 |
4000156919 |
|
4000156919 |
來源:巨靈鳥軟件 作者:進銷存軟件 發(fā)布:2014/10/23 瀏覽次數(shù):6252
3、Intranet安全解決方案
3.1 Intranet安全解決方案
過去我們往往把信息安全局限于通信保密,局限于對信息加密功能要求,其實網(wǎng)絡信息安全牽涉到方方面面的問題,是一個極其復雜的系統(tǒng)工程。從簡化的角度來看,要實施一個完整的網(wǎng)絡與信息安全體系,至少應包括三類措施,并且三者缺一不可。一是社會的法律政策、企業(yè)的規(guī)章制度以及安全教育等外部軟環(huán)境。在該方面政府有關部門、企業(yè)的主要領導應當扮演重要的角色。二是技術方面的措施,如防火墻技術、網(wǎng)絡防毒、信息加密存儲通信、身份認證、授權等。只有技術措施并不能保證百分之百的安全。三是審計和管理措施,該方面措施同時包含了技術與社會措施。其主要措施有:實時監(jiān)控企業(yè)安全狀態(tài)、提供實時改變安全策略的能力、對現(xiàn)有的安全系統(tǒng)實施漏洞檢查等,以防患于未然。
企業(yè)要實施一個安全的系統(tǒng)應該三管齊下。其中法律、企業(yè)領導層的重視應處于最重要的位置。沒有社會的參與就不可能實施安全保障。
網(wǎng)絡信息安全包括了建立安全環(huán)境的幾個重要組成部分,其中安全的基石是社會法律、法規(guī)與手段,這部分用于建立一套安全管理標準和方法。
第二部分為增強的用戶認證,用戶認證在網(wǎng)絡和信息的安全中屬于技術措施的第一道大門,最后防線為審計和數(shù)據(jù)備份,不加強這道大門的建設,整個安全體系就會較脆弱。用戶認證的主要目的是提供訪問控制和不可抵賴的作用。用戶認證方法按其層次不同可以根據(jù)以下三種因素提供認證。
1.用戶持有的證件,如大門鑰匙、門卡等等;
2.用戶知道的信息,如密碼;
3.用戶特有的特征,如指紋、聲音、視網(wǎng)膜掃描等等。
根據(jù)在認證中采用因素的多少,可以分為單因素認證、雙因素認證,多因素認證等方法。
第三部分是授權,這主要為特許用戶提供合適的訪問權限,并監(jiān)控用戶的活動,使其不越權使用。該部分與訪問控制(常說的隔離功能)是相對立的。隔離不是管理的最終目的,管理的最終目的是要加強信息有效、安全的使用,同時對不同用戶實施不同訪問許可。
第四部分是加密。在上述的安全體系結(jié)構(gòu)中,加密主要滿足以下幾個需求。
1.認證——識別用戶身份,提供訪問許可;
2.一致性——保證數(shù)據(jù)不被非法篡改;
3.隱密性——保護數(shù)據(jù)不被非法用戶查看;
4.不可抵賴——使信息接收者無法否認曾經(jīng)收到的信息。
加密是信息安全應用中最早開展的有效手段之一,數(shù)據(jù)通過加密可以保證在存取與傳送的過程中不被非法查看、篡改、竊取等。在實際的網(wǎng)絡與信息安全建設中,利用加密技術至少應能解決以下問題:
1.鑰匙的管理,包括數(shù)據(jù)加密鑰匙、私人證書、私密等的保證分發(fā)措施;
2.建立權威鑰匙分發(fā)機構(gòu);
3.保證數(shù)據(jù)完整性技術;
4.數(shù)據(jù)加密傳輸;
5.數(shù)據(jù)存儲加密等。
第五部分為審計和監(jiān)控,確切說,還應包括數(shù)據(jù)備份,這是系統(tǒng)安全的最后一道防線。系統(tǒng)一旦出了問題,這部分可以提供問題的再現(xiàn)、責任追查、重要數(shù)據(jù)復原等保障。
在網(wǎng)絡和信息安全模型中,這五個部分是相輔相成、缺一不可的。其中底層是上層保障的基礎,如果缺少下面各層次的安全保障,上一層的安全措施則無從說起。如果一個企業(yè)沒有對授權用戶的操作規(guī)范、安全政策和教育等方面制定有效的管理標準,那么對用戶授權的控制過程以及事后的審計等的工作就會變得非常困難。
3.2 網(wǎng)絡信息安全產(chǎn)品
