基礎(chǔ)設(shè)施與網(wǎng)絡(luò)安全

1、IT系統(tǒng)安全白皮書(shū) 第四章 實(shí)踐及案例分析 4.1 IT基礎(chǔ)設(shè)施與網(wǎng)絡(luò)安全在一個(gè)現(xiàn)代的，具有基本的電子商務(wù)模式的企業(yè)中，關(guān)鍵性應(yīng)用所依賴(lài)的軟件、硬件和網(wǎng)絡(luò)被稱(chēng)為IT基礎(chǔ)設(shè)施。IT基礎(chǔ)設(shè)施通常遵循開(kāi)放的標(biāo)準(zhǔn)，易于集成，不需要太多額外的開(kāi)發(fā)工作就可以投入使用。典型的IT基礎(chǔ)設(shè)施包括網(wǎng)絡(luò)架構(gòu)、基本網(wǎng)絡(luò)服務(wù)（如DNS, DHCP）、Web服務(wù)和文件服務(wù)等。網(wǎng)絡(luò)架構(gòu)是IT基礎(chǔ)設(shè)施的重要組成部分。隨著業(yè)務(wù)流程對(duì)網(wǎng)絡(luò)架構(gòu)的依賴(lài)逐步加深，如何構(gòu)建一個(gè)安全、可靠、靈活的網(wǎng)絡(luò)已經(jīng)不再僅僅是一個(gè)IT問(wèn)題。CIO, 甚至CEO將會(huì)越來(lái)越多地關(guān)心企業(yè)中網(wǎng)絡(luò)環(huán)境的情況。今天，越來(lái)越多的機(jī)構(gòu)，無(wú)論它們從事何種業(yè)務(wù)，也無(wú)論它

2、們有多大的規(guī)模，開(kāi)始從Internet接入中獲益。但是接入Internet同樣意味著風(fēng)險(xiǎn)。在您為員工，客戶和業(yè)務(wù)伙伴提供信息訪問(wèn)服務(wù)的同時(shí)，您也為全世界鋪設(shè)了訪問(wèn)您機(jī)構(gòu)中的隱秘信息的道路。在各大媒體上，關(guān)于黑客入侵導(dǎo)致泄密的報(bào)道屢見(jiàn)不鮮。有些時(shí)候，來(lái)自網(wǎng)絡(luò)的攻擊會(huì)導(dǎo)致部分或整個(gè)網(wǎng)絡(luò)服務(wù)停止工作，并進(jìn)一步影響到您的關(guān)鍵性應(yīng)用。最近一年以來(lái)的沖擊波、震蕩波等病毒的大規(guī)模發(fā)作就是很典型的例子。4.1.1 網(wǎng)絡(luò)安全的變革在傳統(tǒng)的網(wǎng)絡(luò)安全模式中，人們著眼于如何將入侵者阻擋在機(jī)構(gòu)的網(wǎng)絡(luò)之外。在這種模式中，經(jīng)常被使用的工具有來(lái)自不同廠商，使用各種技術(shù)的路由器，防火墻，病毒過(guò)濾器等等。隨著Web技術(shù)和電子商務(wù)

3、的發(fā)展，您可能需要從前被歸于“入侵者”一類(lèi)的人（比如您的客戶，您的合作伙伴，或是出差在外的員工）通過(guò)可控制的手段來(lái)訪問(wèn)您的網(wǎng)絡(luò)中的特定的信息。他們不會(huì)像“自己人”一樣從內(nèi)部網(wǎng)絡(luò)發(fā)起訪問(wèn)請(qǐng)求，他們的請(qǐng)求來(lái)自Internet。Internet的設(shè)計(jì)本身毫無(wú)安全性可言。您機(jī)構(gòu)中的安全策略和安全工具完全沒(méi)有辦法去控制Internet上的信息流。您的路由器，防火墻和病毒過(guò)濾器等工具仍然可以在內(nèi)部網(wǎng)絡(luò)中為防御垃圾郵件，病毒和木馬等等做貢獻(xiàn)，但在防止客戶、員工和業(yè)務(wù)伙伴對(duì)未授權(quán)的信息的訪問(wèn)方面，如果不改變它們的使用方法，它們幫不上什么忙。新的網(wǎng)絡(luò)安全模式要求您首先分析自己機(jī)構(gòu)的網(wǎng)絡(luò)，并從中找出不同業(yè)務(wù)、數(shù)據(jù)

4、和安全策略的分界線。您需要在這些分界線上構(gòu)建安全防御。這些分界線通常被稱(chēng)為“邊界網(wǎng)絡(luò)”。 構(gòu)建邊界網(wǎng)絡(luò)構(gòu)建邊界網(wǎng)絡(luò)需要用到防火墻。一個(gè)防火墻是一個(gè)軟件和硬件的組合，它決定什么樣的信息可以被允許通過(guò)某一個(gè)網(wǎng)絡(luò)。防火墻通常和路由器結(jié)合使用以在不同的網(wǎng)絡(luò)之間建立安全邊界。以下我們介紹幾種常見(jiàn)的防火墻類(lèi)型。a. 包過(guò)濾防火墻包過(guò)濾防火墻檢查每一個(gè)通過(guò)它的網(wǎng)絡(luò)包頭，并根據(jù)包頭中的信息來(lái)決定是否允許這個(gè)包的轉(zhuǎn)發(fā)。包過(guò)濾防火墻的功能十分有限，因?yàn)樗粫?huì)去檢查應(yīng)用層的信息，也不會(huì)去跟蹤信息交換的狀態(tài)。但功能簡(jiǎn)單的特性同時(shí)也決定了它是所有防火墻技術(shù)中性能最好的。在實(shí)際應(yīng)用中，包過(guò)濾防火墻常常會(huì)改變包頭中的地址信

