情況下卻能提供一些關(guān)于攻擊的信息。您是犧牲部分性能換取了攻擊透明度。假如不使用IDS，許多攻擊將被放棄，但監(jiān)控站不會(huì)知道發(fā)生了什么具體攻擊。VPN連通性是通過(guò)防火墻或防火墻／路由器實(shí)現(xiàn)的。遠(yuǎn)程地點(diǎn)用預(yù)共享的密鑰進(jìn)行彼此驗(yàn)證，遠(yuǎn)程用戶則通過(guò)園區(qū)模塊中的訪問(wèn)控制服務(wù)器得到驗(yàn)證。

　　與上述設(shè)計(jì)不同的設(shè)計(jì)將是為了提高網(wǎng)絡(luò)容量或?qū)⒏鞣N不同的安全功能分配給不同的設(shè)備。這樣這種設(shè)計(jì)就越來(lái)越象本文后面要討論的中型網(wǎng)絡(luò)設(shè)計(jì)。在完全采用中型網(wǎng)絡(luò)設(shè)計(jì)之前可以先添加專用的遠(yuǎn)程訪問(wèn)VPN集中器，以提高遠(yuǎn)程用戶群的可治理性。

　　園區(qū)網(wǎng)模塊

　　園區(qū)網(wǎng)模塊包含最終用戶工作站、公司內(nèi)部網(wǎng)服務(wù)器、治理服務(wù)器和支持這些設(shè)備所需的相關(guān)第2層基礎(chǔ)設(shè)施。在小型網(wǎng)絡(luò)設(shè)計(jì)中，這種第2層功能已被并入單個(gè)交換機(jī)中。

　　設(shè)計(jì)指南——園區(qū)交換機(jī)的主要功能是交換生產(chǎn)與治理信息流并為公司和治理服務(wù)器以及用戶提供連接。在交換機(jī)內(nèi)部可以實(shí)施VLAN，以減少設(shè)備間的信任關(guān)系利用攻擊。例如，公司用戶可能需要與公司服務(wù)器通信但彼此之間可能沒(méi)有必要通信。

　　由于園區(qū)模塊中沒(méi)有第3層服務(wù)，因此必須注重，由于內(nèi)部網(wǎng)絡(luò)的開(kāi)放性，這種設(shè)計(jì)越來(lái)越注重應(yīng)用和主機(jī)的安全性。因此，園區(qū)中的要害系統(tǒng)上也安裝了HIDS，包括公司服務(wù)器與治理系統(tǒng)。

　　在治理站與網(wǎng)絡(luò)其余部分之間設(shè)置一個(gè)小型過(guò)濾路由器或防火墻能夠提高總體安全性。這種設(shè)置將使治理流量只沿著治理員認(rèn)為必要的方向傳輸。假如機(jī)構(gòu)內(nèi)部的信任水平高，那么可以取消HIDS（盡管我們不建議這樣做）。

　　分支機(jī)構(gòu)與獨(dú)立式配置

　　在分支機(jī)構(gòu)中不要求配備遠(yuǎn)程訪問(wèn)VPN功能，因?yàn)楣究偛客ǔ?huì)提供這種功能。此外，治理主機(jī)一般位于中心地點(diǎn)，這種設(shè)置要求治理信息流穿過(guò)地點(diǎn)到地點(diǎn)VPN連接回到公司總部。

請(qǐng)?zhí)砑用枋?src="http://www.knowsky.com/UploadFiles/20071234/200811222132442877801.gif"