《部署多DMZ区的安全企业网络》由会员分享,可在线阅读,更多相关《部署多DMZ区的安全企业网络(14页珍藏版)》请在金锄头文库上搜索。
1、实验题目部署多DMZ区的安全企业网络实验任务实验目的企业数据库做为企业网络重点保护的资源,它保存着大量的企业所独有的机密数据,是企业所要保护的主要对象。然而一些企业由于业务需要(它们需要通过服务网络使其信息被公众访问),在严格保护企业数据库的同时,仍要向In ter net 发布部分数据信息,也就是说,数据库对公共是开放的(即使是部分或有相当严格的权限限制)。一些中小企业利用传统的三宿主防火墙(DMZ屏蔽子网内部的防火墙)构建企业网络结构如图3-1所示:Web服务器E-mail 务器4W数据库服务器路由器防火墙图3-1防火墙分别和三个独立的网络相连(因此需要三个网卡),这三个网络如下所述:外部
2、网络 In ter net 或者公司分部 DMZ屏蔽子网受保护的局域网该网络结构存在的风险之一就是防火墙对DMZ提供单层防护。也就是说,如果黑客突破了该层防护,整个 DMZ都会暴露在黑客面前,尤其是数据库服务器将面临巨大的威 胁。部署多DMZ区的安全企业网络,就是针对上述问题提岀的一种最有效的深层防御措 施,通过设置多重防火墙(或支持多重防御的防火墙)实现多重防御。并且要对企业网 络进行多样的安全加固,包括建立VPN通道、不同区域IDS部署以及利用蜜罐实现黑客追踪取证。本实验注重培养学生科学分析、实践操作和应用创新能力,强化学生掌握企业网络 结构的体系构成和各种网络安全设备的配置、部署与联动操
3、作。学生还可以在此基础上 提出更合理的网络安全解决方案,进行安全加固。实验需求部署双DMZ区的企业网络结构,数据库服务器由两个防火墙(或支持双重防御的单个防火墙)来提供防护。一个防火墙可以监控内网、DMZ和 In ter net 之间的通信,另外一个防火墙可以监控 DMZ和DMZ2之间的通信,如图 3-2所示。IkInt ernet :数据库服务器图3-2部署需求如下:(1)区域划分需求双防火墙划分四个网络区域:内网(受保护的局域网)、DMZ(直接对外信息发布的服务区域)、DMZ2(间接对外发布的、受保护的服务区域)和公网(In ternet )。(2)信息流向需求公网能够与 DMZ通信(请求
4、发起者); DMZ能够与 DMZ2通信;公网不能够直接与 DMZ2通信;内网能够与公网通信;内网能够与DMZ通信;其它信息流向均禁止。(3)VPN需求允许In ternet 用户通过VPN连接到内网区域。VPN服务既可集成至第一重防御防火 墙中,也可以由连接在公网路由器与企业内网间的VPN网关提供(独立的 VPN网关)(4)网络监测需求公网路由器与第一重防御防火墙间部署网络流量监测器,对数据流量进行监测、 网络协议进行分析,访问站点进行统计。 DMZ部署IDS,其策略以检测针对 Web FTP等DMZ提供的服务攻击为主。 DMZ2部署IDS,其策略以检测针对数据库的攻击为主。(5)入侵取证需求
5、公网路由器与第一重防御防火墙间部署蜜罐系统,具有一定程度的入侵搜集、捕获与取证能力。实验学时4X5学时实验要求(1)允许在图3-2基础之上使用其它网络设备,如独立的VPN网关、代理服务器等。(2 )实验中可以不考虑公网路由的部署。(3) DMZ2中的数据库服务器可以安装开源MySQL数据库。(4) Web服务器使用服务器脚本(如ASP、JSP、PHP Perl等)访问数据库服务器(5) 填写实验报告,提交实验报告及相关实验设计文档。1实验任务设计思想出eb服务器图3-3利用两个支持单 DMZ区的防火墙搭建四区域的网络结构,实现双重防御。使用第一重防火墙搭建传统的(包含单个DMZ屏蔽子网)的网络
6、结构,划分内网、DMZ和公网三个区域。使用第二重防火墙搭建DMZ2划分DMZ与 DMZ2两个区域。第二重防火墙的公网接口接入到一重防御的 DMZ区中,第二重防火墙的DMZ区接口接入到二重防御DMZ2区中。在公网路由器与第一重防火墙之间部署ethereal网络流量监测器和 Honeyd蜜罐主机,其中网络流量监测器负责监测外部访问企业的数据流量,分析访问协议,统计访问 站点等,Honeyd蜜罐主机通过仿真企业 Web服务器实现入侵搜集、捕获与取证。公网用户通过一重防火墙(支持IPSec VPN网关功能)可与内网建立 VPN隧道,进行安全通信。在第一重防火墙 DMZ区部署Web服务器(用于 Web信
7、息发布)、Snort IDS (监控检 测DMZ区网络访问行为)。在DMZ2中部署SQL数据库服务器,DMZ区Web服务器通过后台服务器脚本访问数据库服务器,进行数据查询操作。同时,在该区部署Snort IDS (监控检测DMZ2区数据库访问行为)。技术分析1 .双防火墙,双 DMZ企业使用多重防火墙可能会使其安全设置更加复杂,但是另一方面,它赢得了更高的安全性和灵活性。企业可以为它的不同部门设置独立的DMZ也可为不同安全等级的服务器设置独立的 DMZ每个防火墙都有一个与之相连的单独的DMZ其中一个DMZ包括可供公众访问的 Web服务器、电子邮件服务器等,另一个DMZ包括供公众间接访问或受限访
