安全的網(wǎng)路架構(gòu)

第16章Internet架構(gòu)在新的商業(yè)型態(tài)、降低銷售成本、提升客戶服務(wù)方面，Internet具有極大的潛力。在組織的資訊和系統(tǒng)方面，也可能會增加極大的風(fēng)險。只要具有適當(dāng)?shù)陌踩軜?gòu)，也可以賦予Internet極大的效用，且可用來管理資訊和系統(tǒng)的風(fēng)險。本章的內(nèi)容如下：16-1提供哪些服務(wù)16-2不提供哪些服務(wù)16-3發(fā)展通訊架構(gòu)16-4設(shè)計DMZ16-5認(rèn)識網(wǎng)路位址轉(zhuǎn)譯16-6設(shè)計合作夥伴網(wǎng)路16-1提供哪些服務(wù)關(guān)於Internet架構(gòu)首先需要回答的問題是－組織希望透過Internet提供哪些服務(wù)？希望提供哪些服務(wù)、服務(wù)的對象是誰，這些問題會大大地影響到整體架構(gòu)，甚至也可能架設(shè)主機(jī)提供服務(wù)。本節(jié)的內(nèi)容如下：16-1-1郵件16-1-2電子郵件加密16-1-3Web站臺16-1-4內(nèi)部存取Internet16-1-5組織外部存取內(nèi)部系統(tǒng)16-1-6控制服務(wù)16-1-1郵件如果提供郵件服務(wù)時，一般提供的對象都是提供內(nèi)部員工收送訊息。這項(xiàng)服務(wù)至少需要架設(shè)一部接收類送郵件的伺服器。如果要求更高的可用性，那麼至少需要兩部郵件伺服器。外送郵件可以移到同一部伺服器進(jìn)行處理，或是組織也可以允許桌上型電腦直接郵件發(fā)送到目標(biāo)系統(tǒng)。組織也許會因?yàn)殡娮余]件討論群組之類的需求，而選擇架設(shè)公用郵件轉(zhuǎn)送（publicmailrelay），這類伺服器又稱為listserver。listServer可以和一般郵件伺服器架在同一不設(shè)備上，這些系統(tǒng)接收外部使用者的郵件，接著將訊息轉(zhuǎn)送給listserver的訂閱用戶。在Internet整體架構(gòu)的考量上，可能會產(chǎn)生更大的流量需求。不建議組織允許桌上型系統(tǒng)，直接將郵件發(fā)送到目標(biāo)系統(tǒng)。不過，如果組織的郵件系統(tǒng)是架在Internet上，每部桌上型電腦都是透過該郵件伺服器收發(fā)電子郵件。在這種情況下，限制桌上型電腦只能透過該部郵件伺服器送出電子郵件，這是較為聰明的作法。16-1-2電子郵件加密通常都不會利用電子郵件傳送機(jī)密資訊?；妒r、節(jié)省成本和擴(kuò)充Internet用途的考量來說，還是會利用電子郵件寄送機(jī)密資訊。最好是利用電子郵件加密來保護(hù)機(jī)密資訊的內(nèi)容。某些系統(tǒng)可以提供電子郵件加密的功能，這些系統(tǒng)類型從桌面型軟體（例如PGP），到電子郵件串流（例如Tovaris）的網(wǎng)路設(shè)備都有。系統(tǒng)的選用不僅僅是依據(jù)傳送和接收加密電子郵件的數(shù)量，還需要依據(jù)組織的復(fù)原政策和金鑰管理（詳見第12章）等其他需求而定。某些企業(yè)（例如財稅機(jī)關(guān)和健保組織）會將客戶、患者相關(guān)的機(jī)密資訊加密。16-1-3Web站臺如果組織選擇透過全球資訊網(wǎng)（WorldWideWeb）對客戶或夥伴發(fā)佈資訊，組織就會需要在內(nèi)部或其他處所架設(shè)Web伺服器，並放置某些供大眾閱覽的內(nèi)容。Web伺服器可以是簡單、靜態(tài)的內(nèi)容，或是鏈結(jié)到提供動態(tài)內(nèi)容和接受訂單的電子商務(wù)系統(tǒng)（詳見第17章）。Web站臺的存取方式，可以是任何人皆可瀏覽或透過某些認(rèn)證機(jī)制（通常是使用者ID和密碼）加以限制。如果含有某些限制性的內(nèi)容時，站臺應(yīng)該要使用HTTPS（安全基座層，SecureSocketLayer，SSL）保護(hù)機(jī)密資訊。除了提供Web伺服器之外，可能也會提供檔案傳輸協(xié)定（FileTransferProtocol，F(xiàn)TP）。FTP允許組織外部的使用者，透過Web瀏覽器或FTP用戶端的協(xié)助，傳送或取得檔案。在使用者認(rèn)證方面，可以採用匿名登入或要求輸入使用者ID和密碼登入認(rèn)證。16-1-4內(nèi)部存取Internet員工如何存取Internet應(yīng)該依據(jù)政策加以規(guī)範(fàn)（詳見第6章）。某些組織允許員工存取Internet任何服務(wù)，包括傳訊、聊天室、影音串流等。