收藏
下载资源

网络安全的基本原理

上传人:mg****85 文档编号:44583845 上传时间:2018-06-14 格式:PDF 页数:14 大小:1.08MB
返回 下载 相关 举报
网络安全的基本原理_第1页
第1页 / 共14页
网络安全的基本原理_第2页
第2页 / 共14页
网络安全的基本原理_第3页
第3页 / 共14页
网络安全的基本原理_第4页
第4页 / 共14页
网络安全的基本原理_第5页
第5页 / 共14页
点击查看更多>>
资源描述

《网络安全的基本原理》由会员分享,可在线阅读,更多相关《网络安全的基本原理(14页珍藏版)》请在金锄头文库上搜索。

1、 网络安全的基本原理 网络安全的基本原理 第第 101 号白皮书号白皮书 作者:作者:Christopher Leidigh 2摘要摘要 安全事故的数量每一年都在以惊人的速度增加。安全威胁的复杂程度越来越高,因此,必须采取安全措施来保护网络。如今,为了安全地部署和管理网络,数据中心工作人员、网络管理人员以及其他数据中心专家都需要掌握基本的安全知识。本白皮书阐述了网络系统的基本安全知识,包括防火墙、网络拓扑和安全协议等。此外,还给出了最佳方案,向读者介绍了在保护网络安全中某些比较关键的方面。 安全事故的数量每一年都在以惊人的速度增加。安全威胁的复杂程度越来越高,因此,必须采取安全措施来保护网络。

2、如今,为了安全地部署和管理网络,数据中心工作人员、网络管理人员以及其他数据中心专家都需要掌握基本的安全知识。本白皮书阐述了网络系统的基本安全知识,包括防火墙、网络拓扑和安全协议等。此外,还给出了最佳方案,向读者介绍了在保护网络安全中某些比较关键的方面。 3简介简介 要保护现代商业网络和 IT 基础设施的安全,不仅需要端对端的方法,还必须充分了解网络中所存在的弱点以及相关的保护措施。虽然这些知识并不足以阻挡住所有网络入侵或系统攻击企图,但可以使网络工程师排除某些常见问题,大量减少潜在的危害并迅速检测出安全性漏洞。随着攻击数量的日益增加以及复杂程度的不断提高,无论是大企业还是小公司,都必须采取谨慎

3、的步骤来确保安全性。图图 1 显示了历年来安全事故次数的显著上升趋势,数据取自 CERT Coordination Center(一家互联网安全专业技术中心)。 图图 1 历年来发生的安全事故次数 CERT.ORG 本白皮书除介绍安全基础知识之外,还提供了一些有关网络、计算机主机和网络基础设施元素的最佳方案。由于不存在“确保安全的唯一方法”,因此,哪些措施最为合适要由读者/工程人员自己做出最正确的判断。 1998-2003 by Carnegie Mellon University年份报告的安全事故次数年份报告的安全事故次数82,09455,10021,7569,8593,734 2,1342

4、,5732,412 2,34019951996199719981999200020012002200390,00085,00080,00075,00070,00065,00055,00050,00060,00045,00040,00030,00025,00035,00020,00015,0005,000010,000100,00095,0004人的问题人的问题 在任何安全方案中,人确实都是最薄弱的环节。很多人都不认真对待保密的问题,譬如,不重视对密码和访问代码的保密,而这些正是大多数安全系统的基础。所有安全系统均依赖于一套控制访问、验证身份并防止泄漏敏感信息的方法。这些方法通常涉及一个或多个“

5、秘密”。如果这些秘密被泄漏或偷窃,那么由这些秘密所保护的系统将受到威胁。这看起来似乎是再明显不过的事实,但可惜大多数系统都是以这种非常低级的方式被攻击的。譬如,将写有系统密码的便笺粘在计算机显示器的一侧,这种行为看起来十分的愚蠢,但事实上,很多人都有过这样的举动。另一个类似的例子,某些网络设备仍保留着出厂时的默认密码。此类设备可能包括 UPS 的网络管理接口。在安全方案中,无论是小型 UPS 还是足以为 100 台服务器供电的大型 UPS,都往往是被忽略的环节。如果此类设备仍沿用默认的用户名和密码,那么,即使是除设备类型及发布的默认凭据之外一无所知的人,要获得访问权限也只是时间问题。如果服务器