為了實施上面提出的安全體系,可采用防火墻產(chǎn)品來滿足其要求。
(1)訪問控制
實施企業(yè)網(wǎng)與外部、企業(yè)內(nèi)部不同部門之間的隔離。其關鍵在于應支持目前Internet中的所有協(xié)議,包括傳統(tǒng)的面向連接的協(xié)議、無連接協(xié)議、多媒體、視頻、商業(yè)應用協(xié)議以及用戶自定義協(xié)議等。
(2)普通授權與認證
提供多種認證和授權方法,控制不同的信息源。
(3)內(nèi)容安全
對流入企業(yè)內(nèi)部的網(wǎng)絡信息流實施內(nèi)部檢查,包括URL過濾等等。
(4)加密
提供防火墻與防火墻之間、防火墻與移動用戶之間信息的安全傳輸。
(5)網(wǎng)絡設備安全管理
目前一個企業(yè)網(wǎng)絡可能會有多個連通外界的出口,如連接ISP的專線、撥號線等,同時,在大的企業(yè)網(wǎng)內(nèi)不同部門和分公司之間可能亦會有由多級網(wǎng)絡設備隔離的小網(wǎng)絡。根據(jù)信息源的分布情況,有必要對不同網(wǎng)絡和資源實施不同的安全策略和多種級別的安全保護,如可以在防火墻上實施路由器、交換機、訪問服務器的安全管理。
(6)集中管理
實施一個企業(yè)一種安全策略,實現(xiàn)集中管理、集中監(jiān)控等。
(7)提供記帳、報警功能
實施移動方式的報警功能,包括E-mail、SNMP等。
企業(yè)如何選擇合適的防火墻
計算機網(wǎng)絡將有效的實現(xiàn)資源共享,但資源共享和信息安全是一對矛盾。隨著資源共享進一步加強,隨之而來的信息安全問題也日益突出。
并不是每一款防火墻都適應于每個用戶的需求,根據(jù)用戶需求的不同,所需要的防火墻可能完全不同。下面列舉了幾種網(wǎng)絡中的防火墻應用。
INTERNET或信息發(fā)布服務
這種情況非常普遍,ISP或ICP,企業(yè)的網(wǎng)頁,在INTERNET上提供信息服務或提供數(shù)據(jù)庫服務等。任何一種想提供普遍服務或廣而告之的網(wǎng)絡行為,必須允許用戶能夠訪問到你提供服務的主機,都屬于這種情況。
對訪問服務行業(yè)而言,訪問服務提供者必須把要提供服務的服務器主機放在外部用戶可以訪問的地方,也就是說,主機安全幾乎是唯一的保證。除非明確地知道誰會對你的訪問驚醒破壞,才可以對出口路由器或出口防火墻驚醒一些針對性的限制訪問控制的設定,否則,訪問控制變得毫無意義。
主機安全是一個非常有效的手段。所謂的主機安全是一個非常廣義的概念,首先是要有一個安全的操作系統(tǒng),建立在一個不安全、甚至穩(wěn)定性都很差的操作系統(tǒng)上,是無法作到一個安全的主機。然后是仔細的檢查你所提供的服務,如果不是你所必須提供的服務,建議除掉一切你所不需要的進程,對你的服務而言,它們都是你安全上的隱患。可以采用一些安全檢測或網(wǎng)絡掃描工具來確定你的服務器上到底有伸麼服務,以保證是否有安全漏洞或隱患。最后是對主機確定非常嚴格的訪問限制規(guī)則,除了允許提供商愿意提供的服務之外,宣紙并拒絕所有未允許的服務,這是一個非常嚴格的措施。
除了主機安全以外,如果還需要提高服務的安全性,就該考慮采用網(wǎng)絡實時監(jiān)控和交互式動態(tài)防火墻。網(wǎng)絡實時監(jiān)控系統(tǒng),會自動捕捉網(wǎng)絡上所有的通信包,并對其進行分析和解析,并判斷出用戶的行為和企圖。如果發(fā)現(xiàn)用戶的行為或企圖與服務商所允許的服務不同,交互式防火墻立即采取措施,封堵或拒絕用戶的訪問,將其拒絕在防火墻之外,并報警。網(wǎng)絡實時監(jiān)控系統(tǒng)和交互式防火墻具有很強的審計功能,但成本相對偏高。
INTERNET和內(nèi)部網(wǎng)
企業(yè)一方面訪問INTERNET,得到INTERNET所帶來的好處,另一方面,卻不希望外部用戶去訪問企業(yè)的內(nèi)部數(shù)據(jù)庫和網(wǎng)絡。企業(yè)當然沒有辦法去建立兩套網(wǎng)絡來滿足這種需求。
