2.1 安全区介绍
网络安全原理与实践
虽然不同网络设备中可用的安全特性在抵制网络攻击中起到了重要的作用,但事实上对网络攻击最好的防御方法之一是网络的安全拓扑设计。关注安全的网络拓扑设计对阻止网络攻击大有帮助,并且能使不同设备的安全特性得到最有效的使用。
在现代安全网络设计中用到的最关键的思想之一是用区去隔离开网络上的不同区域。置于不同区中的设备具有不同的安全需求,而区基于这些需求提供保护。况且,一些设备(例如Web服务器)所担负的任务使它们特别容易受到网络攻击,并且更难于保护。因而,用安全性较低的区将这些设备与包含更敏感和不易受攻击设备的区隔离开来,这在整体的网络安全方案中占有关键的地位。
分区也使得网络更具扩展性,从而使其更加稳定。稳定性(stability)是安全的基石之一。一个比其他网络更稳定的网络,在遭受针对网络带宽等资源的攻击的时候也会更加安全。
创建区域的基本策略如下。
具有最大安全需求(私有网络)的设备在网络的最安全区中。通常这个区只允许很少或者不允许来自公共网络和其他网络的访问。访问通常使用防火墙或者其他安全部件控制,比如安全远程访问(SRA)。这个区中经常需要有严格的认证和授权。
仅需在内部访问的服务器要置于一个单独的专用安全区中。使用防火墙控制对这些设备的访问。对这些服务器的访问经常是受到严密监控和记录的。
需要从公共网络上访问的服务器,置于一个不允许访问网络中更安全的区的隔离区之中。万一这些服务器中的一个被攻陷1,这样做可以避免危及其他区域的网络。另外,如果可能,这些服务器中的每一个也同其他服务器隔离开来,这样如果其中的一个服务器被攻陷时,其他的服务器也不会受到攻击。每个服务器或者每种类型服务器的隔离区按照最安全的类型配置。这意味着一个Web服务器,通过将其置入一个同FTP服务器完全隔离的区中,从而与FTP服务器完全隔离开来。用这种方法,如果这个Web服务器被攻陷,FTP服务器被攻击者访问的机会和攻击者利用从该Web服务器获得权限而对FTP服务器造成危害的可能性都有限(这种隔离也可以在Cisco 6509交换机中使用私有VLAN来完成)。这种区被称作DMZ,使用防火墙来控制对它们的进出访问。
用这种方法分区,分层的防火墙可以置于通向网络中最敏感或者最易受攻击部分的路径中。这可以避免因在一个防火墙中的配置错误而导致私有网络遭受攻击。许多有安全需求的大型网络在网络层中使用不同类型的防火墙,以阻止因防火墙软件中的漏洞(bug)而使网络受损。一前一后使用一个PIX防火墙和一个代理服务器就是这样的一个例子。这有时也叫做深层防御原则。
1译者注:这里被攻陷是指某台服务器被攻击者控制。划分安全区域可以避免攻击者将被远程控制的服务器当作跳板去入侵网络中的其他设备。