it基礎設施與網絡安全

1、it系統(tǒng)安全白皮書 第四章實踐及案例分析4.1 it基礎設施與網絡安全在一個現代的，具冇基本的電子商務模式的企業(yè)屮，關鍵性應用所依賴的軟 件、碩件和網絡被稱為it基礎設施。it基礎設施通常遵循開放的標準，易于集 成，不需要太多額外的開發(fā)工作就可以投入使用。典型的it基礎設施包括網絡 架構、基木網絡服務（如dns,dhcp）、web服務和文件服務等。網絡架構是it基礎設施的重要組成部分。隨著業(yè)務流程對網絡架構的依賴逐步 加深，如何構建一個安全、可靠、靈活的網絡已經不再僅僅是一個it問題。 cio,甚至ceo將會越來越多地關心企業(yè)中網絡環(huán)境的情況。今天，越來越多的機構，無論它們從事何種業(yè)務，也無論

2、它們有多大的規(guī)模， 開始從internet接入中獲益。但是接入internet同樣意味著風險。在您為員工， 客戶和業(yè)務伙伴提供信息訪問服務的同時，您也為全世界鋪設了訪問您機構中 的隱秘信息的道路。在各人媒體上，關于黑客入侵導致泄密的報道屢見不鮮。 有些時候，來自網絡的攻擊會導致部分或整個網絡服務停止工作，并進一步影 響到您的關鍵性應用。最近一年以來的沖擊波、震蕩波等病毒的人規(guī)模發(fā)作就 是很典型的例了。4.1.1網絡安全的變革在傳統(tǒng)的網絡安全模式中，人們著眼于如何將入侵者阻扌肖在機構的網絡之外。 在這種模式中，經常被使用的工具有來自不同廠商，使用各種技術的路由器， 防火墻，病毒過濾器等等。隨著w

3、eb技術和屯子商務的發(fā)展，您可能需要從前 被歸于“入侵者” 一類的人（比如您的客戶，您的合作伙伴，或是出差在外的 員工）通過可控制的手段來訪問您的網絡中的特定的信息。他們不會像“口己 人” 一樣從內部網絡發(fā)起訪問請求，他們的請求來自internetointernet的設計本身毫無安全性可言。您機構中的安全策略和安全工具完全沒有 辦法去控制internet上的信息流。您的路由器，防火墻和病毒過濾器等工具仍然 可以在內部網絡屮為防御垃圾郵件，病毒和木馬等等做貢獻，但在防止客戶、 員工和業(yè)務伙伴對未授權的信息的訪問方面，如果不改變它們的使用方法，它 們幫不上什么忙。新的網絡安全模式要求您首先分析自己

4、機構的網絡，并從屮找出不同業(yè)務、數 據和安全策略的分界線。您需要在這些分界線上構建安全防御。這些分界線通 常被稱為“邊界網絡”。4.1.2構建邊界網絡 構建邊界網絡需要用到防火墻。一個防火墻是一個軟件和硬件的組合，它決定 什么樣的信息可以被允許通過某一個網絡。防火墻通常和路由器結合使用以在 不同的網絡z間建立安全邊界。以下我們介紹幾種常見的防火墻類型。a. 包過濾防火墻包過濾防火墻檢查每一個通過它的網絡包頭，并根據包頭屮的信息來決定是否 允許這個包的轉發(fā)。包過濾防火墻的功能十分冇限，因為它不會去檢查應用層 的信息，也不會去跟蹤信息交換的狀態(tài)。但功能簡單的特性同時也決定了它是 所有防火墻技術屮性

5、能最好的。在實際應用中，包過濾防火墻常常會改變包頭中的地址信息從而使轉發(fā)的包看 起來像是來自于不同的計算機。這種改變技術叫做網絡地址轉換（nat）,這 種方法可以用來對不信任的網絡隱藏本地網絡的配置信息。b. 鏈路型防火墻鏈路型防火墻只轉發(fā)連接請求包和已經建立的連接的包。這種防火墻跟蹤每- 個信息交換連接的狀態(tài)，并根據預設的安全策略來決定哪些連接是被允許的。 它比包過濾防火墻耍復朵，也常常和nat技術結合使用。c. 應用層防火墻這種防火墻檢查所有網絡包的內容并11工作在osi七層協議模型的應用層。在 這種防火墻看來，它接受和轉發(fā)的不是單個的網絡包而是完整的信息流。它會 將網絡上傳遞的信息完整地

6、提取出來，然后根據預設的安全策略來決定是否轉 發(fā)，或者是否更改后轉發(fā)。應用層防火墻通常以具備特殊用途的軟件形式出 現，并且常常使用代理服務器模式而不允許網絡信息直接通過。有些企業(yè)級的 病毒防火墻也是應用層防火墻的實現。應用層防火墻通常具有很強的日志記錄和審計功能，所以它們可以和入侵檢測 系統(tǒng)結合使用來提供攻擊行為的紀錄。應用層防火墻的功能最復雜，性能開銷也最大。有關日志記錄和審計的"0能 力對應用層防火墻來說至關重要。d. 動態(tài)包過濾防火墻除了安全策略設置外，動態(tài)包過濾防火墻使用一個數據庫來決定是否允許信息 通過。它會記錄發(fā)出的包的特性，以便核對接收到的包是否能與合理的連接請 求過程

7、吻合。這種防火墻能夠有效地抵御端口掃描。4.1.3網絡結構我們建議您使用集成的，基于開放標準的網絡設計模型來作為您調整網絡結構 的參考。使用這種模型可以幫助您避免難以預見的安全風險。下圖的模型就是mass域概念在網絡結構上的應用。互聯兩互瑕網diz生產系統(tǒng)內部期覧戶11著理系統(tǒng)安全區(qū)域受不受禱區(qū)域受撿區(qū)讖眼制區(qū)以安全區(qū)繪在這里我們簡單地回顧一下這些mass域的定義。a. 不受控區(qū)域。這部分區(qū)域不受您的機構控制。來自不受控區(qū)域的訪問可以通 過多種渠道。b. 受控區(qū)域。存在于不受控區(qū)域與限制區(qū)域z間。又稱為非軍事區(qū)（dmz）。c. 限制區(qū)域。只冇被授權的人員才能訪問，與internet沒冇直接連接

8、。d. 安全區(qū)域。只有極少數被高度信任的人員才能夠訪問。被授權給一個安全區(qū) 域并不意味著被授權給所有安全區(qū)域。e. 外部控制區(qū)域。由其它組織控制的區(qū)域，數據的保護措施不能十分受信任。這些定義與我建議的網絡結構模型對應如下：a. internet-不受控區(qū)域b. internet dmz-受控區(qū)域internet dmz中通常包括internet 口j以直接連接的主機和多個防火墻，它可以被 認為是一個內部和外部網絡的緩沖區(qū)。這種設計使您在不同的層面上來控制網 絡上的信息交換（如internet和dmz之間，dmz和內部網絡之間等等）。c. 生產區(qū)域-限制區(qū)域這個區(qū)域包含這只有少數被授權人才能訪問的網絡服務。它可以與dmz和 intranet通過防火墻連接。d. intranet-受控區(qū)