5、息從而使轉(zhuǎn)發(fā)的包看起來(lái)像是來(lái)自于不同的計(jì)算機(jī)。這種改變技術(shù)叫做網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT），這種方法可以用來(lái)對(duì)不信任的網(wǎng)絡(luò)隱藏本地網(wǎng)絡(luò)的配置信息。b. 鏈路型防火墻鏈路型防火墻只轉(zhuǎn)發(fā)連接請(qǐng)求包和已經(jīng)建立的連接的包。這種防火墻跟蹤每一個(gè)信息交換連接的狀態(tài)，并根據(jù)預(yù)設(shè)的安全策略來(lái)決定哪些連接是被允許的。它比包過(guò)濾防火墻要復(fù)雜，也常常和NAT技術(shù)結(jié)合使用。c. 應(yīng)用層防火墻這種防火墻檢查所有網(wǎng)絡(luò)包的內(nèi)容并且工作在OSI七層協(xié)議模型的應(yīng)用層。在這種防火墻看來(lái)，它接受和轉(zhuǎn)發(fā)的不是單個(gè)的網(wǎng)絡(luò)包而是完整的信息流。它會(huì)將網(wǎng)絡(luò)上傳遞的信息完整地提取出來(lái)，然后根據(jù)預(yù)設(shè)的安全策略來(lái)決定是否轉(zhuǎn)發(fā)，或者是否更改后轉(zhuǎn)發(fā)。應(yīng)用層

6、防火墻通常以具備特殊用途的軟件形式出現(xiàn)，并且常常使用代理服務(wù)器模式而不允許網(wǎng)絡(luò)信息直接通過(guò)。有些企業(yè)級(jí)的病毒防火墻也是應(yīng)用層防火墻的實(shí)現(xiàn)。應(yīng)用層防火墻通常具有很強(qiáng)的日志記錄和審計(jì)功能，所以它們可以和入侵檢測(cè)系統(tǒng)結(jié)合使用來(lái)提供攻擊行為的紀(jì)錄。應(yīng)用層防火墻的功能最復(fù)雜，性能開(kāi)銷(xiāo)也最大。有關(guān)日志記錄和審計(jì)的I/O能力對(duì)應(yīng)用層防火墻來(lái)說(shuō)至關(guān)重要。d. 動(dòng)態(tài)包過(guò)濾防火墻除了安全策略設(shè)置外，動(dòng)態(tài)包過(guò)濾防火墻使用一個(gè)數(shù)據(jù)庫(kù)來(lái)決定是否允許信息通過(guò)。它會(huì)記錄發(fā)出的包的特性，以便核對(duì)接收到的包是否能與合理的連接請(qǐng)求過(guò)程吻合。這種防火墻能夠有效地抵御端口掃描。 網(wǎng)絡(luò)結(jié)構(gòu)我們建議您使用集成的，基于開(kāi)放標(biāo)準(zhǔn)的網(wǎng)絡(luò)設(shè)計(jì)模

7、型來(lái)作為您調(diào)整網(wǎng)絡(luò)結(jié)構(gòu)的參考。使用這種模型可以幫助您避免難以預(yù)見(jiàn)的安全風(fēng)險(xiǎn)。下圖的模型就是MASS域概念在網(wǎng)絡(luò)結(jié)構(gòu)上的應(yīng)用。在這里我們簡(jiǎn)單地回顧一下這些MASS域的定義。a. 不受控區(qū)域。這部分區(qū)域不受您的機(jī)構(gòu)控制。來(lái)自不受控區(qū)域的訪問(wèn)可以通過(guò)多種渠道。b. 受控區(qū)域。存在于不受控區(qū)域與限制區(qū)域之間。又稱(chēng)為非軍事區(qū)（DMZ）。c. 限制區(qū)域。只有被授權(quán)的人員才能訪問(wèn)，與Internet沒(méi)有直接連接。d. 安全區(qū)域。只有極少數(shù)被高度信任的人員才能夠訪問(wèn)。被授權(quán)給一個(gè)安全區(qū)域并不意味著被授權(quán)給所有安全區(qū)域。e. 外部控制區(qū)域。由其它組織控制的區(qū)域，數(shù)據(jù)的保護(hù)措施不能十分受信任。這些定義與我們建議的網(wǎng)絡(luò)結(jié)構(gòu)模型對(duì)應(yīng)如下：a. Internet-不受控區(qū)域b. Internet DMZ-受控區(qū)域Internet DMZ中通常包括Internet可以直接連接的主機(jī)和多個(gè)防火墻，它可以被認(rèn)為是一個(gè)內(nèi)部和外部網(wǎng)絡(luò)的緩沖區(qū)。這種設(shè)計(jì)使您在不同的層面上來(lái)控制網(wǎng)絡(luò)上的信息交換（如Internet和DMZ之間，DMZ和內(nèi)部網(wǎng)絡(luò)之間等等）。c. 生產(chǎn)區(qū)域-限制區(qū)域這個(gè)區(qū)域包含這只有少數(shù)被授權(quán)人才能訪問(wèn)的網(wǎng)絡(luò)服務(wù)。它可以與D