 |
4000156919 |
|
4000156919 |
來源:巨靈鳥軟件 作者:進(jìn)銷存軟件 發(fā)布:2014/10/23 瀏覽次數(shù):6017
3、Intranet安全解決方案
3.1 Intranet安全解決方案
過去我們往往把信息安全局限于通信保密,局限于對信息加密功能要求,其實(shí)網(wǎng)絡(luò)信息安全牽涉到方方面面的問題,是一個極其復(fù)雜的系統(tǒng)工程。從簡化的角度來看,要實(shí)施一個完整的網(wǎng)絡(luò)與信息安全體系,至少應(yīng)包括三類措施,并且三者缺一不可。一是社會的法律政策、企業(yè)的規(guī)章制度以及安全教育等外部軟環(huán)境。在該方面政府有關(guān)部門、企業(yè)的主要領(lǐng)導(dǎo)應(yīng)當(dāng)扮演重要的角色。二是技術(shù)方面的措施,如防火墻技術(shù)、網(wǎng)絡(luò)防毒、信息加密存儲通信、身份認(rèn)證、授權(quán)等。只有技術(shù)措施并不能保證百分之百的安全。三是審計和管理措施,該方面措施同時包含了技術(shù)與社會措施。其主要措施有:實(shí)時監(jiān)控企業(yè)安全狀態(tài)、提供實(shí)時改變安全策略的能力、對現(xiàn)有的安全系統(tǒng)實(shí)施漏洞檢查等,以防患于未然。
企業(yè)要實(shí)施一個安全的系統(tǒng)應(yīng)該三管齊下。其中法律、企業(yè)領(lǐng)導(dǎo)層的重視應(yīng)處于最重要的位置。沒有社會的參與就不可能實(shí)施安全保障。
網(wǎng)絡(luò)信息安全包括了建立安全環(huán)境的幾個重要組成部分,其中安全的基石是社會法律、法規(guī)與手段,這部分用于建立一套安全管理標(biāo)準(zhǔn)和方法。
第二部分為增強(qiáng)的用戶認(rèn)證,用戶認(rèn)證在網(wǎng)絡(luò)和信息的安全中屬于技術(shù)措施的第一道大門,最后防線為審計和數(shù)據(jù)備份,不加強(qiáng)這道大門的建設(shè),整個安全體系就會較脆弱。用戶認(rèn)證的主要目的是提供訪問控制和不可抵賴的作用。用戶認(rèn)證方法按其層次不同可以根據(jù)以下三種因素提供認(rèn)證。
1.用戶持有的證件,如大門鑰匙、門卡等等;
2.用戶知道的信息,如密碼;
3.用戶特有的特征,如指紋、聲音、視網(wǎng)膜掃描等等。
根據(jù)在認(rèn)證中采用因素的多少,可以分為單因素認(rèn)證、雙因素認(rèn)證,多因素認(rèn)證等方法。
第三部分是授權(quán),這主要為特許用戶提供合適的訪問權(quán)限,并監(jiān)控用戶的活動,使其不越權(quán)使用。該部分與訪問控制(常說的隔離功能)是相對立的。隔離不是管理的最終目的,管理的最終目的是要加強(qiáng)信息有效、安全的使用,同時對不同用戶實(shí)施不同訪問許可。
第四部分是加密。在上述的安全體系結(jié)構(gòu)中,加密主要滿足以下幾個需求。
1.認(rèn)證——識別用戶身份,提供訪問許可;
2.一致性——保證數(shù)據(jù)不被非法篡改;
3.隱密性——保護(hù)數(shù)據(jù)不被非法用戶查看;
4.不可抵賴——使信息接收者無法否認(rèn)曾經(jīng)收到的信息。
加密是信息安全應(yīng)用中最早開展的有效手段之一,數(shù)據(jù)通過加密可以保證在存取與傳送的過程中不被非法查看、篡改、竊取等。在實(shí)際的網(wǎng)絡(luò)與信息安全建設(shè)中,利用加密技術(shù)至少應(yīng)能解決以下問題:
1.鑰匙的管理,包括數(shù)據(jù)加密鑰匙、私人證書、私密等的保證分發(fā)措施;
2.建立權(quán)威鑰匙分發(fā)機(jī)構(gòu);
3.保證數(shù)據(jù)完整性技術(shù);
4.數(shù)據(jù)加密傳輸;
5.數(shù)據(jù)存儲加密等。
第五部分為審計和監(jiān)控,確切說,還應(yīng)包括數(shù)據(jù)備份,這是系統(tǒng)安全的最后一道防線。系統(tǒng)一旦出了問題,這部分可以提供問題的再現(xiàn)、責(zé)任追查、重要數(shù)據(jù)復(fù)原等保障。
在網(wǎng)絡(luò)和信息安全模型中,這五個部分是相輔相成、缺一不可的。其中底層是上層保障的基礎(chǔ),如果缺少下面各層次的安全保障,上一層的安全措施則無從說起。如果一個企業(yè)沒有對授權(quán)用戶的操作規(guī)范、安全政策和教育等方面制定有效的管理標(biāo)準(zhǔn),那么對用戶授權(quán)的控制過程以及事后的審計等的工作就會變得非常困難。
3.2 網(wǎng)絡(luò)信息安全產(chǎn)品