某些組織只允許員工使用瀏覽器，且只能瀏覽特定的網(wǎng)站。這些決策都會影響到網(wǎng)路的流量。較常允許員工存取的服務(wù)如下：服務(wù)說明HTTP（連接埠80）和HTTPS（連接埠443）允許員工存取Web。FTP（連接埠21和20）允許員工傳輸檔案。Telnet（連接埠23）和SSH（連接埠22）允許員工和遠(yuǎn)端系統(tǒng)建立互動式交談。POP-3（連接埠110）和IMAP（連接埠143）允許員工存取遠(yuǎn)端電子郵件帳戶。NNTP（連接埠119）允許員工存取遠(yuǎn)端的新聞伺服器（newsserver）網(wǎng)路。不論組織是否允許使用串流影音，許多站臺目前也可透過HTTP提供這方面的服務(wù)；因此，這些流量和一般性的Web流量完全相同。同樣的，Internet目前也有許多點(diǎn)對點(diǎn)（peer-to-peer）服務(wù)，這些服務(wù)也是透過連接埠80運(yùn)作。這些類型的服務(wù)，也會提高未獲授權(quán)取得內(nèi)部系統(tǒng)存取權(quán)的風(fēng)險。

16-1-5組織外部存取內(nèi)部系統(tǒng)從組織外部存取內(nèi)部敏感性系統(tǒng)，一直都是安全和網(wǎng)路人員非常棘手的問題。內(nèi)部系統(tǒng)是指組織內(nèi)部主要的作業(yè)系統(tǒng)。在本質(zhì)上這些系統(tǒng)的架設(shè)目地，和Web伺服器或郵件伺服器的服務(wù)有所不同。員工存?。ㄍǔＪ菑倪h(yuǎn)地執(zhí)行工作）或非員工存取，是從組織外部存取組織內(nèi)部系統(tǒng)的兩種可能類型。從遠(yuǎn)地存取組織內(nèi)部系統(tǒng)的員工，一般都是透過Internet使用VPN（virtualprivatenetwork）、某些遠(yuǎn)端存取伺服器（remoteaccessserver）的撥接線路，或是專線等方式。是否允許這些存取方式，也都會影響組織的Internet架構(gòu)。如果是其他組織要求存取組織的內(nèi)部系統(tǒng)，那麼影響就會非常嚴(yán)重。即使是商業(yè)夥伴利用可信任的存取，也會間接地影響風(fēng)險管理。至於透過VPN、撥接線路或數(shù)據(jù)專線、透過未加密的Internet存?。ɡ鐃elnet）等方式，端賴連線的目地而定。在實(shí)務(wù)上，並不建議採用透過未加密Internet的存取方式；然而，某些企業(yè)卻會允許這種類型的存取方式。如果是在這樣的情況下，必須盡力將這些系統(tǒng)移到內(nèi)部網(wǎng)路的範(fàn)圍之外，且將系統(tǒng)放在受到限制的網(wǎng)段（例如稍後介紹的DMZ）。16-1-6控制服務(wù)為了讓網(wǎng)路和Internet連線非常順暢，會需要建置某些服務(wù)。是否建置這些服務(wù)，仍須依據(jù)組織的政策而定。DNSICMPNTPDNS網(wǎng)域名稱服務(wù)（DomainNameService，DNS），這是一種提供主機(jī)名稱和IP位址解析的服務(wù)。若是少了這項(xiàng)服務(wù)，內(nèi)部使用者會難以解析Web站臺的位址，而且也會難以存取Internet。內(nèi)部系統(tǒng)會向內(nèi)部DNS查詢所有的位址，內(nèi)部DNS也可以向ISP的DNS查詢、解析外部位址。組織內(nèi)部的系統(tǒng)不需要直接查詢外部DNS系統(tǒng)。內(nèi)部DNS也必須對外開放，組織外部的使用者才能存取組織的Web站臺。為了完成這項(xiàng)目標(biāo)，組織可以選擇自行架設(shè)DNS或由ISP的DNS代轉(zhuǎn)，這項(xiàng)決策也會影響到組織的Internet架構(gòu)。如果決定自行架設(shè)、管理DNS，這部系統(tǒng)必須和內(nèi)部DNS有所區(qū)分，且外部DNS也不應(yīng)該架設(shè)在內(nèi)部系統(tǒng)的網(wǎng)段中（也稱為DNS切割）。ICMPInternet控制訊息協(xié)定（InternetControlMessageProtocol，ICMP），用來提供ping（系統(tǒng)架設(shè)之後就可以找到）這類服務(wù)。除了ping之外，ICMP也提供『networkandhostunreachable』和『packettimetoliveexpired』等訊息。這些訊息都有助於提高網(wǎng)路運(yùn)作的效率。由於這項(xiàng)服務(wù)會嚴(yán)重影響網(wǎng)路的運(yùn)作，所以也可以拒絕或阻斷ICMP服務(wù)。