防火墻的基本思想不是對每臺主機系統(tǒng)進行保護,而是讓所有對系統(tǒng)的訪問通過某一點,并且保護這一點,并盡可能地對受保護的內(nèi)部網(wǎng)和不可信任的外界網(wǎng)絡之間建立一道屏障,它可以實施比較慣犯的安全政策來控制信息流,防止不可預料的潛在的入侵破壞。
根據(jù)企業(yè)內(nèi)部網(wǎng)安全政策的不同,采取防火墻的技術手段也有所不同。
包過濾防火墻的安全性是基于對包的IP地址的校驗。在Internet上,所有信息都是以包的形式傳輸?shù)模畔邪l(fā)送方的IP地址和接收方的IP地址。包過濾防火墻將所有通過的信息包中發(fā)送方IP地址、接收方IP地址、TCP端口、TCP鏈路狀態(tài)等信息讀出,并按照預先設定過濾原則過濾信息包。那些不符合規(guī)定的IP地址的信息包會被防火墻過濾掉,以保證網(wǎng)絡系統(tǒng)的安全。
包過濾防火墻是基于訪問控制來實現(xiàn)的。它利用數(shù)據(jù)包的頭信息(源IP地址、封裝協(xié)議、端口號等)判定與過濾規(guī)則相匹配與否決定舍取。建立這類防火墻需按如下步驟去做;建立安全策略;寫出所允許的和禁止的任務;將安全策略轉(zhuǎn)化為數(shù)據(jù)包分組字段的邏輯表達式;用相應的句法重寫邏輯表達式并設置之,
包過濾防火墻主要是防止外來攻擊,或是限制內(nèi)部用戶訪問某些外部的資源。如果是防止外部攻擊,針對典型攻擊的過濾規(guī)則,大體有:
對付源IP地址欺騙式攻擊(Source IP Address Spoofing Attacks)
對入侵者假冒內(nèi)部主機,從外部傳輸一個源IP地址為內(nèi)部網(wǎng)絡IP地址的數(shù)據(jù)包的這類攻擊,防火墻只需把來自外部端口的使用內(nèi)部源地址的數(shù)據(jù)包統(tǒng)統(tǒng)丟棄掉。
對付殘片攻擊(Tiny Fragment Attacks)
入侵者使用TCP/IP數(shù)據(jù)包 分段特性,創(chuàng)建極小的分段并強行將TCP/IP頭信息分成多個數(shù)據(jù)包,以繞過用戶防火墻的過濾規(guī)則。黑客期望防火墻只檢查第一個分段而允許其余的分段通過。對付這類攻擊,防火墻只需將TCP/IP協(xié)議片斷位移植(Fragment Offset)為1的數(shù)據(jù)包全部丟棄即可。
包過濾防火墻簡單、透明,而且非常行之有效,能解決大部分的安全問題,但必須了解包過濾防火墻不能做伸麼和有伸麼缺點。
對于采用動態(tài)分配端口的服務,如很多RPC(遠程過程調(diào)用)服務相關聯(lián)的服務器在系統(tǒng)啟動時隨機分配端口的,就很難進行有效地過濾。
包過濾防火墻只按照規(guī)則丟棄數(shù)據(jù)包而不對其作日志,導致對過濾的IP地址的不同用戶,不具備用戶身份認證功能,不具備檢測通過高層協(xié)議(如應用層)實現(xiàn)的安全攻擊的能力。
包過濾防火墻從很大意義上像一場戰(zhàn)爭,黑客想攻擊,防火墻堅決予以拒絕。而代理服務器則是另外一種方式,能回避就回避,甚至干脆隱藏起來。代理服務器接收客戶請求后會檢查驗證其合法性,如其合法,代理服務器象一臺客戶機一樣取回所需的信息再轉(zhuǎn)發(fā)給客戶。它將內(nèi)部系統(tǒng)與外界隔離開來,從外面只能看到代理服務器而看不到任何內(nèi)部資源。代理服務器只允許有代理的服務通過,而其他所有服務都完全被封鎖住。
代理服務器非常適合那些根本就不希望外部用戶訪問企業(yè)內(nèi)部的網(wǎng)絡,而也不希望內(nèi)部的用戶無限制的使用或濫用INTERNET。采用代理服務器,可以把企業(yè)的內(nèi)部網(wǎng)絡隱藏起來,內(nèi)部的用戶需要驗證和授權之后才可以去訪問INTERNET。