6、群集中的每台 Web 服务器和邮件服务器的安全协议都坚不可摧,整个系统却因为一个无保护的 UPS 的简单关机操作被击垮,该是多么令人震惊! 安全性,进入正题安全性,进入正题 一家安全的公司,无论大小,都应当采取适当步骤保护安全性,步骤必须全面而完整才能保证其有效性。但大多数公司机构的安全性策略及其实施都未达到此标准。造成这种情况有多种原因,比如实施安全性保护需要花费成本。这里的成本不仅是资金,还包括复杂性、时间和效率成本。为确保安全,必须花费金钱、执行更多的程序并等待这些程序完成(或者还可能涉及其他人)。 事实是,真正的安全性计划很难实现。通常的做法是选择一个具有一定“成本”并实现一定安全性功

7、能的方案。(这种安全性涵盖的范围几乎总是比“全面、完整的”方案所涵盖的范围要窄。)关键是要为整个系统的每个方面做出明智的决策,并按照预计的方式有意识地或多或少地实施这些决策。如果知道某个区域缺乏保护,那么至少可以监控此区域以确定问题或漏洞所在。 安全性基础知识安全性基础知识 了解网络了解网络 如果连要保护的对象都未清楚地了解,那么要保护好它是不可能的。任何规模的组织都应当有一套记录在案的资源、资产和系统。其中每个元素都应当具备相对价值,该价值是根据其对组织的重要性以某种方式指定的。应予以考虑的设备包括服务器、工作站、存储系统、路由器、交换机、集线器、网络与电信链路以及其他任何网络元素,如打印机

8、、UPS 系统和 HVAC 系统等。此外,还有一些重要方面,如记录设备位置以及它们之间的相关性。例如,大多数计算机都依赖于 UPS 等备用电源,如果这些系统受网络管理,则它们可能也是网络的一部分。环境设备,如 HVAC 设备和空气净化器可能也包括在内。 5了解各种威胁了解各种威胁 接下来是确定以上每个元素的潜在“威胁”,如表表 1 所示。威胁既可能来自内部,也可能来自外部。它们可 能是人为操作的,或自动执行的,甚至还可能是无意的自然现象所导致的。最后一种情况更适合归类到安全威 胁的反面 系统健康威胁中,不过这两种威胁有可能互相转换。以防盗警报器断电为例。断电可能是有人故 意为之,也可能是某些自

9、然现象(如闪电)而造成的。无论是哪种原因,安全性都降低了。 表表 1 各种威胁及后果一览 威胁威胁 内部内部外部外部 威胁后果威胁后果 带病毒的电子邮件 外部组织,内部使用 可以感染读取该电子邮件的系统,并进一步扩散到整个 组织 网络病毒网络病毒 外部 可以通过无保护的端口,危及整个网络的安全 基于基于 Web 的病毒的病毒 浏览外部网站的内部系统 可以对浏览网站的系统造成威胁,并进一步影响其他内 部系统 Web 服务器攻击服务器攻击 Web 服务器外部 如果 Web 服务器被攻击,黑客可以获得网络内部其他 系统的访问权 拒绝服务攻击拒绝服务攻击 外部 外部服务(如 Web、电子邮件和 FTP

10、)将不可用 如果路由器受到攻击,整个网络都可能瘫痪 网络用户攻击 (内部员工)网络用户攻击 (内部员工) 内部任何地方 传统的边界防火墙对此攻击束手无策。内部的网段间防 火墙可以帮助控制住这种危害。 物理安全性,从内部进行保护物理安全性,从内部进行保护 大多数专家都认同,物理安全是一切安全性的起点。控制对计算机和网络附加设备的物理访问,或许要比其他任何安全方面都更为重要。对内部站点的任何类型的物理访问都将使站点暴露在危险之中。如果能够进行物理访问,那么要获得安全文件、密码、证书和所有其他类型的数据并非难事。幸好有各种各样的访问控制设备与安全柜可以帮助解决该问题。有关数据中心和网络机房物理安全的

11、详细信息,请参阅 APC 第 82 号白皮书“任务关键设备的物理安全”。 采用防火墙划分和保护网络边界采用防火墙划分和保护网络边界 对于站点而言,除了基本的物理安全之外,另一个最重要的方面便是对出入组织网络的数字访问进行控制。大多数情况下,控制数字访问即意味着控制与外部世界(通常为互联网)的连接点。几乎每家媒体和每个大公司在互联网上都有自己的网站,并且有一个组织网络与之相连。事实是,与互联网时刻保持连通的小公司和家庭的数量在与日俱增。因此,确保安全的当务之急是在外部互联网与内部企业网之间建立分界线。通常,内部企业网被当作“受信任”端,而外部互联网则被当作“不受信任”端。一般情况下这样理解并没有