舉例來說，如果內(nèi)部使用者嘗試尋找卻找不到遠(yuǎn)端Web伺服器時，ICMP即可回送『ICMPhostunreachable』告知使用者。如果阻斷內(nèi)部網(wǎng)路ICMP服務(wù)時，使用者會一直等候直到連線逾時為止，然後就會看到『找不到網(wǎng)頁』的訊息。NTP網(wǎng)路校時協(xié)定（NetworkTimeProtocol，NTP），這是一種可以讓許多系統(tǒng)時間同步的服務(wù)。目前在Internet上，已有許多提供這類校時資源的站臺。如果組織選擇提供這項(xiàng)服務(wù)，就應(yīng)該將一部系統(tǒng)設(shè)定成地區(qū)時間，且只有這部系統(tǒng)才可以和Internet的NTP溝通。所有的內(nèi)部系統(tǒng)，都應(yīng)該和這部系統(tǒng)溝通並完成校時動作。16-2不提供哪些服務(wù)在設(shè)計Internet架構(gòu)時，應(yīng)該要包含滿足需求的服務(wù)，但是也不要提供不必要的服務(wù)。採用這種設(shè)計法則設(shè)計Internet架構(gòu)時，將會排除絕大部分的重大風(fēng)險。會造成重大風(fēng)險的服務(wù)如下：服務(wù)說明NetBIOS服務(wù)（連接埠135、137、138和139）Windows系統(tǒng)用於檔案共享和遠(yuǎn)端命令的服務(wù)。UnixRPC（連接埠111）Unix系統(tǒng)用於遠(yuǎn)端程序呼叫的服務(wù)。NFS（連接埠2049）提供網(wǎng)路檔案系統(tǒng)（NetworkFileSystem，NFS）的服務(wù)。X（連接埠6000到6100）提供XWindow系統(tǒng)交談的服務(wù)。『r』服務(wù)（rlogin連接埠513，rsh連接埠514，rexec連接埠512）允許遠(yuǎn)端不需要輸入密碼即可執(zhí)行互動式交談的服務(wù)。telnet（連接埠23）由於使用者ID和密碼會清楚地透過Internet傳送，且可能被擷取所以不建議使用。如果需要接受內(nèi)送的互動式交談時，建議透過SSH使用telnet。FTP（連接埠21和20）不建議提供的原因和telnet一樣。如果需要提供這種服務(wù)時，建議透過SSH傳送檔案。TFTP（一般性檔案傳輸協(xié)定，TrivialFileTransferProtocol）（連接埠21）類似FTP但不需要使用者ID和密碼即可存取檔案。NetMeeting需要編號較高的連接埠才能正常運(yùn)作，因此具有潛在的危險性。若要必須使用這些連接埠，使用H.323proxy會比較安全些。遠(yuǎn)端控制協(xié)定（RemoteControlProtocols）,例如PCAnywhere和VNC都是屬於這種類型的服務(wù)。如果遠(yuǎn)端使用者必須使用這類協(xié)定控制內(nèi)部系統(tǒng)，也應(yīng)該要透過VPN連線。簡單網(wǎng)路管理協(xié)定（SimpleNetworkManagementProtocol,SNMP）（連接埠169），可用來管理組織內(nèi)部網(wǎng)路的網(wǎng)路管理，不過遠(yuǎn)地不應(yīng)該使用這項(xiàng)服務(wù)來管理組織的內(nèi)部系統(tǒng)。16-3發(fā)展通訊架構(gòu)在逐步規(guī)劃組織Internet連線的通訊架構(gòu)時，最重要的就是流量處理能力和可用性問題。在某些情況下，必須和組織的ISP（Internettserviceprovider）討論流量處理能力的問題。ISP應(yīng)該建議提供適當(dāng)服務(wù)所需的通訊線路?？捎眯孕枨髴?yīng)該由組織自行設(shè)定。如果Internet只是提供員工業(yè)務(wù)範(fàn)圍之外的功能時，因?yàn)榫W(wǎng)路中斷並不會影響正常的工作，所以可用性的需求應(yīng)該會非常低。如果組織計畫建置電子商務(wù)站臺，且Internet是組織營運(yùn)的重心，那麼可用性就是組織成敗的關(guān)鍵。在設(shè)計Internet連線的時候，應(yīng)該一併考量容錯和復(fù)原的能力。本節(jié)的內(nèi)容如下：16-3-1單一通訊線路16-3-2多條通訊線路連接到單一ISP16-3-3多條線路連接到多個ISP16-3-1單一通訊線路利用單一通訊線路連接Internet，這是目前最常見的Internet架構(gòu)。ISP透過單一通訊線路提供組織適當(dāng)?shù)念l寬，詳見圖16-1。一般而言，ISP也會提供連線所需的路由器和通道服務(wù)單元（ChannelServerUnit，CSU）。