8、问的其它服务器。通过设置每个防火墙的外网(第二重防火墙划分的外网是DMZ区域)访问目的与 DMZ区 (第二重防火墙划分的 DMZ区是DMZ2区域)服务地址及端口的映射关 系实现纵深访问。确保DMZ2区域中服务器的安全,还需设置第二重防火墙的访问策略,仅允许DMZ区主机和企业内网对 DMZ2区域进行访问,其它访问则被禁止。这样做的好处是:即使第一 重防火墙被攻破,它可以访问DMZ服务器授权以外的内容,那么第二重防火墙则是一道非常难以逾越的鸿沟。2 . VPN网关许多企业使用In ternet 来提供连接内部主机和其他公司特定客户机的连接。VPN经过了加密,而且只限于具有特殊IP地址的计算机使用,
9、这是约定基于In ternet 上的VPN的优点所在。VPN网关可以延续到企业内网、DMZ另一方面,VPN网关也可以绕过防火墙直接和企业内网相连接。3 部署入侵检测系统利用IDS对网络行进行监控,理想的状况是对一切进行监控。所有网络设备和任何 从外部到企业的连接都处在IDS的监视之下。尽管这一部署对小规模组织是很可能实现的,但是当连接设备非常多时,这成了难以施展的艰巨任务。在没有足够资源建立一个企业级的IDS的情况之下,可以考虑一下在三个最常见的位置部署IDS。(1) 外部网络连接监控与外部组织或公网的网络连接是最明显的监控入侵的地点。In ternet 对于那些经常试图取得未授权访问的黑客和
10、自我繁殖malware来说就像一个巨大的全球操练场。通过外网、VPN和专线连接的商业伙伴有可能进入企业网络内部。尽管企业可能具有很好的工作安全控制,但企业可能不了解且无法访问商业伙伴的安全状况。恶意黑客可能攻陷一 个服务提供者并借助外网进入企业网络内部。因此,监控与外部网络的连接很重要。监控离开企业网络的流量也很重要。各种各样的外岀流量可能意味着有主机被控制, 例如远程控制特洛伊木马或异常流量。监控外岀流量也可能帮助企业发现被控制用来攻 击In ternet 上其他主机的服务器。(2) 内部网络关键点监控中心内部网络关键点是一个需要安装IDS的重要地点。大型交换机有非常大的流量 流过,是一个监
11、控内部攻击和不适当行为的理想地点。(3) 重要计算资源监控企业的网络中已经具有大量安全控制的区域是入侵监控的另一个候选地点。那些受到DMZ防火墙、安全路由器保护的基础设施也应该部署IDS。存有机密数据库或分层的面向外部的 Web应用程序也是需要加强安全注意的地点。4 .蜜罐(honeypot )的价值蜜罐是一种可以应用于很多环境中的高度灵活的技术。作为一种安全工具,它们具 有一些特定的优势。具体说来,蜜罐只收集到少量的数据,但是这些数据中的大部分都 是具有很高价值的信息。它们具备在资源紧张环境中有效工作的能力,并且从概念上讲 它们都是非常简单的设备。而且,通过检测和捕获未知授权的活动,它们会迅
12、速体现岀 其价值来。参考资源知识资源企业网络结构的部署知识体系|实验27|练习三 企业边界防火策略部署IDS知识体系|实验28入侵检测部署honyed知识体系|实验30蜜罐蜜网部署VPN知识体系|实验29|练习一利用IPSec构建企业VPNEthereal的安装与使用应用服务器web-source/index.html检索Winpcap简介及实例应用服务器web-source/index.html检索安全评估的内容及标准应用服务器web-source/index.html检索实验步骤说明http:/ 应用服务器IP/web-source/index.html提供实验所需软件工具及相关参考资源。
13、搭建网络环境使用多台主机搭建实验网络环境,如图3-4所示。eth2192,166.0. 151/24tM10. 10.0. 150/24168.0.150/24Snort IDSmysqlI 据库10 100-50/24150/24外岡主机202.98.0.50/24数藉库管理圭机(内网主机)172.16.0. 50/24172.1甜陀4Money 罐202.96 0 lSl/2VFH用户202. SS. 0 &/:图3-4实验主机角色及系统环境如下表:实验主机角色实验角色系统环境网关指向主机A数据库管理主机(内网主机)WindowsF1|ethO主机B普通外网用户Windows主机C外网VP
14、N用户Windows主机D流量监控器Windows主机E蜜罐主机Linux主机FWeb服务器LinuxF1|eth1主机GDMZ区 IDSLinux主机H数据库服务器LinuxF2|eth1主机1DMZ2区 IDSLinux配置防火墙F1策略(1) 主机A访问防火墙F1的web设置页面,开启端口转发服务,将外网80/tcp端 口请求转发至 DMZ区 Web服务器的80端口。(2)设置“外岀连接”,允许内网主机访问公网常用服务。(3) 开启VPN网关功能,设置用户到网关的VPN工作模式,能够在公网与内网间建 立IPSec VPN隧道。三搭建Web服务器(1)主机F发布Web服务,并支持简单的站内搜索功能。进入/opt/ExpNIS/HostSec-Lab/Projects/step2目录,将 search.thm 和 search.php 文件拷贝至/var/www/html 目录(Web服务文档主目录)下。(2)修改search.php 脚本,要求如下:将连接数据库(服务器)IP地址指向防火墙 F2的eth2网络接口地址;数据库访问用户名称为“ client ”。四.部置DMZ区IDS部署主机 G在F1|eth1入口处,并修改 Snort配置文件snort.conf ,在Snort以入 侵检测方式运行时,仅加载 web