代理服務器包含兩大類:一類是電路級代理網(wǎng)關,另一類是應用級代理網(wǎng)關。
電路級網(wǎng)關又稱線路級網(wǎng)關,它工作在會話層。它在兩主機收次建立TCP連接時創(chuàng)立一個電子屏障。它作為服務器接收外來請求,轉(zhuǎn)發(fā)請求;與被保護的主機連接時則擔當客戶機角色、起代理服務的作用。它監(jiān)視兩主機建立連接時的握手信息,如Syn、Ack和序列數(shù)據(jù)等是否合乎邏輯,信號有效后網(wǎng)關僅復制、傳遞數(shù)據(jù),而不進行過濾。電路網(wǎng)關中特殊的客戶程序只在初次連接時進行安全協(xié)商控制,其后就透明了。只有懂得如何與該電路網(wǎng)關通信的客戶機才能到達防火墻另一邊的服務器。
電路級網(wǎng)關的防火墻的安全性比較高,但它仍不能檢查應用層的數(shù)據(jù)包以消除應用層攻擊的威脅。
應用級網(wǎng)關使用軟件來轉(zhuǎn)發(fā)和過濾特定的應用服務,如TELNET、FTP等服務的連接。這是一種代理服務。它只允許有代理的服務通過,也就是說只有那些被認為“可信賴的”服務才被允許通過防火墻。另外代理服務還可以過濾協(xié)議,如過濾FTP連接、拒絕使用FTP放置命令等。應用級網(wǎng)關的安全性高,其不足是要為每種應用提供專門的代理服務程序。
兩種代理技術都具有登記、日記、統(tǒng)計和報告功能,有很好的審計功能。還可以具有嚴格的用戶認證功能。先進的認證措施,如驗證授權RADIUS、智能卡、認證令牌、生物統(tǒng)計學和基于軟件的工具已被用來克服傳統(tǒng)口令的弱點。
網(wǎng)絡狀態(tài)監(jiān)控技術普遍被認為是下一代的網(wǎng)絡安全技術。傳統(tǒng)的網(wǎng)絡狀態(tài)監(jiān)控技術對網(wǎng)絡安全正常的工作完全沒有影響的前提下,采用捕捉網(wǎng)絡數(shù)據(jù)包的方法對網(wǎng)絡通信的各個層次實行監(jiān)測,并作安全決策的依據(jù)。監(jiān)視模塊支持多種網(wǎng)絡協(xié)議和應用協(xié)議,可以方便地實現(xiàn)應用和服務擴充。狀態(tài)監(jiān)視服務可以監(jiān)視RPC(遠程過程調(diào)用)和UDP(用戶數(shù)據(jù)包)端口信息,而包過濾和代理服務則都無法做到。
網(wǎng)絡狀態(tài)監(jiān)控對主機的要求非常高,128M的內(nèi)存可能是一個基本的要求,硬盤的要求也非常大,至少要求9G,對SWAP區(qū)至少也要求192M以上。一個好的網(wǎng)絡狀態(tài)監(jiān)控系統(tǒng),處理的量可能高達每秒45M左右(一條T3的線路)。
網(wǎng)絡狀態(tài)的監(jiān)控的結(jié)果,直接就是要求能夠有一種交互式的防火墻來滿足客戶較高的要求。中網(wǎng)的IP防火墻就是這樣一種產(chǎn)品。
EXTRANET和VPN是現(xiàn)代網(wǎng)絡的新熱點。虛擬專用網(wǎng)的本質(zhì)實際上涉及到密碼的問題。在無法保證電路安全、信道安全、網(wǎng)絡安全、應用安全的情況下,或者也不相信其他安全措施的情況下,一種行之有效的辦法就是加密,而加密就是必須考慮加密算法和密碼的問題。考慮到我國對密碼管理的體制情況,密碼是一個單獨的領域。對防火墻而言,是否防火墻支持對其他密碼體制的支持,支持提供API來調(diào)用第三方的加密算法和密碼,非常重要。
企業(yè)利用Internet構(gòu)筑虛擬專用網(wǎng)絡(VPN),意味著可以削減巨額廣域網(wǎng)成本,然而在VPN中確保關鍵數(shù)據(jù)的安全等因素又是企業(yè)必須面對的問題。
削減廣域網(wǎng)成本,吸引新客戶,這是當今每一位企業(yè)主管的求勝之路。但是涉及到Internet,企業(yè)有得又有失,比如專用線路的高可靠性及安全性就是VPN需要重點考慮的地方。相比之下VPN比租用專線的費用低近80%,而且可以將Internet上的多個網(wǎng)站連接起來,使企業(yè)接觸新的企業(yè)伙伴和客戶。