組織也同樣可以選購並安裝這些設(shè)備。本地迴路（localloop）是組織設(shè)施連線到電話公司機(jī)房（centraloffice，CO）的線路或光纖，在ISP附近也會有一個出線點(diǎn)（pointofpresence，POP）。連線到ISP的線路，實(shí)際上是最接近POP的端末線路。雖然不是最近POP，但本地迴路仍然需要經(jīng)過最近的CO。從POP開始算起，連線才會透過ISP的網(wǎng)路進(jìn)入Internet。圖16-1標(biāo)準(zhǔn)單一通訊線路架構(gòu)在圖16-1的連線架構(gòu)之中，只要一個環(huán)節(jié)故障，就會導(dǎo)致整個連結(jié)中斷。故障的範(fàn)例如下：路由器可能會故障CSU可能會故障本地迴路可能會斷線CO可能遭到破壞ISP的POP可能會故障只要發(fā)生單一環(huán)節(jié)故障，也就等於整個連結(jié)線路故障。路由器故障的機(jī)率比CO遭到破壞的機(jī)率來得高出許多。施工單位也可能不慎挖斷纜線，這樣會造成長時間斷線。上述可能的原因還不包含ISP本身發(fā)生故障在內(nèi)。因?yàn)闅夂?、挖斷纜線、或阻斷服務(wù)攻擊等，這些非特定因素也會造成連線中斷。這種架構(gòu)僅僅適合用在非商業(yè)性質(zhì)的Internet連線。16-3-2

多條通訊線路連接到單一ISP為克服單一環(huán)節(jié)故障而導(dǎo)致整個連線中斷，可以採用佈設(shè)多條和ISP連接的線路。不同的ISP會提供不同的服務(wù)。例如：某些ISP會稱為非正式鏈結(jié)（shadowlink），有些ISP會稱為備援電路（redundantcircuit，臺灣多半使用這個名稱）。不論如何稱呼，都是希望提供避免線路中斷而導(dǎo)致停止服務(wù)的第二條線路。單一POP接線ISP可以利用連接到相同POP的備援電路（詳見圖16-2），提供線路容錯（fail-over）能力。備援電路可能包含備援路由器和CSU，也有可能只有一部路由器而已。如果主要電路發(fā)生故障時，第二組電路會立即替補(bǔ)故障的線路。此種架構(gòu)可以避免路由器、CSU、電話公司到CO的迴路，以及ISP連線端末的設(shè)備發(fā)生故障。圖16-2單一POP接線的備援電路雖然這些都是常見的線路故障原因，但是卻無法降低設(shè)備故障的機(jī)率?？深A(yù)防任何一組設(shè)備故障而導(dǎo)致整個連線中斷。這種架構(gòu)的另一種效益－備援電路的成本較低。ISP提供備援電路的費(fèi)用會比完整線路的費(fèi)用低廉。多條POP接線添購另一組連接到POP的連線，可以增加可用性和可靠度（詳見圖16-3）。在這樣的情況下，第二組做為備援線路或持續(xù)運(yùn)作的線路（稱為熱備援線路，hotredundant）。為了讓這種架構(gòu)運(yùn)作順暢，ISP通常都會執(zhí)行邊境閘道器協(xié)定（BorderGetwayProtocol，BGP）。BGP是一種路由協(xié)定（routingprotocol），這是在雙連線類型的兩個實(shí)體之間，用來指定路由的一種協(xié)定。圖16-3多條線路連接到多個POP在使用BGP協(xié)定的時候，必須非常審慎地設(shè)定路由。在這種架構(gòu)下仍然可能造成通訊故障的單一環(huán)節(jié)－本地迴路和CO。除非該組織擁有兩組本地迴路和CO，否則仍舊無法克服這兩種因素。如果該組織真的採用兩組本地迴路和CO，整體架構(gòu)就會變成圖16-4的架構(gòu)。圖16-4透過多條本地迴路的連線方式16-3-3

多條線路連接到多個ISP這種Internet架構(gòu)不見得能夠解決所有的問題和風(fēng)險。如果妥善設(shè)定，使用多個ISP確實(shí)可以降低服務(wù)中斷的風(fēng)險（詳見圖16-5）。除了如何選擇ISP是需要考量的重點(diǎn)之外，組織採用的定址計畫也有極大的關(guān)聯(lián)性。選擇ISP採用多ISP的Internet架構(gòu)，確實(shí)是一項(xiàng)非常複雜的工程，而且也需要多方的知識和瞭解ISP的實(shí)務(wù)經(jīng)驗(yàn)。BGP是一種最需要瞭解的知識。由於將會使用BGP來路由組織的流量，所以組織和ISP必須非常謹(jǐn)慎、妥善地設(shè)定BGP。連線的實(shí)際路由問題，是影響選擇ISP的另一個問題。圖16-5採用多個ISP的Internet架構(gòu)如果組織的設(shè)施並沒有連接多組本地迴路時，本地迴路可能會持續(xù)造成單一環(huán)節(jié)失效的問題。