《----当一个机构将其内部网络与internet连接之后,所关心的一》由会员分享,可在线阅读,更多相关《----当一个机构将其内部网络与internet连接之后,所关心的一(14页珍藏版)》请在金锄头文库上搜索。
1、-当一个机构将其内部网络与 Internet 连接之后,所关心的一个主要问题就是安全。内部网络上不断增加的用户需要访问 Internet 服务,如 WWW、电子邮件、Telnet 和 FTP 服务器给大家访问。 - 当机构的内部数据和网络设施暴露给 Internet 上的黑客时,网络管理员越来越关心网络的安全。为了提供所需级别的保护,机构需要有安全策略来防止非法用户访问内部网络上的资源和非法向外传递内部信息。即使一个机构没有连接到 Internet 上,它也需要建立内部的安全策略来管理用户对部分网络的访问并对敏感或秘密数据提供保护。 Internet 防火墙 - Internet 防火墙是这样
2、的系统(或一组系统) ,它能增强机构内部网络的安全性。防火墙系统决定了那些内部服务可以被外界访问;外界的那些人可以访问内部的那些可以访问的服务,以及那些外部服务可以被内部人员访问。要使一个防火墙有效,所有来自和去往 Internet 的信息都必须经过防火墙,接受防火墙的检查(图 1) 。防火墙必须只允许授权的数据通过,并且防火墙本身也必须能够免于渗透。但不幸的是,防火墙系统一旦被攻击者突破或迂回,就不能提供任何的保护了。 图 1 安全策略建立的防御范围 - 应给予特别注意的是,Internet 防火墙不仅仅是路由器、堡垒主机、或任何提供网络安全的设备的组合,它是安全策略的一个部分。安全策略建立
3、了全方位的防御体系来保护机构的信息资源。这种安全策略应包括在出版的安全指南中,告诉用户们他们应有的责任,公司规定的网络访问、服务访问、本地和远地的用户认证、拨入和拨出、磁盘和数据加密、病毒防护措施,以及雇员培训等。所有有可能受到网络攻击的地方都必须以同样安全级别加以保护。仅设立防火墙系统,而没有全面的安全策略,那么防火墙就形同虚设。 Internet 防火墙的好处 - Internet 防火墙负责管理 Internet 和机构内部网络之间的访问(图 2) 。在没有防火墙时,内部网络上的每个节点都暴露给 Internet 上的其它主机,极易受到攻击。这就意味着内部网络的安全性要由每一个主机的坚固
4、程度来决定,并且安全性等同于其中最弱的系统。 图 2 Internet 防火墙的好处 集中的网络安全 可作为中心“扼制点” 产生安全报警 监视并记录 Internet 的使用 NAT 的理想位置 WWW 和 FTP 服务器的理想位置 - Internet 防火墙允许网络管理员定义一个中心“扼制点”来防止非法用户,如黑客、网络破坏者等进入内部网络。禁止存在安全脆弱性的服务进出网络,并抗击来自各种路线的攻击。Internet 防火墙能够简化安全管理,网络安全性是在防火墙系统上得到加固,而不是分布在内部网络的所有主机上。 - 在防火墙上可以很方便的监视网络的安全性,并产生报警。应该注意的是:对一个内
5、部网络已经连接到 Internet 上的机构来说,重要的问题并不是网络是否会受到攻击,而是何时会受到攻击。网络管理员必须审计并记录所有通过防火墙的重要信息。如果网络管理员不能及时响应报警并审查常规记录,防火墙就形同虚设。在这种情况下,网络管理员永远不会知道防火墙是否受到攻击。 - 过去的几年里,Internet 经历了地址空间的危机,使得 IP 地址越来越少。这意味着想进入 Internet 的机构可能申请不到足够的 IP 地址来满足其内部网络上用户的需要。Internet 防火墙可以作为部署NAT(Network Address Translator,网络地址变换)的逻辑地址。因此防火墙可以
