1、精品文檔精品文檔IT系統安全白皮書 第四章 實踐及案例分析4.1 IT基礎設施與網絡安全在一個現代的，具有基本的電子商務模式的企業中，關鍵性應用所依賴的軟 件、硬件和網絡被稱為IT基礎設施。IT基礎設施通常遵循開放的標準，易于集 成，不需要太多額外的開發工作就可以投入使用。典型的IT基礎設施包括網絡架構、基本網絡服務（如DNS, DHCP）、Web服務和文件服務等。網絡架構是IT基礎設施的重要組成部分。隨著業務流程對網絡架構的依賴逐步 加深，如何構建一個安全、可靠、靈活的網絡已經不再僅僅是一個IT問題。CIO,甚至CEO將會越來越多地關心企業中網絡環境的情況。今天，越來越多的機構，無論它們從事

2、何種業務，也無論它們有多大的規模， 開始從Internet接入中獲益。但是接入In ternet同樣意味著風險。在您為員工， 客戶和業務伙伴提供信息訪問服務的同時，您也為全世界鋪設了訪問您機構中 的隱秘信息的道路。在各大媒體上，關于黑客入侵導致泄密的報道屢見不鮮。 有些時候，來自網絡的攻擊會導致部分或整個網絡服務停止工作，并進一步影 響到您的關鍵性應用。最近一年以來的沖擊波、震蕩波等病毒的大規模發作就 是很典型的例子。4.1.1網絡安全的變革在傳統的網絡安全模式中，人們著眼于如何將入侵者阻擋在機構的網絡之外。 在這種模式中，經常被使用的工具有來自不同廠商，使用各種技術的路由器， 防火墻，病毒過

3、濾器等等。隨著Web技術和電子商務的發展，您可能需要從前 被歸于“入侵者”一類的人（比如您的客戶，您的合作伙伴，或是出差在外的 員工）通過可控制的手段來訪問您的網絡中的特定的信息。他們不會像“自己 人”一樣從內部網絡發起訪問請求，他們的請求來自Internet。In ternet的設計本身毫無安全性可言。您機構中的安全策略和安全工具完全沒有 辦法去控制In ternet上的信息流。您的路由器，防火墻和病毒過濾器等工具仍然 可以在內部網絡中為防御垃圾郵件，病毒和木馬等等做貢獻，但在防止客戶、 員工和業務伙伴對未授權的信息的訪問方面，如果不改變它們的使用方法，它 們幫不上什么忙。新的網絡安全模式要

4、求您首先分析自己機構的網絡，并從中找出不同業務、數 據和安全策略的分界線。您需要在這些分界線上構建安全防御。這些分界線通 常被稱為“邊界網絡”。4.1.2構建邊界網絡構建邊界網絡需要用到防火墻。一個防火墻是一個軟件和硬件的組合，它決定 什么樣的信息可以被允許通過某一個網絡。防火墻通常和路由器結合使用以在 不同的網絡之間建立安全邊界。以下我們介紹幾種常見的防火墻類型。a.包過濾防火墻 包過濾防火墻檢查每一個通過它的網絡包頭，并根據包頭中的信息來決精品文檔精品文檔定是否 允許這個包的轉發。包過濾防火墻的功能十分有限，因為它不會去檢查應用層 的信息，也不會去跟蹤信息交換的狀態。但功能簡單的特性同時也

5、決定了它是 所有防火墻技術中性能最好的。在實際應用中，包過濾防火墻常常會改變包頭中的地址信息從而使轉發的包看 起來像是來自于不同的計算機。這種改變技術叫做網絡地址轉換（NAT），這種方法可以用來對不信任的網絡隱藏本地網絡的配置信息。b.鏈路型防火墻 鏈路型防火墻只轉發連接請求包和已經建立的連接的包。這種防火墻跟蹤每一 個信息交換連接的狀態，并根據預設的安全策略來決定哪些連接是被允許的。 它比包過濾防火墻要復雜，也常常和NAT技術結合使用。c.應用層防火墻這種防火墻檢查所有網絡包的內容并且工作在OSI七層協議模型的應用層。在 這種防火墻看來，它接受和轉發的不是單個的網絡包而是完整的信息流。它會

6、將網絡上傳遞的信息完整地提取出來，然后根據預設的安全策略來決定是否轉 發，或者是否更改后轉發。應用層防火墻通常以具備特殊用途的軟件形式出 現，并且常常使用代理服務器模式而不允許網絡信息直接通過。有些企業級的 病毒防火墻也是應用層防火墻的實現。應用層防火墻通常具有很強的日志記錄和審計功能，所以它們可以和入侵檢測 系統結合使用來提供攻擊行為的紀錄。應用層防火墻的功能最復雜，性能開銷也最大。有關日志記錄和審計的I/O能 力對應用層防火墻來說至關重要。d.動態包過濾防火墻 除了安全策略設置外，動態包過濾防火墻使用一個數據庫來決定是否允許信息 通過。它會記錄發出的包的特性，以便核對接收到的包是否能與合理

7、的連接請 求過程吻合。這種防火墻能夠有效地抵御端口掃描。4.1.3網絡結構我們建議您使用集成的，基于開放標準的網絡設計模型來作為您調整網絡結構 的參考。使用這種模型可以幫助您避免難以預見的安全風險。下圖的模型就是MASS域概念在網絡結構上的應用。精品文檔精品文檔bJ不樺筑第在這里我們簡單地回顧一下這些MASS域的定義a.不受控區域。這部分區域不受您的機構控制。來自不受控區域的訪問可以通 過多種渠道。b.受控區域。存在于不受控區域與限制區域之間。又稱為非軍事區（DMZ）c.限制區域。只有被授權的人員才能訪問，與In ternet沒有直接連接。d.安全區域。只有極少數被高度信任的人員才能夠訪問。被

8、授權給一個安全區 域并不意味著被授權給所有安全區域。e.外部控制區域。由其它組織控制的區域，數據的保護措施不能十分受信任。這些定義與我們建議的網絡結構模型對應如下:a. I nternet-不受控區域b. I nternet DMZ-受控區域In ternet DMZ中通常包括In ternet可以直接連接的主機和多個防火墻，它可以被 認為是一個內部和外部網絡的緩沖區。這種設計使您在不同的層面上來控制網 絡上的信息交換（如In ternet和DMZ之間，DMZ和內部網絡之間等等）。c.生產區域-限制區域這個區域包含這只有少數被授權人才能訪問的網絡服務。它可以與DMZ和In tra net通過防火墻連接。d. I ntran e