如果只有單一本地迴路時，選擇使用無線通訊替代末端線路（lastmile）的ISP（詳見圖16-6），也可達(dá)成電路備援的目地。由於無線通訊可能受到天候狀況、暴風(fēng)雨的侵襲，或是飛行物的影響等，而造成資料遺漏或效能降低的問題。圖16-6利用無線網(wǎng)路ISP提高可用性採用無線通訊並不能完全解決可用性的問題。雖說無線通訊也具有諸多的問題，不過卻也不至於造成通訊完全中斷的情況。選用無線網(wǎng)路ISP和傳統(tǒng)式ISP的需求都一樣。任何ISP都應(yīng)該提供服務(wù)等級的同意書，而且都應(yīng)該出具完整的管理實(shí)務(wù)同意書。定址採用多ISP架構(gòu)運(yùn)作模式的另一項(xiàng)問題，就是－定址問題。在一般的情況下，採用單一ISP連線時，ISP會分配一段位址空間。ISP會妥善地設(shè)定路由器，並確保屬於組織的流量最後都會找到送達(dá)組織的路徑。ISP會將組織的位址廣播給其他ISP，因此所有透過Internet的流量最後都會傳送給組織的系統(tǒng)。在採用多ISP架構(gòu)時，每一個ISP分配的位址範(fàn)圍都不一樣，因此組織必須選擇將要使用的位址範(fàn)圍?？赡軙l(fā)生一家ISP的路由可以正常運(yùn)作，而其他ISP必須同意、廣播分配給組織的位址空間，都是屬於前面那家ISP管轄的位址。這種組態(tài)設(shè)定方式需要非常專業(yè)的BGP運(yùn)作知識，這樣才不會造成路由發(fā)生錯誤。另一種選擇就是組織購置自己的位址空間。雖然這樣可以解決部分的問題，但是和組織連線的ISP卻必須廣播不屬於自己的位址空間，而且也會帶來新的問題。最後一種選擇就是同時使用兩家ISP提供的位址。在這種情況下，某些系統(tǒng)會使用第一家ISP的位址，某些系統(tǒng)卻使用第二家ISP的位址。這種架構(gòu)無法真正地解決可用性的問題。除非組織可以解決這種問題，否則請不要採用這種架構(gòu)。16-4設(shè)計DMZDMZ是『demilitarizedzone』，通常是指不能完全信任的網(wǎng)段。DMZ提供『可供Internet存取』和『只有內(nèi)部員工才能存取』的網(wǎng)段劃分方式。如果是與商業(yè)夥伴或其他外部實(shí)體建立專屬連線時，DMZ也是一種不錯的選擇。本節(jié)的內(nèi)容如下：16-4-1DMZ的定義16-4-2架設(shè)在DMZ的系統(tǒng)16-4-3合適的DMZ架構(gòu)16-4-1DMZ的定義DMZ是一種部分保護(hù)的網(wǎng)段。這個區(qū)段一般都是利用如防火牆，或路由器大量過濾網(wǎng)路存取控制的方式來區(qū)分網(wǎng)段。網(wǎng)路存取控制接著會設(shè)定一套用來判斷允許進(jìn)入DMZ的流量，以及允許哪些流量送出DMZ的規(guī)則（詳見圖16-7）。只要外部使用者可以直接接觸到的系統(tǒng)，都應(yīng)該架設(shè)在DMZ區(qū)段內(nèi)。圖16-7一般性DMZ政策規(guī)則外部系統(tǒng)或使用者可以直接接觸到的系統(tǒng)，通常都是最先遭到攻擊或侵害的系統(tǒng)。不能完全信任這些系統(tǒng)的原因，主要是因?yàn)樗鼈冸S時都可能會遭到侵害。DMZ系統(tǒng)若要存取內(nèi)部網(wǎng)路的高敏感性系統(tǒng)時，存取能力多半都會受到限制。DMZ系統(tǒng)的存取規(guī)則，都是開放外部使用者存取DMZ系統(tǒng)適當(dāng)?shù)姆?wù)。DMZ系統(tǒng)對內(nèi)部系統(tǒng)的存取能力都會受到限制。應(yīng)該內(nèi)部系統(tǒng)對DMZ系統(tǒng)發(fā)起連線的要求。組織的政策或許可以允許內(nèi)部系統(tǒng)存取DMZ或Internet系統(tǒng)，但嚴(yán)禁外部使用者存取內(nèi)部系統(tǒng)。16-4-2架設(shè)在DMZ的系統(tǒng)哪些系統(tǒng)應(yīng)該架設(shè)在DMZ網(wǎng)段？應(yīng)該架設(shè)在DMZ的系統(tǒng)如下：郵件系統(tǒng)Web站臺允許外部存取的系統(tǒng)控制系統(tǒng)郵件系統(tǒng)圖16-8是DMZ網(wǎng)段可能提供的服務(wù)。內(nèi)部網(wǎng)路和外部網(wǎng)路都架設(shè)了郵件系統(tǒng)。外部網(wǎng)路的郵件系統(tǒng)是用來收發(fā)郵件。新送到的郵件是由外部系統(tǒng)接收，然後才傳送到內(nèi)部郵件系統(tǒng)。內(nèi)部郵件系統(tǒng)會將外送的郵件送到外部郵件系統(tǒng)。某些防火牆會提供郵件伺服器。如果啟用了防火牆郵件系統(tǒng)，那麼也就具有外部郵件系統(tǒng)的功能?？梢砸瞥囵N的外部郵件系統(tǒng)。