6、用来缓解地址空间短缺的问题,并消除机构在变换 ISP 时带来的重新编址的麻烦。 - Internet 防火墙是审计和记录 Internet 使用量的一个最佳地方。网络管理员可以在此向管理部门提供Internet 连接的费用情况,查出潜在的带宽瓶颈的位置,并能够根据机构的核算模式提供部门级的记费。 - Internet 防火墙也可以成为向客户发布信息的地点。Internet 防火墙作为部署 WWW 服务器和 FTP 服务器的地点非常理想。还可以对防火墙进行配置,允许 Internet 访问上述服务,而禁止外部对受保护的内部网络上其它系统的访问。 - 也许会有人说,部署防火墙会产生单一失效点。但应
7、该强调的是,即使到 Internet 的连接失效,内部网络仍旧可以工作,只是不能访问 Internet 而已。如果存在多个访问点,每个点都可能受到攻击,网络管理员必须在每个点设置防火墙并经常监视。 Internet 防火墙的限制 - Internet 防火墙无法防范通过防火墙以外的其它途径的攻击。例如,在一个被保护的网络上有一个没有限制的拨出存在,内部网络上的用户就可以直接通过 SLIP 或 PPP 连接进入 Internet。聪明的用户可能会对需要附加认证的代理服务器感到厌烦,因而向 ISP 购买直接的 SLIP 或 PPP 连接,从而试图绕过由精心构造的防火墙系统提供的安全系统。这就为从后
8、门攻击创造了极大的可能(图 3) 。网络上的用户们必须了解这种类型的连接对于一个有全面的安全保护系统来说是绝对不允许的。 图 3 绕过防火墙系统的连接 - Internet 防火墙也不能防止来自内部变节者和不经心的用户们带来的威胁。防火墙无法禁止变节者或公司内部存在的间谍将敏感数据拷贝到软盘或 PCMCIA 卡上,并将其带出公司。防火墙也不能防范这样的攻击:伪装成超级用户或诈称新雇员,从而劝说没有防范心理的用户公开口令或授予其临时的网络访问权限。所以必须对雇员们进行教育,让它们了解网络攻击的各种类型,并懂得保护自己的用户口令和周期性变换口令的必要性。 - Internet 防火墙也不能防止传送
9、已感染病毒得软件或文件。这是因为病毒的类型太多,操作系统也有多种,编码与压缩二进制文件的方法也各不相同。所以不能期望 Internet 防火墙去对每一个文件进行扫描,查出潜在的病毒。对病毒特别关心的机构应在每个桌面部署防病毒软件,防止病毒从软盘或其它来源进入网络系统。 - 最后一点是,防火墙无法防范数据驱动型的攻击。数据驱动型的攻击从表面上看是无害的数据被邮寄或拷贝到 Internet 主机上。但一旦执行就开成攻击。例如,一个数据型攻击可能导致主机修改与安全相关的文件,使得入侵者很容易获得对系统的访问权。后面我们将会看到,在堡垒主机上部署代理服务器是禁止从外部直接产生网络连接的最佳方式,并能减
10、少数据驱动型攻击的威胁。 黑客的工具箱 - 要描述一个典型的黑客的攻击是很,因为入侵者们的技术水平和经验差异很大,各自的动机也不尽相同。某些黑客只是为了挑战,有一些是为了给别人找麻烦,还有一些是以图利为目的而获取机密数据。 信息收集 - 一般来讲,突破的第一步是各种形式的信息收集。信息惧收集的目的是构造目标机构网络的数据库并收集驻留在网络上的各个主机的有关信息。黑客可以使用下面几种工具来收集这些信息: SNMP 协议,用来查阅非安全路由器的路由表,从而了解目标机构网络拓扑的内部细节。 TraceRoute 程序能够得出到达目标主机所要经过的网络数和路由器数。 Whois 协议是一种信息服务,能
11、够提供有关所有 DNS 域和负责各个域的系统管理员数据。不过这些数据常常是过时的。 DNS 服务器可以访问主机的 IP 地址表和它们对应的主机名。 Finger 协议能够提供特定主机上用户们的详细信息(注册名、电话号码、最后一次注册的时间等) Ping 实用程序可以用来确定一个指定的主机的位置并确定其是否可达。把这个简单的工具用在扫描程序中,可以 Ping 网络上每个可能的主机地址,从而可以构造出实际驻留在网络上的主机的清单。 安全弱点的探测系统 - 收集到目标机构的网络信息之后,黑客会探测每个主机以寻求一个安全上的弱点。有几种工具可能被黑客用来自动扫描驻留在网络上的主机: 由于已经知道的服务