首先企業(yè)要明確需要與哪種WAN連接,用戶是通過LAN/WAN還是撥號鏈路進入企業(yè)網(wǎng)絡,遠程用戶是否為同一機構(gòu)的成員等問題。
WAN的連接有兩類:內(nèi)聯(lián)網(wǎng)連接和外聯(lián)網(wǎng)連接。內(nèi)聯(lián)網(wǎng)連接著同一個機構(gòu)內(nèi)的可信任終端和用戶,這一類典型連接是總部與下屬辦事處、遠程工作站及路途中用戶的連接。
對于內(nèi)聯(lián)網(wǎng)連接,VPN應提供對企業(yè)網(wǎng)絡相同的訪問途徑就好象用戶或下屬辦事處真正與總部連接起來。內(nèi)聯(lián)網(wǎng)VPN執(zhí)行的安全決策通常是標準的公司決策,遠程用戶至少要經(jīng)過一次認證。
圍繞下屬辦事處,VPN要考慮的一個關鍵問題是這些辦事處的物理安全性。物理安全性涵蓋了一切因素,從下屬辦事處的密鑰和鎖,到計算設備的物理訪問,再到可訪問設施的非雇員數(shù)量等等。如果所有這一切都萬無一失,在總部和下屬辦事處之間就可以建立一個“開放管道”的VPN。這類似于LAN到LAN的連接。即不需要基于VPN的用戶認證,因為我們認為這樣的連接是安全的。但是,如果這些地方有問題,網(wǎng)絡設計人員就要考慮采用更嚴格的安全措施。例如,VPN需要嚴格認證,或者將對總部網(wǎng)絡的訪問限制在某個孤立的子網(wǎng)中。
VPN對外聯(lián)網(wǎng)的安全要求通常十分嚴格,對保密信息的訪問只有在需要時才能獲準,而敏感的網(wǎng)絡資源則禁止訪問。由于外聯(lián)網(wǎng)連接可能會涉及機構(gòu)外人員,解決用戶的變化問題則很有挑戰(zhàn)性。從根本上說,這是嚴格政治問題。但在機構(gòu)確定用戶時,這是嚴格急需解決的技術問題。
企業(yè)網(wǎng)絡是攻擊者垂涎的目標,因此,管理層必須保護公司網(wǎng)絡免遭遠程入侵。一個機構(gòu)的安全決策應界定何種形式的遠程訪問是允許的或不允許的,決策中還要確定相應的VPN設備和實施選擇方法。
一般來說,決策者應解決VPN特有的幾個問題:遠程訪問的資格,可執(zhí)行的計算能力,外聯(lián)網(wǎng)連接的責任,以及VPN資源的監(jiān)管。另外,還應包括為出差旅行的員工及遠程工作站的員工提供的訪問步驟。當然,決策中應包括一些技術細節(jié),例如加密密鑰長度,如果VPN的加密算法要求公開認證,則還需要法律的支持保護。
對外另外而言,決策中應具體說明及時通報遠程用戶人員變更的步驟,被解雇的人員必須盡快從數(shù)據(jù)庫中清除。這需要外聯(lián)網(wǎng)用戶機構(gòu)同VPN管理人員之間進行良好的協(xié)作。通常,企業(yè)的人事部門已制定有人事管理規(guī)定,這些規(guī)定可能也適用于VPN用戶。
可選擇的VPN產(chǎn)品很多,但產(chǎn)品基本上可分成三大類:基于系統(tǒng)的硬件、獨立的軟件包和基于系統(tǒng)的防火墻。大部分產(chǎn)品對LAN到LAN及遠程撥號連接都支持。
硬件VPN產(chǎn)品是典型的加密路由器,由于它們在設備的硅片中存儲了加密密鑰,因此,較之基于軟件的同類產(chǎn)品更不易被破壞.另外,加密路由器的速度快,事實上,如果鏈路的傳輸速度超過T1(1.554Mbps),這樣的VPN是名列前茅的。
基于軟件的VPN可能提供更多的靈活性。許多產(chǎn)品允許根據(jù)地址或協(xié)議打開通道,而硬件產(chǎn)品則不同,它們一般為全部信息流量打開通道,而不考慮協(xié)議要求。因流量類型不同,特定的通道在遠程站點可能遇到混合信息流時分優(yōu)先級,例如有些信息流需要通過VPN進入總部的數(shù)據(jù)庫,有些信息流則是在網(wǎng)上沖浪。在一般情況下,如通過撥號鏈路連接的用戶,軟件結(jié)構(gòu)也許是最佳的選擇。