如果郵件系統(tǒng)對於營運(yùn)非常重要的話，不論是內(nèi)部郵件系統(tǒng)或外部郵件系統(tǒng)，都應(yīng)該建置備援系統(tǒng)。圖16-8DMZ系統(tǒng)和內(nèi)部網(wǎng)路系統(tǒng)的規(guī)劃圖Web站臺允許公眾存取的Web伺服器，也是架設(shè)在DMZ網(wǎng)段內(nèi)。從圖16-8之中可以看到，架設(shè)在DMZ網(wǎng)段的應(yīng)用程式伺服器。許多Wen站臺依據(jù)使用者輸入的資料提供適當(dāng)?shù)木W(wǎng)頁內(nèi)容。這些使用者輸入的資訊，是透過呼叫資料庫加以處理。資料庫可能內(nèi)含敏感性資料，所以也不適合放在DMZ網(wǎng)段中。Web伺服器可以和資料庫伺服器溝通，但Web伺服器卻允許外部使用者存取，因此也不能完全信任Web伺服器。利用應(yīng)用程式伺服器做為居間的系統(tǒng)，並實(shí)際和後端資料庫伺服器溝通。當(dāng)We伺服器接受使用者輸入的資料，並將資料傳送給應(yīng)用程式伺服器加以處理。應(yīng)用程式將接收的資料傳送給後端資料庫系統(tǒng)處理，再將取回處理過的資料回傳給Web伺服器，最後再由Web伺服器對使用者提供結(jié)果。雖然架構(gòu)看起來有些複雜，但是可以用來確實(shí)保護(hù)資料庫伺服器，並減輕Web伺服器的負(fù)擔(dān)。一旦資料庫系統(tǒng)含有組織某些相當(dāng)重要的敏感資訊時，或許也可以架設(shè)在其他防火牆的後端。在這種情況下，防火牆將會區(qū)隔敏感性資料庫和內(nèi)部網(wǎng)路，因此也會提高某些存取限制。允許外部存取的系統(tǒng)所有允許外部存取的系統(tǒng)，都應(yīng)該架設(shè)在DMZ網(wǎng)段中。如果允許透過互動式交談而存取的系統(tǒng)（例如telnet或SSH），使用者也將具有攻擊其他DMZ系統(tǒng)的能力。這類系統(tǒng)應(yīng)該架設(shè)在第二個DMZ網(wǎng)段中，以免其他DMZ系統(tǒng)遭到攻擊?？刂葡到y(tǒng)外部DNS伺服器也應(yīng)該架設(shè)在DMZ網(wǎng)段中。如果組織計畫擁有自己的DNS，這部DNS伺服器也必須接受外部使用者的查詢。在組織的基礎(chǔ)建設(shè)之中，DNS也是非常重要的一個環(huán)節(jié)?；蛟S組織會選用DNS備援系統(tǒng)或是由ISP代管的DNS。如果組織選擇後者，那麼ISP的DNS將會需要組織內(nèi)部的DNS執(zhí)行分區(qū)轉(zhuǎn)送（zonetransfer）。而且，這個動作也不應(yīng)該由其他系統(tǒng)執(zhí)行。如果組織選擇架設(shè)NTP，應(yīng)該將主要的NTP地區(qū)伺服器架設(shè)在DMZ網(wǎng)段中。內(nèi)部系統(tǒng)都應(yīng)該向主要的本地NTP伺服器查詢、更新系統(tǒng)的時間。NTP伺服器的另外一種解決方案就是－利用防火牆做為主要的NTP地區(qū)伺服器。16-4-3合適的DMZ架構(gòu)DMZ架構(gòu)的種類非常多。若是以安全為前提，那麼每一種類型各有優(yōu)缺點(diǎn)，而且每一個組織也需要判斷最合適的架構(gòu)。最常見的三種架構(gòu)如下：路由器和防火牆單一防火牆雙防火牆後續(xù)探討的每一種架構(gòu)都含有防火牆，有關(guān)防火牆的詳細(xì)說明請參考第10章的內(nèi)容。路由器和防火牆圖16-9是簡單的路由器和防火牆架構(gòu)。路由器連結(jié)ISP和組織的外部網(wǎng)路，防火牆則做為內(nèi)部系統(tǒng)的存取控管。在這種架構(gòu)之下DMZ成了外部網(wǎng)路，而且變成了可以從Internet存取的系統(tǒng)。因?yàn)橄到y(tǒng)架設(shè)在外部網(wǎng)段中，因此也無法抵禦來自Internet的攻擊。為求降低遭到侵害的風(fēng)險，可以利用路由器的封包過濾器，所以也只有允許存取DMZ系統(tǒng)的流量才能進(jìn)入DMZ網(wǎng)段。另一種降低風(fēng)險的方法，就是DMZ的每一部系統(tǒng)專門提供特定的服務(wù)類型。例如：Web伺服器只能提供各種網(wǎng)頁內(nèi)容，同時也應(yīng)該關(guān)閉telnet、FTP和其他服務(wù)。Web伺服器也應(yīng)該修補(bǔ)到最近的等級並嚴(yán)密監(jiān)視。圖16-9防火牆和路由器的DMZ架構(gòu)