為了實(shí)施上面提出的安全體系,可采用防火墻產(chǎn)品來滿足其要求。
(1)訪問控制
實(shí)施企業(yè)網(wǎng)與外部、企業(yè)內(nèi)部不同部門之間的隔離。其關(guān)鍵在于應(yīng)支持目前Internet中的所有協(xié)議,包括傳統(tǒng)的面向連接的協(xié)議、無連接協(xié)議、多媒體、視頻、商業(yè)應(yīng)用協(xié)議以及用戶自定義協(xié)議等。
(2)普通授權(quán)與認(rèn)證
提供多種認(rèn)證和授權(quán)方法,控制不同的信息源。
(3)內(nèi)容安全
對流入企業(yè)內(nèi)部的網(wǎng)絡(luò)信息流實(shí)施內(nèi)部檢查,包括URL過濾等等。
(4)加密
提供防火墻與防火墻之間、防火墻與移動用戶之間信息的安全傳輸。
(5)網(wǎng)絡(luò)設(shè)備安全管理
目前一個企業(yè)網(wǎng)絡(luò)可能會有多個連通外界的出口,如連接ISP的專線、撥號線等,同時,在大的企業(yè)網(wǎng)內(nèi)不同部門和分公司之間可能亦會有由多級網(wǎng)絡(luò)設(shè)備隔離的小網(wǎng)絡(luò)。根據(jù)信息源的分布情況,有必要對不同網(wǎng)絡(luò)和資源實(shí)施不同的安全策略和多種級別的安全保護(hù),如可以在防火墻上實(shí)施路由器、交換機(jī)、訪問服務(wù)器的安全管理。
(6)集中管理
實(shí)施一個企業(yè)一種安全策略,實(shí)現(xiàn)集中管理、集中監(jiān)控等。
(7)提供記帳、報警功能
實(shí)施移動方式的報警功能,包括E-mail、SNMP等。
企業(yè)如何選擇合適的防火墻
計算機(jī)網(wǎng)絡(luò)將有效的實(shí)現(xiàn)資源共享,但資源共享和信息安全是一對矛盾。隨著資源共享進(jìn)一步加強(qiáng),隨之而來的信息安全問題也日益突出。
并不是每一款防火墻都適應(yīng)于每個用戶的需求,根據(jù)用戶需求的不同,所需要的防火墻可能完全不同。下面列舉了幾種網(wǎng)絡(luò)中的防火墻應(yīng)用。
INTERNET或信息發(fā)布服務(wù)
這種情況非常普遍,ISP或ICP,企業(yè)的網(wǎng)頁,在INTERNET上提供信息服務(wù)或提供數(shù)據(jù)庫服務(wù)等。任何一種想提供普遍服務(wù)或廣而告之的網(wǎng)絡(luò)行為,必須允許用戶能夠訪問到你提供服務(wù)的主機(jī),都屬于這種情況。
對訪問服務(wù)行業(yè)而言,訪問服務(wù)提供者必須把要提供服務(wù)的服務(wù)器主機(jī)放在外部用戶可以訪問的地方,也就是說,主機(jī)安全幾乎是唯一的保證。除非明確地知道誰會對你的訪問驚醒破壞,才可以對出口路由器或出口防火墻驚醒一些針對性的限制訪問控制的設(shè)定,否則,訪問控制變得毫無意義。
主機(jī)安全是一個非常有效的手段。所謂的主機(jī)安全是一個非常廣義的概念,首先是要有一個安全的操作系統(tǒng),建立在一個不安全、甚至穩(wěn)定性都很差的操作系統(tǒng)上,是無法作到一個安全的主機(jī)。然后是仔細(xì)的檢查你所提供的服務(wù),如果不是你所必須提供的服務(wù),建議除掉一切你所不需要的進(jìn)程,對你的服務(wù)而言,它們都是你安全上的隱患。可以采用一些安全檢測或網(wǎng)絡(luò)掃描工具來確定你的服務(wù)器上到底有伸麼服務(wù),以保證是否有安全漏洞或隱患。最后是對主機(jī)確定非常嚴(yán)格的訪問限制規(guī)則,除了允許提供商愿意提供的服務(wù)之外,宣紙并拒絕所有未允許的服務(wù),這是一個非常嚴(yán)格的措施。
除了主機(jī)安全以外,如果還需要提高服務(wù)的安全性,就該考慮采用網(wǎng)絡(luò)實(shí)時監(jiān)控和交互式動態(tài)防火墻。網(wǎng)絡(luò)實(shí)時監(jiān)控系統(tǒng),會自動捕捉網(wǎng)絡(luò)上所有的通信包,并對其進(jìn)行分析和解析,并判斷出用戶的行為和企圖。如果發(fā)現(xiàn)用戶的行為或企圖與服務(wù)商所允許的服務(wù)不同,交互式防火墻立即采取措施,封堵或拒絕用戶的訪問,將其拒絕在防火墻之外,并報警。網(wǎng)絡(luò)實(shí)時監(jiān)控系統(tǒng)和交互式防火墻具有很強(qiáng)的審計功能,但成本相對偏高。
INTERNET和內(nèi)部網(wǎng)
企業(yè)一方面訪問INTERNET,得到INTERNET所帶來的好處,另一方面,卻不希望外部用戶去訪問企業(yè)的內(nèi)部數(shù)據(jù)庫和網(wǎng)絡(luò)。企業(yè)當(dāng)然沒有辦法去建立兩套網(wǎng)絡(luò)來滿足這種需求。