軟件系統(tǒng)的問題在于難于管理,它要求使用者熟悉主機操作系統(tǒng)、應用程序本身以及相應的安全機制,甚至一些軟件包需要對路由表和網(wǎng)絡地址方案進行改動。
基于防火墻的VPN則利用了防火墻安全機制的優(yōu)勢,可以對內(nèi)部網(wǎng)絡訪問進行限制。此外,它們還執(zhí)行地址的翻譯,滿足嚴格的認證功能要求,提供實時報警,具備廣泛的登錄能力。大多數(shù)商業(yè)防火墻還能通過剔除危險或不必要的服務加固主機操作系統(tǒng)內(nèi)核。由于很少有VPN廠商提供操作系統(tǒng)級的安全指導,因此,提供操作系統(tǒng)保護是這種VPN的一大優(yōu)勢。
什么時候企業(yè)選擇基于防火墻的VPN呢?一般是在遠程用戶或網(wǎng)絡充滿潛在敵意的時候。這時,網(wǎng)管員可建立起所謂的非軍事區(qū)(DMZ),部分,系統(tǒng)一般使用在防火墻上的一個第三方界面,并有自己的訪問控制規(guī)則。攻擊者也許能到達DMZ,但不能破壞內(nèi)部部分。基于防火墻的VPN對于僅僅實施內(nèi)聯(lián)網(wǎng)應用的企業(yè)還是蠻好的,它是軟件產(chǎn)品中最容易保證安全和管理的產(chǎn)品。
對于這三種VPN產(chǎn)品,網(wǎng)管員還要在四個領域進行考核:協(xié)議處理、IP安全支持、認證服務器支持和加密密鑰的引出。
例如:雖然大多數(shù)公司網(wǎng)絡為多協(xié)議型,但VPN產(chǎn)品只解決IP協(xié)議的傳輸,如果其他協(xié)議如IPX或SNA需要傳送,用戶需要尋找能為這些協(xié)議加密,或者能將它們打包成IP,讓基于IP的VPN系統(tǒng)處理的方案。顯然,后一種選擇可能會降低系統(tǒng)性能。
盡管大部分VPN可保留自己的認證數(shù)據(jù)庫,但網(wǎng)管員也希望借助于現(xiàn)有的認證服務器。比如,許多遠程訪問服務器使用下述兩種協(xié)議之一的外部系統(tǒng)來認證用戶:遠程認證撥入用戶服務器(Radius)或終端訪問控制器訪問系統(tǒng)(Tacscs)。獨立認證服務器的優(yōu)勢在于可收縮性,即無論增加多少臺訪問設備,一臺認證服務器就足矣。
如果一個企業(yè)的VPN延伸到海外,網(wǎng)管員還必須解決出口問題。目前美國法律禁止128位加密算法出口,盡管未來立法可能會或多或少地放寬限制,但一般跨國經(jīng)營的美國公民可能需要部署兩個VPN系統(tǒng):一個加密功能較弱,用于國際用戶的,一個加密功能較強,用于國內(nèi)用戶。
企業(yè)不能武斷地選擇某種VPN方案,一般要通過廣泛測試,運行兩到三種VPN產(chǎn)品,再作出決定。企業(yè)首先要確定一個遠程用戶間的測試伙伴小組,由他們測試系統(tǒng)的情況。
注意,測試小組中一定要包括各種技術工種的員工,這一點對于保證VPN測試的公正以及評估系統(tǒng)管理人員排除故障的能力至關重要。
成功的VPN測試包括6個方面:首先,測試VPN是否可按照機構(gòu)的遠程訪問決策進行配置;其次,測試VPN是否支持所有正在使用的認證與授權機構(gòu);第三,驗證VPN可有效地產(chǎn)生和分配的密鑰;第四,測試VPN是否允許遠程用戶加入到公司網(wǎng)絡中,就像他們在物理上是連接起來的一樣;第五,驗證系統(tǒng)為排除故障和提供明顯線索的能力;最后,驗證是否技術與非技術人員同樣能輕松運用VPN。
為企業(yè)系統(tǒng)選擇合適的硬件時,網(wǎng)絡決策者要估計系統(tǒng)用戶的總數(shù),同時舉行網(wǎng)絡會議的典型數(shù)量,以及數(shù)據(jù)的時間敏感性(它決定所需的密鑰長度)。例如對于基于軟件的VPN,假設采用三倍的DES(數(shù)據(jù)加密標準)加密,使用128位密鑰、數(shù)據(jù)壓縮和信息認證,這樣,200MHz Pentium處理器就能處理T1網(wǎng)絡連接。鑒于內(nèi)存越大,可允許同時連接的信息流越多,因此,系統(tǒng)在服務器上可以指定盡可能多的RAM。正如以上所述,速度高于T1的網(wǎng)絡連接則可能需要基于硬件的VPN。