在許多情況下，ISP擁有路由器並負(fù)責(zé)管理、維護(hù)。如果是這樣的情況，組織就無法更換路由器也不能執(zhí)行正確的組態(tài)設(shè)定。千萬記得，通常都是採用命令的控制方式設(shè)定路由器，因此也必須依照正確的順序妥善設(shè)定過濾規(guī)則。單一防火牆一部防火牆就可以建立DMZ。採用單一防火牆的架構(gòu)時，就會產(chǎn)生圖16-10區(qū)隔DMZ和外部網(wǎng)路的架構(gòu)。外部網(wǎng)路是由ISP的路由器和防火牆提供防護(hù)，且由防火牆的第三組網(wǎng)路介面建立DMZ網(wǎng)段。在這種架構(gòu)下，防火牆擔(dān)負(fù)起存取DMZ的控管工作。採用單一防火牆的架構(gòu)時，所有的流量被迫必須更過防火牆。防火牆必須設(shè)定成－只能允許存取每一部DMZ系統(tǒng)提供服務(wù)的流量才能通過。防火牆也可以提供允許／不允許通過的流量記錄。防火牆成了單一故障環(huán)節(jié)，也可能成為流量的瓶頸。如果可用性是整個架構(gòu)最重要的安全問題，那麼防火牆也應(yīng)該具有容錯的措施。如果預(yù)料會產(chǎn)生大量的DMZ流量時，防火牆不但需要承受這些流量，也要處理通往內(nèi)部網(wǎng)路的Internet流量。只有單一防火牆的設(shè)計，且僅需設(shè)定允許／不允許通過的流量，所以在管理上會比前一種架構(gòu)來得容易。在這種架構(gòu)下的路由器，可以不需要執(zhí)行封包過濾的工作。如果可以執(zhí)行某些過濾動作時，會讓防火牆的負(fù)擔(dān)減輕並因而提高效率。DMZ系統(tǒng)也會受到防火牆的保護(hù)，因此也會降低安全的需求。雖然並不是說DMZ系統(tǒng)一定會發(fā)生安全問題，只是建議DMZ可以受到防火牆的保護(hù)，而防火牆可以受到路由器的保護(hù)，並因而排除其他不必要的服務(wù)。圖16-10單一防火牆DMZ架構(gòu)

雙防火牆這種架構(gòu)是在內(nèi)部網(wǎng)路和外部網(wǎng)路之間，架設(shè)一部用來保護(hù)DMZ區(qū)段的防火牆。外部網(wǎng)路仍然定義由ISP路由器和第一部防火牆組成的，DMZ則是移到兩部防火牆之間。防火牆1設(shè)定成允許DMZ和內(nèi)部網(wǎng)路所有的流量通過。防火牆2的設(shè)定更為嚴(yán)謹(jǐn)，所以只能允許將流量外送到Internet。圖16-11DMZ第三種架構(gòu)如果DMZ預(yù)期會有大量的流量時，防火牆1需要具有處理大量流量的能力。防火牆2可以是一部處理能力較差的系統(tǒng)，這是因?yàn)橹挥刑幚韮?nèi)部流量而已。這兩部防火牆可以是不同類型的防火牆。這種設(shè)計方式可能可以增進(jìn)整體系統(tǒng)的安全性，主要是因?yàn)閮刹糠阑馉澆惶赡芡瑫r遭受到單一攻擊的侵害。和單一防火牆的架構(gòu)一樣，DMZ也會受到防火牆的保護(hù)。雙防火牆的架構(gòu)除了增加成本上的負(fù)擔(dān)之外，也會增加額外的管理和組態(tài)設(shè)定。為了進(jìn)一步防護(hù)，也可以在每一部DMZ系統(tǒng)上安裝主機(jī)型防火牆或入侵偵測系統(tǒng)。如果採用這種作法時，即使一部DMZ系統(tǒng)遭到侵害，不過卻不會危及其他DMZ系統(tǒng)。16-5認(rèn)識網(wǎng)路位址轉(zhuǎn)譯只要任何組織計畫架設(shè)防火牆，就一定會牽涉到定址的問題。定址並不如想像般地容易，而且如何適當(dāng)?shù)卦O(shè)定也是一個非常頭痛的問題。主要問題點(diǎn)在於－網(wǎng)路位址已經(jīng)不夠用。目前採用『.』標(biāo)記法（xxx.yyy.zzz.aaa）的32位元網(wǎng)路位址，幾乎已經(jīng)到了可用位址的上限。ISP已經(jīng)不願意給予客戶大量的IP位址。大部分ISP只願意分配16或32個位址（實(shí)際可以用位址僅剩下14個或30個，其餘兩個是用來做為廣播位址）。大多數(shù)的組織都擁有超過30部以上的系統(tǒng)，那麼該怎麼辦？這個問題的解決方案就是網(wǎng)路位址轉(zhuǎn)譯（networkaddresstranslation，NAT，簡稱轉(zhuǎn)址）。本節(jié)的內(nèi)容如下：16-5-1什麼是轉(zhuǎn)址服務(wù)？16-5-2私人位址空間16-5-3靜態(tài)NAT16-5-4動態(tài)NAT16-5-1什麼是轉(zhuǎn)址服務(wù)？NAT是將一個位址轉(zhuǎn)譯成另一個位址。為什麼要採用這樣的作法？