防火墻的基本思想不是對每臺主機(jī)系統(tǒng)進(jìn)行保護(hù),而是讓所有對系統(tǒng)的訪問通過某一點(diǎn),并且保護(hù)這一點(diǎn),并盡可能地對受保護(hù)的內(nèi)部網(wǎng)和不可信任的外界網(wǎng)絡(luò)之間建立一道屏障,它可以實(shí)施比較慣犯的安全政策來控制信息流,防止不可預(yù)料的潛在的入侵破壞。
根據(jù)企業(yè)內(nèi)部網(wǎng)安全政策的不同,采取防火墻的技術(shù)手段也有所不同。
包過濾防火墻的安全性是基于對包的IP地址的校驗(yàn)。在Internet上,所有信息都是以包的形式傳輸?shù)模畔邪l(fā)送方的IP地址和接收方的IP地址。包過濾防火墻將所有通過的信息包中發(fā)送方IP地址、接收方IP地址、TCP端口、TCP鏈路狀態(tài)等信息讀出,并按照預(yù)先設(shè)定過濾原則過濾信息包。那些不符合規(guī)定的IP地址的信息包會被防火墻過濾掉,以保證網(wǎng)絡(luò)系統(tǒng)的安全。
包過濾防火墻是基于訪問控制來實(shí)現(xiàn)的。它利用數(shù)據(jù)包的頭信息(源IP地址、封裝協(xié)議、端口號等)判定與過濾規(guī)則相匹配與否決定舍取。建立這類防火墻需按如下步驟去做;建立安全策略;寫出所允許的和禁止的任務(wù);將安全策略轉(zhuǎn)化為數(shù)據(jù)包分組字段的邏輯表達(dá)式;用相應(yīng)的句法重寫邏輯表達(dá)式并設(shè)置之,
包過濾防火墻主要是防止外來攻擊,或是限制內(nèi)部用戶訪問某些外部的資源。如果是防止外部攻擊,針對典型攻擊的過濾規(guī)則,大體有:
對付源IP地址欺騙式攻擊(Source IP Address Spoofing Attacks)
對入侵者假冒內(nèi)部主機(jī),從外部傳輸一個源IP地址為內(nèi)部網(wǎng)絡(luò)IP地址的數(shù)據(jù)包的這類攻擊,防火墻只需把來自外部端口的使用內(nèi)部源地址的數(shù)據(jù)包統(tǒng)統(tǒng)丟棄掉。
對付殘片攻擊(Tiny Fragment Attacks)
入侵者使用TCP/IP數(shù)據(jù)包 分段特性,創(chuàng)建極小的分段并強(qiáng)行將TCP/IP頭信息分成多個數(shù)據(jù)包,以繞過用戶防火墻的過濾規(guī)則。黑客期望防火墻只檢查第一個分段而允許其余的分段通過。對付這類攻擊,防火墻只需將TCP/IP協(xié)議片斷位移植(Fragment Offset)為1的數(shù)據(jù)包全部丟棄即可。
包過濾防火墻簡單、透明,而且非常行之有效,能解決大部分的安全問題,但必須了解包過濾防火墻不能做伸麼和有伸麼缺點(diǎn)。
對于采用動態(tài)分配端口的服務(wù),如很多RPC(遠(yuǎn)程過程調(diào)用)服務(wù)相關(guān)聯(lián)的服務(wù)器在系統(tǒng)啟動時隨機(jī)分配端口的,就很難進(jìn)行有效地過濾。
包過濾防火墻只按照規(guī)則丟棄數(shù)據(jù)包而不對其作日志,導(dǎo)致對過濾的IP地址的不同用戶,不具備用戶身份認(rèn)證功能,不具備檢測通過高層協(xié)議(如應(yīng)用層)實(shí)現(xiàn)的安全攻擊的能力。
包過濾防火墻從很大意義上像一場戰(zhàn)爭,黑客想攻擊,防火墻堅決予以拒絕。而代理服務(wù)器則是另外一種方式,能回避就回避,甚至干脆隱藏起來。代理服務(wù)器接收客戶請求后會檢查驗(yàn)證其合法性,如其合法,代理服務(wù)器象一臺客戶機(jī)一樣取回所需的信息再轉(zhuǎn)發(fā)給客戶。它將內(nèi)部系統(tǒng)與外界隔離開來,從外面只能看到代理服務(wù)器而看不到任何內(nèi)部資源。代理服務(wù)器只允許有代理的服務(wù)通過,而其他所有服務(wù)都完全被封鎖住。
代理服務(wù)器非常適合那些根本就不希望外部用戶訪問企業(yè)內(nèi)部的網(wǎng)絡(luò),而也不希望內(nèi)部的用戶無限制的使用或?yàn)E用INTERNET。采用代理服務(wù)器,可以把企業(yè)的內(nèi)部網(wǎng)絡(luò)隱藏起來,內(nèi)部的用戶需要驗(yàn)證和授權(quán)之后才可以去訪問INTERNET。
代理服務(wù)器包含兩大類:一類是電路級代理網(wǎng)關(guān),另一類是應(yīng)用級代理網(wǎng)關(guān)。