如果廠商提供產(chǎn)品性能基準,網(wǎng)絡管理員注意務必了解如何進行測試的詳細說明。為了能對不同廠商的產(chǎn)品進行公平比較,網(wǎng)管員需考慮諸如幀長度、加密算法及密鑰長度、壓縮的使用及信息認證算法的現(xiàn)狀。
另外,網(wǎng)管員在設計生產(chǎn)系統(tǒng)時,還要考慮備份和冗余問題,大型機構(gòu)或信息流量大的機構(gòu)也許還想考慮多服務器上的負載均衡問題。
遠程用戶的從屬關系有助于確定VPN設備放置的位置。對于期望通過遠程訪問復制辦事處工作環(huán)境的員工來說,VPN服務器最好直接放在專用網(wǎng)絡中,但這一方法也最易成為攻擊者的攻擊目標。
對于員工企業(yè),如果絕大多數(shù)遠程用戶屬于外部機構(gòu),將VPN設備放在DMZ網(wǎng)絡上意義更大,因為它要比內(nèi)部網(wǎng)絡更為安全,屏蔽DMZ的防火墻有助于保護其間的設備。這種方法也比將VPN設備完全放在安全設施周邊之外更安全。如果一臺認證服務器屬于DMZ子網(wǎng),它會得到細心的管理和保護,免于內(nèi)部和外部的威脅。
企業(yè)在設計安全內(nèi)聯(lián)網(wǎng)和外聯(lián)網(wǎng)時,安置VPN和認證服務器是關鍵的一步。其中,建立與下屬辦事處的鏈路最簡單:一對VPN服務器只需在兩個站點間建立加密通道。因為出差旅行的員工或遠程工作站需要進行認證,因此,它們建立與VPN服務器的鏈路,將認證請求傳送到DMZ上的認證服務器。外界顧問不需要認證,他們只需同另一臺VPN服務器連接起來,這一臺服務器應位于第二個DMZ上,以保護公司的認證服務器。另外值得注意的是,企業(yè)為業(yè)務伙伴進行的連接配置最需要技巧,連接請求首先到達第二個DMZ上的VPN服務器,之后請求被傳送到第一個DMZ上的認證服務器,最后,批準的請求被傳送到請求訪問的資源中。
安裝VPN,特別是涉及IP地址管理和防火墻時,公司可能要對網(wǎng)絡上的其他設備重新進行配置。VPN通常使用網(wǎng)絡地址翻譯器(NAT),如IETF RFC 1918中所述,NAT將專用地址(通常從一組保留的地址中選出)映射到一個或幾個在Internet上可見的地址上。
網(wǎng)管員至少要使VPN設備的配置清楚哪些地址要保留下來供內(nèi)部使用。此外,許多基于VPN的防火墻還支持動態(tài)主機配置協(xié)議(DHCP)。網(wǎng)管員需將DHCP和VPN功能協(xié)調(diào)起來,否則,客戶機可能最終將信息只發(fā)送到Internet而不是專用網(wǎng)絡上。
一些VPN設備使用虛擬網(wǎng)絡適配器將有效的IP地址分配到專用網(wǎng)絡上,如DEC公司的Altavista通道服務器,或使用由微軟公司開發(fā)的點到點通道協(xié)議(PPTP)都可以將這些地址分配到未使用的地址中,并對路由器及其他需要進行地址更新的網(wǎng)絡設備進行必要的修改。
如果VPN服務器在防火墻以內(nèi),網(wǎng)絡管理員還要對防火墻進行重新配置。大多數(shù)VPN將所有信息流閉合起來,形成一股使用單一TCP端口號的信息流。這樣,防火墻需要一個類屬代理或用于傳遞封閉VPN信息 流的規(guī)則,以及允許將信息流傳送到VPN設備上的規(guī)則。
如果VPN設備位于DMZ部分的外聯(lián)網(wǎng)中,防火墻還需要一個允許加密信息流從Internet流動到DMZ上的規(guī)則,另外,還有讓應用程序流從DMZ流動到內(nèi)部網(wǎng)絡上的規(guī)則。如果認證服務器位于內(nèi)部網(wǎng)絡上,防火墻的配置一定要有允許DMZ和專用網(wǎng)絡間的認證請求。