12、错,但不够具体和全面,下文将对此进行阐述。 6防火墙机制就像是一个受控的堡垒,用于控制进出组织机构的企业网的通信。从本质上而言,防火墙其实就是特殊用途的路由器。它们运行于专用的嵌入式系统(如网络外设)上,或者,它们也可以是运行于常见服务器平台上的软件程序。大多数情况下,这些系统都有两个网络接口,分别连接外部网络(如互联网)和内部企业网。防火墙进程可以严格控制允许哪些服务可以通过防火墙。防火墙结构既可以相当简单,也可以非常复杂。对于安全的大多数方面而言,决定采用哪种类型的防火墙取决于多个因素,譬如,通信级别、需要保护的服务、所需规则的复杂程度,等等。需要穿过防火墙的服务数量越多,所需的防火墙也越

13、复杂。防火墙的难点在于区分合法通信与非法通信。 防火墙可以提供哪方面的保护,以及无法提供哪方面的保护?防火墙与其他很多事物一样,如果配置正确,则是防卫外部威胁,包括某些拒绝服务 (DOS) 攻击的利器。相反,如果配置不正确,则会成为组织内主要的安全漏洞。防火墙所提供的最基本的保护便是可以阻止网络通信到达某个目的地,包括 IP 地址和特定的网络服务端口。如果站点希望 Web 服务器供外部访问,可以将所有通信限定在端口 80(标准 HTTP 端口)。通常,此限制限定来自不受信任端的通信,受信任端的通信则不受限制。其他所有通信,如邮件通信、FTP、SNMP 等,都不允许通过防火墙进入企业网。图图 2

14、 显示了一个简单的防火墙。 图图 2 简单的网络防火墙 互联网防火墙专用(企业) 网络还有一个更简单的例子,使用家庭或小型企业用电缆/DSL 路由器的用户使用的防火墙。通常,这种防火墙均设置为限制所有外部访问,只允许来自内部的服务。认真的读者可能会意识到,在以上两种情况中,防火墙实际上阻止了来自外部的所有通信。如果是这样,那么如何能在网上冲浪并检索网页呢?防火墙所做的是限制来自外部的连接请求。在第一种情况中,来自内部的所有连接请求都被传递至外部,随后,所有数据通过该连接进行传输。对于外部网络而言,只有对 Web 服务器的连接请求以及数据被允许通过,所有其他请求均被阻止。第二种情况则更加严格,干

15、脆只允许从内部到外部的连接。 7比较复杂的防火墙规则可采用被称为“状态监测”的技术。该方法对通信状态与顺序逐一进行查看,以检测欺骗攻击和拒绝服务攻击,从而增加了基本的端口阻止方法。规则越复杂,所需的防火墙计算能力也越强。 大多数组织都会面临这样一个问题:如何才能既使外部用户能合法访问 Web、FTP 和电子邮件等的“公共”服务,同时又严密保护企业网的安全。典型的做法是设置一个所谓的隔离区 (DMZ),这个来自冷战时期的术语,如今用到了网络上。该结构存在两个防火墙:一个位于外部网络与 DMZ 之间,另一个位于 DMZ 与内部网络之间。所有的公共服务器都放置在 DMZ 中。采用该结构之后,防火墙规

16、则可以设置为允许公众访问公共服务器,但内部防火墙仍可以限制所有进入的连接。比起仅仅处于单个防火墙之外,公共服务器在 DMZ 中仍受到了更多的保护。图图 3 显示了 DMZ 的作用。 图图 3 双防火墙及 DMZ 互联网防火墙专用(企业)网络FTP 服务器内部防火墙DMZ在各企业网的边界使用内部防火墙也有助于减少内部威胁以及已通过边界防火墙的威胁(如蠕虫)。内部防火墙甚至可运行于待机模式,不阻止正常的通信模式,而只是在出现问题时启用严格的规则。 工作站防火墙工作站防火墙 有一个重要的网络安全因素直到现在才为大多数人所认知,那便是网络上的每一个节点或工作站都可能是潜在的安全漏洞。过去,在考虑网络安全时注意力基本上都集中在防火墙和服务器上,随着 Web 的出现以及新的节点等级(如网络外设)的不断扩张,保护网络安全产生了新的问题。各种蠕虫病毒程序攻击计算机,并通过这些计算机进一步扩散及危害系统。如果组织的内部系统能更有效地进行“封锁”,那么大部分蠕虫都可以被成功阻止或拦截。工作站防火墙产品即可以阻止不属于主机正常需求的、出入各个主机的所有端口访问

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 生活休闲 > 科普知识

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号