電路級網(wǎng)關(guān)又稱線路級網(wǎng)關(guān),它工作在會話層。它在兩主機(jī)收次建立TCP連接時創(chuàng)立一個電子屏障。它作為服務(wù)器接收外來請求,轉(zhuǎn)發(fā)請求;與被保護(hù)的主機(jī)連接時則擔(dān)當(dāng)客戶機(jī)角色、起代理服務(wù)的作用。它監(jiān)視兩主機(jī)建立連接時的握手信息,如Syn、Ack和序列數(shù)據(jù)等是否合乎邏輯,信號有效后網(wǎng)關(guān)僅復(fù)制、傳遞數(shù)據(jù),而不進(jìn)行過濾。電路網(wǎng)關(guān)中特殊的客戶程序只在初次連接時進(jìn)行安全協(xié)商控制,其后就透明了。只有懂得如何與該電路網(wǎng)關(guān)通信的客戶機(jī)才能到達(dá)防火墻另一邊的服務(wù)器。
電路級網(wǎng)關(guān)的防火墻的安全性比較高,但它仍不能檢查應(yīng)用層的數(shù)據(jù)包以消除應(yīng)用層攻擊的威脅。
應(yīng)用級網(wǎng)關(guān)使用軟件來轉(zhuǎn)發(fā)和過濾特定的應(yīng)用服務(wù),如TELNET、FTP等服務(wù)的連接。這是一種代理服務(wù)。它只允許有代理的服務(wù)通過,也就是說只有那些被認(rèn)為“可信賴的”服務(wù)才被允許通過防火墻。另外代理服務(wù)還可以過濾協(xié)議,如過濾FTP連接、拒絕使用FTP放置命令等。應(yīng)用級網(wǎng)關(guān)的安全性高,其不足是要為每種應(yīng)用提供專門的代理服務(wù)程序。
兩種代理技術(shù)都具有登記、日記、統(tǒng)計和報告功能,有很好的審計功能。還可以具有嚴(yán)格的用戶認(rèn)證功能。先進(jìn)的認(rèn)證措施,如驗(yàn)證授權(quán)RADIUS、智能卡、認(rèn)證令牌、生物統(tǒng)計學(xué)和基于軟件的工具已被用來克服傳統(tǒng)口令的弱點(diǎn)。
網(wǎng)絡(luò)狀態(tài)監(jiān)控技術(shù)普遍被認(rèn)為是下一代的網(wǎng)絡(luò)安全技術(shù)。傳統(tǒng)的網(wǎng)絡(luò)狀態(tài)監(jiān)控技術(shù)對網(wǎng)絡(luò)安全正常的工作完全沒有影響的前提下,采用捕捉網(wǎng)絡(luò)數(shù)據(jù)包的方法對網(wǎng)絡(luò)通信的各個層次實(shí)行監(jiān)測,并作安全決策的依據(jù)。監(jiān)視模塊支持多種網(wǎng)絡(luò)協(xié)議和應(yīng)用協(xié)議,可以方便地實(shí)現(xiàn)應(yīng)用和服務(wù)擴(kuò)充。狀態(tài)監(jiān)視服務(wù)可以監(jiān)視RPC(遠(yuǎn)程過程調(diào)用)和UDP(用戶數(shù)據(jù)包)端口信息,而包過濾和代理服務(wù)則都無法做到。
網(wǎng)絡(luò)狀態(tài)監(jiān)控對主機(jī)的要求非常高,128M的內(nèi)存可能是一個基本的要求,硬盤的要求也非常大,至少要求9G,對SWAP區(qū)至少也要求192M以上。一個好的網(wǎng)絡(luò)狀態(tài)監(jiān)控系統(tǒng),處理的量可能高達(dá)每秒45M左右(一條T3的線路)。
網(wǎng)絡(luò)狀態(tài)的監(jiān)控的結(jié)果,直接就是要求能夠有一種交互式的防火墻來滿足客戶較高的要求。中網(wǎng)的IP防火墻就是這樣一種產(chǎn)品。
EXTRANET和VPN是現(xiàn)代網(wǎng)絡(luò)的新熱點(diǎn)。虛擬專用網(wǎng)的本質(zhì)實(shí)際上涉及到密碼的問題。在無法保證電路安全、信道安全、網(wǎng)絡(luò)安全、應(yīng)用安全的情況下,或者也不相信其他安全措施的情況下,一種行之有效的辦法就是加密,而加密就是必須考慮加密算法和密碼的問題。考慮到我國對密碼管理的體制情況,密碼是一個單獨(dú)的領(lǐng)域。對防火墻而言,是否防火墻支持對其他密碼體制的支持,支持提供API來調(diào)用第三方的加密算法和密碼,非常重要。
企業(yè)利用Internet構(gòu)筑虛擬專用網(wǎng)絡(luò)(VPN),意味著可以削減巨額廣域網(wǎng)成本,然而在VPN中確保關(guān)鍵數(shù)據(jù)的安全等因素又是企業(yè)必須面對的問題。
削減廣域網(wǎng)成本,吸引新客戶,這是當(dāng)今每一位企業(yè)主管的求勝之路。但是涉及到Internet,企業(yè)有得又有失,比如專用線路的高可靠性及安全性就是VPN需要重點(diǎn)考慮的地方。相比之下VPN比租用專線的費(fèi)用低近80%,而且可以將Internet上的多個網(wǎng)站連接起來,使企業(yè)接觸新的企業(yè)伙伴和客戶。