網(wǎng)絡管理員應該注意,網(wǎng)絡中中有一個千萬不能被篡改的地方是專用網(wǎng)絡的域名系統(tǒng)(DNS)服務器,它負責專用網(wǎng)絡設備的主機名稱到IP地址的解析。如果DNS可在Internet上看到,那么攻擊者可了解專用網(wǎng)絡的布局。
對于基于軟件的VPN和那些圍繞防火墻制作的產(chǎn)品,從安全系統(tǒng)入手是根本。在安裝前從服務器中取消所有不必要的服務、應用程序和用戶帳戶,以確保安裝的是最新的、安全的產(chǎn)品,這樣安裝VPN軟件才是安全的。
對VPN進行配置時,網(wǎng)管員要為一系列因素設定參數(shù),包括密鑰長度、主要與次要認證服務器及相關的共享秘密資源、連接和超時設置、證書核查VPN終點設備(而不是用戶)的身份,大部分VPN產(chǎn)品都提供此功能。對此,一些廠商的實現(xiàn)的方式是,讓所有信息進入總部設備下載相關信息。而對于遠程用戶,則需要建立口令,準備連接腳本,確立認證步驟。
網(wǎng)管員還要讓認證和授權程序協(xié)調(diào)起來。兩者聽起來差不多,但有些微妙且重要的差別。認證是要證明遠程用戶是她或他聲稱的身份(在外聯(lián)網(wǎng)設置中,要證明的則相反,即服務器可信)。授權是要確定遠程用戶有權訪問何種網(wǎng)絡資源。如果認證服務器還控制授權分組,例如營銷或策劃小組的授權,則系統(tǒng)還要注意核查它是否能正確地同VPN設備聯(lián)絡組信息。
這一步是要建立監(jiān)控Internet連接的機制,它可以測定VPN對網(wǎng)絡的利用和吞吐量,而且也是培訓訪問臺員工操作VPN設備及認識認證服務器和防火墻互相間的影響的重要一步。另外,機構(gòu)中的所有網(wǎng)管員都應該了解VPN的基本操作,認識到管理VPN的人不應該只是那些安裝和配置的人,最終用戶也需要接受Internet了解及VPN軟件工作原理的基本培訓。而且,讓最終一接受一些基本故障排除方法的培訓,可以使他們能自己解決一些小故障。
隨著用戶對VPN的進一步熟悉,企業(yè)可能會涉及到一些由任務決定的應用程序,例如公司要為客戶建立一個電子商店。在這樣的情況下,備份連接是必須的,因此網(wǎng)管員在設計網(wǎng)絡階段就應為冗余鏈路和設備制定計劃。信息流量大的站點應選擇支持多設備負載均衡的VPN,原因在于提供負載均衡能力的VPN廠商非常少,目前NetScreen的防火墻產(chǎn)品支持負載均衡和流量控制的功能同時也支持冗余路徑。
即使網(wǎng)絡應用并不重要,進行備份也不失為避免用戶投訴的好辦法。在這方面,保留幾臺調(diào)制解調(diào)器和電話線路用于緊急情況可能就足矣。然而,這種方法的費用較高,而且速度慢,對于LAN到LAN的連接,備份連接最好由ISDN或其他專用線路來滿足。要注意的是,一定要定期測試備份連接系統(tǒng)。
防火墻體系的采納是一個非常專業(yè)化的過程,不是一個簡單的是和非。當然可以根據(jù)具體的情況,作出一定的安全政策,并采用某種上述特定的防火墻。但絕大多數(shù)情況是,根據(jù)具體的安全需求,通過某種體系構(gòu)架,來實現(xiàn)更高強度的安全體系。或者是采用包含上述功能的復合型防火墻。我們就具體的情況作一個簡單的說明:
屏蔽主機網(wǎng)關由一個運行代理服務 雙穴網(wǎng)關和一個具有包過濾功能的路由器組成,功能的分開提高了防護系統(tǒng)的效率。
一個獨立的屏蔽子網(wǎng)位于Intranet與Internet之間,起保護作用。它由兩臺過濾路由器和一臺代理服務主機構(gòu)成。路由器過濾掉禁止或不能識別的信息,將合法的信息送到代理服務主機上,并讓其檢查,并向內(nèi)或向外轉(zhuǎn)發(fā)符合安全要求。
來源:巨靈鳥 歡迎分享本文
上一個文章:技術一旦被用來作惡,究竟會有多可怕(一)