目前,安全已經象一家快餐店的法式油炸食物一樣,無論需要它總是會同出現在你的菜單之中。這不總是壞事,但是如果網絡中的每一台設備都配置了各自的安全設置,那很可能會造成一些混亂。不同的安全設置有些互不兼容,從而出現一些無法意料的後果。 下面我將針對不同設備組成的網絡環境給出一些建議。 作者按 許多相異的網絡設備具有不同安全設置,而至今還沒有一個即定的方法來解決這個問題。本文的目的就是希望能給您在提出一些通用的理論的同時提供一個具體的例子,以便您能應用到你的實際應用中。 防火牆 網絡中不同的設備如果都能正確配置不同的安全設置,就能形成一個深入的具有多層防護功能的安全系統,這意味著如果黑客想獲得系統內的重要文件就要面臨不同的障礙。但是一些網絡管理員往往忽視這一點,並沒有建立多道安全防護設置。 我曾經有一位同事,他不喜歡防火牆。他認為防火牆會使管理員放松警惕,錯誤的認為網絡是安全的。采用防火牆的管理員有時候會認為防火牆絕對安全,從而將其防火牆作為第一道也是最後一道防護線。而我的那位同事不僅堅持在每一台服務器上設置防火牆,而且還對每一項服務都設置安全防護以避免被攻擊。那可能是我至今見到的最安全的的網絡環境。因此,我認為在所有設備上正確設置防火牆並不意味著絕對安全,有了防火牆也不能就此放棄其他防護措施。 實際上,真正的網絡安全包括一整套安全解決方案,它是經過精心設計的包括企業全方位的安全環境。當經過全面考慮和實施後,同類型的網絡環境安全防護計劃將可以幫助整個網絡避免各類攻擊。 理論假設 同雪花一樣,世界上沒有完全相同的兩片雪花,也沒有完全相同兩個網絡系統。因此在一篇文章中,我不可能詳細列出同您的網絡完全一樣的安全設置。因此在接下來的部分中,我將以一個普遍的網絡為例來說明如何進行安全設置,見下圖A。通過對一般網絡環境中的安全設置,您將可以針對自己的網絡進行設置。 圖A
這是一個沒有安全設置的網絡圖示 在這個一般網絡環境中,我將作以下一些假設: · 網絡中沒有防火牆 · 網絡中的所有IP地址都是公共IP地址,路由地址如圖所示 · 企業服務器系統為windows 2000 和 IIS 5.0 · 客戶機運行不同的操作系統,包括Red Hat Linux、Windows 2000專業版和Windows XP專業版,其中大部分為Windows XP系統。 設置防火牆 有兩種方式來建立安全網絡環境:從內部建立和從外部建立。這裡我指的是從網絡的哪個方向開始建立安全環境。以下我將從解釋從外部建立的方法,這種方法用於不同類型設備組成的的網絡中較好一些。 第一道程序就是在路由器和交換機之間安裝防火牆。在路由器和交換機之間安裝防火牆比重新更換一台具有防火牆功能的路由器要復雜許多,而且有可能留下了一個安全漏洞。如下圖B所示,我將安裝思科PIX防火牆。 圖B
第一項任務安裝防火牆 你可能會注意到在路由器和防火牆之間,我又安裝了一個集線器。這個集線器具有多個網絡功能,你可以外掛一台運行某類侵入探測系統(IDS)的服務器,從而可以分析接入互聯網的所有進入和外出的信息量。 此外,在圖上你也可以看到與以前不同的是這裡使用的不再是公共TCP/IP地址,我已經在防火牆後重新為所有設備設定了B類私有IP地址。 其他安全組件 在安裝了防火牆和修改了一些設置以後,還應該對網絡中其他一些設備也進行安全防護設置。這是一個系統的過程,需要對網絡中每一台設備進行各自的安全設置。按照本文中的一般網絡來說,這需要做以下一些工作: · 在IIS服務器上采用IIS鎖定工具,有關該內容參見IIS服務器安全鎖定 · 為網絡中所有操作系統安裝安全hotfixes和rollup包,其中包括Windows 2000 Rollup 和 IIS Security Rollup包 · 利用IP地址表對Linux工作站和服務器進行安裝設置。 · 利用一些工具,如Windows Baseline安全分析軟件來檢查網絡中Windows服務器和工作站設置是否安全。 總結 由於網絡安全系統往往被分離成許多零散的方法或者說部件,從而不易於了解整個網絡安全特性。筆者在這裡所提到的也僅僅是冰山一角,此外還有方法可以提高網絡安全性,例如用戶可以利用AIDE安全探測系統對Linux服務器進行檢查;在Windows中可以通過Windows 2000服務器接入控制目錄表來阻止一些非法接入使用。
來源:ZDNet