首先企業(yè)要明確需要與哪種WAN連接,用戶是通過LAN/WAN還是撥號鏈路進(jìn)入企業(yè)網(wǎng)絡(luò),遠(yuǎn)程用戶是否為同一機(jī)構(gòu)的成員等問題。
WAN的連接有兩類:內(nèi)聯(lián)網(wǎng)連接和外聯(lián)網(wǎng)連接。內(nèi)聯(lián)網(wǎng)連接著同一個機(jī)構(gòu)內(nèi)的可信任終端和用戶,這一類典型連接是總部與下屬辦事處、遠(yuǎn)程工作站及路途中用戶的連接。
對于內(nèi)聯(lián)網(wǎng)連接,VPN應(yīng)提供對企業(yè)網(wǎng)絡(luò)相同的訪問途徑就好象用戶或下屬辦事處真正與總部連接起來。內(nèi)聯(lián)網(wǎng)VPN執(zhí)行的安全決策通常是標(biāo)準(zhǔn)的公司決策,遠(yuǎn)程用戶至少要經(jīng)過一次認(rèn)證。
圍繞下屬辦事處,VPN要考慮的一個關(guān)鍵問題是這些辦事處的物理安全性。物理安全性涵蓋了一切因素,從下屬辦事處的密鑰和鎖,到計算設(shè)備的物理訪問,再到可訪問設(shè)施的非雇員數(shù)量等等。如果所有這一切都萬無一失,在總部和下屬辦事處之間就可以建立一個“開放管道”的VPN。這類似于LAN到LAN的連接。即不需要基于VPN的用戶認(rèn)證,因?yàn)槲覀冋J(rèn)為這樣的連接是安全的。但是,如果這些地方有問題,網(wǎng)絡(luò)設(shè)計人員就要考慮采用更嚴(yán)格的安全措施。例如,VPN需要嚴(yán)格認(rèn)證,或者將對總部網(wǎng)絡(luò)的訪問限制在某個孤立的子網(wǎng)中。
VPN對外聯(lián)網(wǎng)的安全要求通常十分嚴(yán)格,對保密信息的訪問只有在需要時才能獲準(zhǔn),而敏感的網(wǎng)絡(luò)資源則禁止訪問。由于外聯(lián)網(wǎng)連接可能會涉及機(jī)構(gòu)外人員,解決用戶的變化問題則很有挑戰(zhàn)性。從根本上說,這是嚴(yán)格政治問題。但在機(jī)構(gòu)確定用戶時,這是嚴(yán)格急需解決的技術(shù)問題。
企業(yè)網(wǎng)絡(luò)是攻擊者垂涎的目標(biāo),因此,管理層必須保護(hù)公司網(wǎng)絡(luò)免遭遠(yuǎn)程入侵。一個機(jī)構(gòu)的安全決策應(yīng)界定何種形式的遠(yuǎn)程訪問是允許的或不允許的,決策中還要確定相應(yīng)的VPN設(shè)備和實(shí)施選擇方法。
一般來說,決策者應(yīng)解決VPN特有的幾個問題:遠(yuǎn)程訪問的資格,可執(zhí)行的計算能力,外聯(lián)網(wǎng)連接的責(zé)任,以及VPN資源的監(jiān)管。另外,還應(yīng)包括為出差旅行的員工及遠(yuǎn)程工作站的員工提供的訪問步驟。當(dāng)然,決策中應(yīng)包括一些技術(shù)細(xì)節(jié),例如加密密鑰長度,如果VPN的加密算法要求公開認(rèn)證,則還需要法律的支持保護(hù)。
對外另外而言,決策中應(yīng)具體說明及時通報遠(yuǎn)程用戶人員變更的步驟,被解雇的人員必須盡快從數(shù)據(jù)庫中清除。這需要外聯(lián)網(wǎng)用戶機(jī)構(gòu)同VPN管理人員之間進(jìn)行良好的協(xié)作。通常,企業(yè)的人事部門已制定有人事管理規(guī)定,這些規(guī)定可能也適用于VPN用戶。
可選擇的VPN產(chǎn)品很多,但產(chǎn)品基本上可分成三大類:基于系統(tǒng)的硬件、獨(dú)立的軟件包和基于系統(tǒng)的防火墻。大部分產(chǎn)品對LAN到LAN及遠(yuǎn)程撥號連接都支持。
硬件VPN產(chǎn)品是典型的加密路由器,由于它們在設(shè)備的硅片中存儲了加密密鑰,因此,較之基于軟件的同類產(chǎn)品更不易被破壞.另外,加密路由器的速度快,事實(shí)上,如果鏈路的傳輸速度超過T1(1.554Mbps),這樣的VPN是名列前茅的。
基于軟件的VPN可能提供更多的靈活性。許多產(chǎn)品允許根據(jù)地址或協(xié)議打開通道,而硬件產(chǎn)品則不同,它們一般為全部信息流量打開通道,而不考慮協(xié)議要求。因流量類型不同,特定的通道在遠(yuǎn)程站點(diǎn)可能遇到混合信息流時分優(yōu)先級,例如有些信息流需要通過VPN進(jìn)入總部的數(shù)據(jù)庫,有些信息流則是在網(wǎng)上沖浪。在一般情況下,如通過撥號鏈路連接的用戶,軟件結(jié)構(gòu)也許是最佳的選擇。