有什麼好處？在大部分的網(wǎng)路中，防火牆通常都會執(zhí)行NAT功能。如果必要的話，路由器也會利用這種功能。在應(yīng)用層房防火牆的原始設(shè)計中（詳見第10章），就已經(jīng)含有執(zhí)行NAT的能力。一旦防火牆成了所有連線的末端，外部也只能看到防火牆使用的位址而已。封包過濾型防火牆也具有這種能力，但是必須適當(dāng)?shù)卦O(shè)定防火牆。由於外界無法看到內(nèi)部系統(tǒng)使用的位址，所以NAT也可以提供部分安全的功能。因?yàn)槿绻床坏教囟ㄏ到y(tǒng)，也就無法定位和攻擊設(shè)定目標(biāo)。NAT無法提供完整的攻擊防護(hù)，因此也不應(yīng)該犧牲其他安全措施。如果攻擊者位於組織範(fàn)圍內(nèi)，或透過如VPN、撥接連線等直接存取內(nèi)部系統(tǒng)，那麼NAT也無法保護(hù)所有的系統(tǒng)。16-5-2私人位址空間在瞭解NAT的概念之後，下一個步驟就是內(nèi)部網(wǎng)路定址問題。如果沒有適當(dāng)?shù)卦O(shè)定位址時，內(nèi)部網(wǎng)路位址也會導(dǎo)致各種類型的路由問題。RFC（RequestforComment的縮寫，這是Internet標(biāo)準(zhǔn)）1918明確指出－什麼是私人網(wǎng)路空間。這些位址僅限使用在具有執(zhí)行NAT能力的防火牆內(nèi)部網(wǎng)路。RFC更具體說明私人位址空間的範(fàn)圍：到55（使用8位元遮罩）到55（使用12位元遮罩）到55（使用16位元遮罩）使用這些位址可以讓組織在設(shè)計內(nèi)部的定址計畫時，提供更大的彈性空間。組織使用這些位址做為內(nèi)部網(wǎng)路的位址時，可依據(jù)需求自由搭配完全沒有任何限制。使用這些位址必須注意一件事情－任何位址都無法路由到Internet上。某些ISP會在內(nèi)部網(wǎng)路使用私人位址空間。在這種情形下，可能會有某些使用私人位址空間的位址會回應(yīng)ping命令。如果ISP內(nèi)部使用私人位址空間的位址，ISP的內(nèi)部網(wǎng)路路由到這些網(wǎng)路時，也不應(yīng)該廣播到ISP內(nèi)部網(wǎng)路以外的區(qū)域，因此也不會影響組織內(nèi)部所使用的位址。如果嘗試『ping』私人位址空間時，將會回傳含有『networkunreachable』訊息的封包。16-5-3靜態(tài)NAT組織使用私人位址空間架構(gòu)網(wǎng)路，且希望NAT允許Internet存取特定系統(tǒng)時，採用靜態(tài)NAT架構(gòu)即可達(dá)成目標(biāo)。靜態(tài)NAT會將外部網(wǎng)路的真實(shí)IP位址對應(yīng)到DMZ的設(shè)備上。圖16-12顯示轉(zhuǎn)換的過程。也可以將真實(shí)IP位址對應(yīng)到內(nèi)部網(wǎng)路的設(shè)備，但是任何Internet可以存取的設(shè)備都應(yīng)該架設(shè)在DMZ網(wǎng)段中。為什麼還要使用NAT？直接將真實(shí)IP位址分配給DMZ的系統(tǒng)不就行了？這樣會產(chǎn)生下列兩種問題：需要兩組位址才能達(dá)成這個目標(biāo)ISP分配給組織的30個位址再細(xì)分成子網(wǎng)路防火牆使用部分IP位址，內(nèi)部網(wǎng)路也使用部分IP位址位址。如果希望在第二個DMZ架設(shè)某些系統(tǒng)時，就會需要使用其他的位址。圖16-12靜態(tài)NAT架構(gòu)並非所有的DMZ系統(tǒng)都需要使用真實(shí)的IP位址。圖16-8的DMZ區(qū)段含有應(yīng)用程式伺服器。這部應(yīng)用程式伺服器不需要提供Internet存取，這部設(shè)備只是要接收並處理Web伺服器傳來的資訊，並和內(nèi)部資料庫伺服器產(chǎn)生互動即可。靜態(tài)NAT是採用一對一單一組態(tài)設(shè)定。每一部可以從Internet存取的設(shè)備來說，也只需要使用一個位址即可。靜態(tài)NAT適合用在DMZ的伺服器，不過卻不適用於桌上型用戶端系統(tǒng)。16-5-4動態(tài)NAT動態(tài)NAT（著名的隱藏式NAT）有別於靜態(tài)NAT，也就是說許多內(nèi)部IP位址對應(yīng)到單一真實(shí)的IP位址（詳見圖16-13），而不是採用一對一的對應(yīng)方式。最具代表性的就是－防火牆的外部位址使用真實(shí)的IP位址。防火牆會追蹤連線，並為每一個連線開啟一個連接埠。在實(shí)務(wù)上會造成一個限制：動態(tài)