12、脆弱性较少,水平高的黑客能够写出短小的程序来试图连接到目标主机上特定的服务端口上。而程序的输出则是支持可攻击的服务的主机清单。 有几种公开的工具,如 ISS(Internet Security Scanner, Internet 安全扫描程序) ,SATAN(Security Analysis Tool for Auditing Networks,审计网络用的安全分析工具) ,可以对整个域或子网进行扫描并寻找安全上的漏洞。这些程序能够针对不同系统的脆弱性确定其弱点。入侵者利用扫描收集来的信息去获得对目标系统的非法访问权。 - 聪明的网络管理员能够在其网络内部使用这些工具来发现潜藏的安全弱点并确
13、定那个主机需要用新的软件补丁(Patches )进行升级。 访问受保护系统 - 入侵者使用主机探测的结果对目标系统进行攻击。获得对受保护系统的访问权后,黑客可以有多种选择: 入侵者可能试图毁掉攻击的痕迹,并在受损害的系统上建立一个新的安全漏洞或后门,以便在原始攻击被发现后可以继续访问这个系统。 入侵者可能会安全包探测器,其包括特洛伊马程序,用来窥探所在系统的活动,收集 Telnet 和FTP 的帐户名和口令。黑客用这些信息可以将攻击扩展到其它机器。 入侵者可能会发现对受损系统有信任的主机。这样黑客就可以利用某个主机的这种弱点,并将攻击在整个机构网络上舱上展开。 如果黑客能够在受损系统上获得特权
14、访问权限,他,或她就可以读取邮件,搜索私人文件,盗取私人文件,毁掉或毁坏重要数据。 基本的防火墙设计 - 在设计 Internet 防火墙时,网络管理员必须做出几个决定: 防火墙的姿态(Stance) 机构的整体安全政策 防火墙的经济费用 防火墙系统的组件或构件 防火墙的姿态 - 防火墙的姿态从根本上阐述了一个机构对安全的看法。Internet 防火墙可能会扮演两种截然相反的姿态: 拒绝没有特别允许的任何事情。这种姿态假定防火墙应该阻塞所有的信息,而每一种所期望的服务或应用都是实现在 case-by-case 的基础上。这是一个受推荐的方案。其建立的是一个非常安全的环境,因为只有审慎选择的服务
15、才被支持。当然这种方案也有缺点,就是不易使用,因为限制了提供给用户们的选择范围。 允许没有特别拒绝的任何事情。这种姿态假定防火墙应该转发所有的信息,任何可能存在危害的服务都应在 case-by-case 的基础上关掉。这种方案建立的是一个非常灵活的环境,能提供给用户更多的服务。缺点是,由于将易使用这个特点放在了安全性的前面,网络管理员处于不断的响应当中,因此,随着网络规模的增大,很难保证网络的安全。 机构的安全策略 - 如前所述,Internet 防火墙并不是独立的它是机构总体安全策略的一部分。机构总体安全策略定义了安全防御的方方面面。为确保成功,机构必须知道其所有保护的是什么。安全策略必须建
16、立在精心进行的安全分析、风险评估以及商业需求分析基础之上。如果机构没有详尽的安全策略,无论如何精心构建的防火墙都会被绕过去,从而整个内部网络都暴露在攻击面下。 - 机构能够负担起什么样的防火墙?简单的包过滤防火墙的费用最低,因为机构至少需要一个路由器才能连入 Internet,并且包过滤功能包括在标准的路由器配置中。商业的防火墙系统提供了附加的安全功能,而费用在4,000 到30,000 之间,具体价格要看系统的复杂性和要保护的系统的数量。如果一个机构有自己的专业人员,也可以构建自己的防火墙系统,但是仍旧有开发时间和部署防火墙系统等的费用问题。还有,防火墙系统需要管理,一般性的维护、软件升级、安全上的补漏、事故处理等,这些都要产生费用。图 4 包过滤路由器 防火墙系统的组成 - 在确定了防火墙的