軟件系統(tǒng)的問題在于難于管理,它要求使用者熟悉主機(jī)操作系統(tǒng)、應(yīng)用程序本身以及相應(yīng)的安全機(jī)制,甚至一些軟件包需要對路由表和網(wǎng)絡(luò)地址方案進(jìn)行改動。
基于防火墻的VPN則利用了防火墻安全機(jī)制的優(yōu)勢,可以對內(nèi)部網(wǎng)絡(luò)訪問進(jìn)行限制。此外,它們還執(zhí)行地址的翻譯,滿足嚴(yán)格的認(rèn)證功能要求,提供實(shí)時報警,具備廣泛的登錄能力。大多數(shù)商業(yè)防火墻還能通過剔除危險或不必要的服務(wù)加固主機(jī)操作系統(tǒng)內(nèi)核。由于很少有VPN廠商提供操作系統(tǒng)級的安全指導(dǎo),因此,提供操作系統(tǒng)保護(hù)是這種VPN的一大優(yōu)勢。
什么時候企業(yè)選擇基于防火墻的VPN呢?一般是在遠(yuǎn)程用戶或網(wǎng)絡(luò)充滿潛在敵意的時候。這時,網(wǎng)管員可建立起所謂的非軍事區(qū)(DMZ),部分,系統(tǒng)一般使用在防火墻上的一個第三方界面,并有自己的訪問控制規(guī)則。攻擊者也許能到達(dá)DMZ,但不能破壞內(nèi)部部分。基于防火墻的VPN對于僅僅實(shí)施內(nèi)聯(lián)網(wǎng)應(yīng)用的企業(yè)還是蠻好的,它是軟件產(chǎn)品中最容易保證安全和管理的產(chǎn)品。
對于這三種VPN產(chǎn)品,網(wǎng)管員還要在四個領(lǐng)域進(jìn)行考核:協(xié)議處理、IP安全支持、認(rèn)證服務(wù)器支持和加密密鑰的引出。
例如:雖然大多數(shù)公司網(wǎng)絡(luò)為多協(xié)議型,但VPN產(chǎn)品只解決IP協(xié)議的傳輸,如果其他協(xié)議如IPX或SNA需要傳送,用戶需要尋找能為這些協(xié)議加密,或者能將它們打包成IP,讓基于IP的VPN系統(tǒng)處理的方案。顯然,后一種選擇可能會降低系統(tǒng)性能。
盡管大部分VPN可保留自己的認(rèn)證數(shù)據(jù)庫,但網(wǎng)管員也希望借助于現(xiàn)有的認(rèn)證服務(wù)器。比如,許多遠(yuǎn)程訪問服務(wù)器使用下述兩種協(xié)議之一的外部系統(tǒng)來認(rèn)證用戶:遠(yuǎn)程認(rèn)證撥入用戶服務(wù)器(Radius)或終端訪問控制器訪問系統(tǒng)(Tacscs)。獨(dú)立認(rèn)證服務(wù)器的優(yōu)勢在于可收縮性,即無論增加多少臺訪問設(shè)備,一臺認(rèn)證服務(wù)器就足矣。
如果一個企業(yè)的VPN延伸到海外,網(wǎng)管員還必須解決出口問題。目前美國法律禁止128位加密算法出口,盡管未來立法可能會或多或少地放寬限制,但一般跨國經(jīng)營的美國公民可能需要部署兩個VPN系統(tǒng):一個加密功能較弱,用于國際用戶的,一個加密功能較強(qiáng),用于國內(nèi)用戶。
企業(yè)不能武斷地選擇某種VPN方案,一般要通過廣泛測試,運(yùn)行兩到三種VPN產(chǎn)品,再作出決定。企業(yè)首先要確定一個遠(yuǎn)程用戶間的測試伙伴小組,由他們測試系統(tǒng)的情況。
注意,測試小組中一定要包括各種技術(shù)工種的員工,這一點(diǎn)對于保證VPN測試的公正以及評估系統(tǒng)管理人員排除故障的能力至關(guān)重要。
成功的VPN測試包括6個方面:首先,測試VPN是否可按照機(jī)構(gòu)的遠(yuǎn)程訪問決策進(jìn)行配置;其次,測試VPN是否支持所有正在使用的認(rèn)證與授權(quán)機(jī)構(gòu);第三,驗(yàn)證VPN可有效地產(chǎn)生和分配的密鑰;第四,測試VPN是否允許遠(yuǎn)程用戶加入到公司網(wǎng)絡(luò)中,就像他們在物理上是連接起來的一樣;第五,驗(yàn)證系統(tǒng)為排除故障和提供明顯線索的能力;最后,驗(yàn)證是否技術(shù)與非技術(shù)人員同樣能輕松運(yùn)用VPN。
為企業(yè)系統(tǒng)選擇合適的硬件時,網(wǎng)絡(luò)決策者要估計系統(tǒng)用戶的總數(shù),同時舉行網(wǎng)絡(luò)會議的典型數(shù)量,以及數(shù)據(jù)的時間敏感性(它決定所需的密鑰長度)。例如對于基于軟件的VPN,假設(shè)采用三倍的DES(數(shù)據(jù)加密標(biāo)準(zhǔn))加密,使用128位密鑰、數(shù)據(jù)壓縮和信息認(rèn)證,這樣,200MHz Pentium處理器就能處理T1網(wǎng)絡(luò)連接。鑒于內(nèi)存越大,可允許同時連接的信息流越多,因此,系統(tǒng)在服務(wù)器上可以指定盡可能多的RAM。正如以上所述,速度高于T1的網(wǎng)絡(luò)連接則可能需要基于硬件的VPN。
如果廠商提供產(chǎn)品性能基準(zhǔn),網(wǎng)絡(luò)管理員注意務(wù)必了解如何進(jìn)行測試的詳細(xì)說明。為了能對不同廠商的產(chǎn)品進(jìn)行公平比較,網(wǎng)管員需考慮諸如幀長度、加密算法及密鑰長度、壓縮的使用及信息認(rèn)證算法的現(xiàn)狀。
另外,網(wǎng)管員在設(shè)計生產(chǎn)系統(tǒng)時,還要考慮備份和冗余問題,大型機(jī)構(gòu)或信息流量大的機(jī)構(gòu)也許還想考慮多服務(wù)器上的負(fù)載均衡問題。
遠(yuǎn)程用戶的從屬關(guān)系有助于確定VPN設(shè)備放置的位置。對于期望通過遠(yuǎn)程訪問復(fù)制辦事處工作環(huán)境的員工來說,VPN服務(wù)器最好直接放在專用網(wǎng)絡(luò)中,但這一方法也最易成為攻擊者的攻擊目標(biāo)。
對于員工企業(yè),如果絕大多數(shù)遠(yuǎn)程用戶屬于外部機(jī)構(gòu),將VPN設(shè)備放在DMZ網(wǎng)絡(luò)上意義更大,因?yàn)樗葍?nèi)部網(wǎng)絡(luò)更為安全,屏蔽DMZ的防火墻有助于保護(hù)其間的設(shè)備。這種方法也比將VPN設(shè)備完全放在安全設(shè)施周邊之外更安全。如果一臺認(rèn)證服務(wù)器屬于DMZ子網(wǎng),它會得到細(xì)心的管理和保護(hù),免于內(nèi)部和外部的威脅。
企業(yè)在設(shè)計安全內(nèi)聯(lián)網(wǎng)和外聯(lián)網(wǎng)時,安置VPN和認(rèn)證服務(wù)器是關(guān)鍵的一步。其中,建立與下屬辦事處的鏈路最簡單:一對VPN服務(wù)器只需在兩個站點(diǎn)間建立加密通道。因?yàn)槌霾盥眯械膯T工或遠(yuǎn)程工作站需要進(jìn)行認(rèn)證,因此,它們建立與VPN服務(wù)器的鏈路,將認(rèn)證請求傳送到DMZ上的認(rèn)證服務(wù)器。外界顧問不需要認(rèn)證,他們只需同另一臺VPN服務(wù)器連接起來,這一臺服務(wù)器應(yīng)位于第二個DMZ上,以保護(hù)公司的認(rèn)證服務(wù)器。另外值得注意的是,企業(yè)為業(yè)務(wù)伙伴進(jìn)行的連接配置最需要技巧,連接請求首先到達(dá)第二個DMZ上的VPN服務(wù)器,之后請求被傳送到第一個DMZ上的認(rèn)證服務(wù)器,最后,批準(zhǔn)的請求被傳送到請求訪問的資源中。
安裝VPN,特別是涉及IP地址管理和防火墻時,公司可能要對網(wǎng)絡(luò)上的其他設(shè)備重新進(jìn)行配置。VPN通常使用網(wǎng)絡(luò)地址翻譯器(NAT),如IETF RFC 1918中所述,NAT將專用地址(通常從一組保留的地址中選出)映射到一個或幾個在Internet上可見的地址上。
網(wǎng)管員至少要使VPN設(shè)備的配置清楚哪些地址要保留下來供內(nèi)部使用。此外,許多基于VPN的防火墻還支持動態(tài)主機(jī)配置協(xié)議(DHCP)。網(wǎng)管員需將DHCP和VPN功能協(xié)調(diào)起來,否則,客戶機(jī)可能最終將信息只發(fā)送到Internet而不是專用網(wǎng)絡(luò)上。
一些VPN設(shè)備使用虛擬網(wǎng)絡(luò)適配器將有效的IP地址分配到專用網(wǎng)絡(luò)上,如DEC公司的Altavista通道服務(wù)器,或使用由微軟公司開發(fā)的點(diǎn)到點(diǎn)通道協(xié)議(PPTP)都可以將這些地址分配到未使用的地址中,并對路由器及其他需要進(jìn)行地址更新的網(wǎng)絡(luò)設(shè)備進(jìn)行必要的修改。
如果VPN服務(wù)器在防火墻以內(nèi),網(wǎng)絡(luò)管理員還要對防火墻進(jìn)行重新配置。大多數(shù)VPN將所有信息流閉合起來,形成一股使用單一TCP端口號的信息流。這樣,防火墻需要一個類屬代理或用于傳遞封閉VPN信息 流的規(guī)則,以及允許將信息流傳送到VPN設(shè)備上的規(guī)則。
如果VPN設(shè)備位于DMZ部分的外聯(lián)網(wǎng)中,防火墻還需要一個允許加密信息流從Internet流動到DMZ上的規(guī)則,另外,還有讓應(yīng)用程序流從DMZ流動到內(nèi)部網(wǎng)絡(luò)上的規(guī)則。如果認(rèn)證服務(wù)器位于內(nèi)部網(wǎng)絡(luò)上,防火墻的配置一定要有允許DMZ和專用網(wǎng)絡(luò)間的認(rèn)證請求。
網(wǎng)絡(luò)管理員應(yīng)該注意,網(wǎng)絡(luò)中中有一個千萬不能被篡改的地方是專用網(wǎng)絡(luò)的域名系統(tǒng)(DNS)服務(wù)器,它負(fù)責(zé)專用網(wǎng)絡(luò)設(shè)備的主機(jī)名稱到IP地址的解析。如果DNS可在Internet上看到,那么攻擊者可了解專用網(wǎng)絡(luò)的布局。
對于基于軟件的VPN和那些圍繞防火墻制作的產(chǎn)品,從安全系統(tǒng)入手是根本。在安裝前從服務(wù)器中取消所有不必要的服務(wù)、應(yīng)用程序和用戶帳戶,以確保安裝的是最新的、安全的產(chǎn)品,這樣安裝VPN軟件才是安全的。
對VPN進(jìn)行配置時,網(wǎng)管員要為一系列因素設(shè)定參數(shù),包括密鑰長度、主要與次要認(rèn)證服務(wù)器及相關(guān)的共享秘密資源、連接和超時設(shè)置、證書核查VPN終點(diǎn)設(shè)備(而不是用戶)的身份,大部分VPN產(chǎn)品都提供此功能。對此,一些廠商的實(shí)現(xiàn)的方式是,讓所有信息進(jìn)入總部設(shè)備下載相關(guān)信息。而對于遠(yuǎn)程用戶,則需要建立口令,準(zhǔn)備連接腳本,確立認(rèn)證步驟。
網(wǎng)管員還要讓認(rèn)證和授權(quán)程序協(xié)調(diào)起來。兩者聽起來差不多,但有些微妙且重要的差別。認(rèn)證是要證明遠(yuǎn)程用戶是她或他聲稱的身份(在外聯(lián)網(wǎng)設(shè)置中,要證明的則相反,即服務(wù)器可信)。授權(quán)是要確定遠(yuǎn)程用戶有權(quán)訪問何種網(wǎng)絡(luò)資源。如果認(rèn)證服務(wù)器還控制授權(quán)分組,例如營銷或策劃小組的授權(quán),則系統(tǒng)還要注意核查它是否能正確地同VPN設(shè)備聯(lián)絡(luò)組信息。
這一步是要建立監(jiān)控Internet連接的機(jī)制,它可以測定VPN對網(wǎng)絡(luò)的利用和吞吐量,而且也是培訓(xùn)訪問臺員工操作VPN設(shè)備及認(rèn)識認(rèn)證服務(wù)器和防火墻互相間的影響的重要一步。另外,機(jī)構(gòu)中的所有網(wǎng)管員都應(yīng)該了解VPN的基本操作,認(rèn)識到管理VPN的人不應(yīng)該只是那些安裝和配置的人,最終用戶也需要接受Internet了解及VPN軟件工作原理的基本培訓(xùn)。而且,讓最終一接受一些基本故障排除方法的培訓(xùn),可以使他們能自己解決一些小故障。
隨著用戶對VPN的進(jìn)一步熟悉,企業(yè)可能會涉及到一些由任務(wù)決定的應(yīng)用程序,例如公司要為客戶建立一個電子商店。在這樣的情況下,備份連接是必須的,因此網(wǎng)管員在設(shè)計網(wǎng)絡(luò)階段就應(yīng)為冗余鏈路和設(shè)備制定計劃。信息流量大的站點(diǎn)應(yīng)選擇支持多設(shè)備負(fù)載均衡的VPN,原因在于提供負(fù)載均衡能力的VPN廠商非常少,目前NetScreen的防火墻產(chǎn)品支持負(fù)載均衡和流量控制的功能同時也支持冗余路徑。
即使網(wǎng)絡(luò)應(yīng)用并不重要,進(jìn)行備份也不失為避免用戶投訴的好辦法。在這方面,保留幾臺調(diào)制解調(diào)器和電話線路用于緊急情況可能就足矣。然而,這種方法的費(fèi)用較高,而且速度慢,對于LAN到LAN的連接,備份連接最好由ISDN或其他專用線路來滿足。要注意的是,一定要定期測試備份連接系統(tǒng)。
防火墻體系的采納是一個非常專業(yè)化的過程,不是一個簡單的是和非。當(dāng)然可以根據(jù)具體的情況,作出一定的安全政策,并采用某種上述特定的防火墻。但絕大多數(shù)情況是,根據(jù)具體的安全需求,通過某種體系構(gòu)架,來實(shí)現(xiàn)更高強(qiáng)度的安全體系。或者是采用包含上述功能的復(fù)合型防火墻。我們就具體的情況作一個簡單的說明:
屏蔽主機(jī)網(wǎng)關(guān)由一個運(yùn)行代理服務(wù) 雙穴網(wǎng)關(guān)和一個具有包過濾功能的路由器組成,功能的分開提高了防護(hù)系統(tǒng)的效率。
一個獨(dú)立的屏蔽子網(wǎng)位于Intranet與Internet之間,起保護(hù)作用。它由兩臺過濾路由器和一臺代理服務(wù)主機(jī)構(gòu)成。路由器過濾掉禁止或不能識別的信息,將合法的信息送到代理服務(wù)主機(jī)上,并讓其檢查,并向內(nèi)或向外轉(zhuǎn)發(fā)符合安全要求。
來源:巨靈鳥 歡迎分享本文