| 安全性的不同形式 |
|
|
| 本站专稿 重庆金桥 2002-01-07 |
Internet的最初开发者设计Internet是为了抵制某种灾难。他们认为的灾难包括设备的损坏、电缆的破裂和电源的泄露。但糟糕的是,Internet和与Internet相连的网络却需要额外的技术来防止侵犯,从而保护用户秘密、公司数据和公司安全性。幸运的是,您可以购买及配备多种硬件和软件解决方案来达到保护网络的目的。从物理上保护网络并防止侵扰,您必须采取最重要的步骤之一是:通过硬件设计来专门保护您的网络。
技术指导:了解BASTION主机
如果您已阅读过许多关于防火墙的资料,您将经常碰到“BASTION HOST”这一术语。bastion主机的名字来源于一个用来描述城堡围墙的中世纪术语。bastion是在防卫墙里专门设防的地方,即专门设防以反对网络进攻。网络防御的第一步,是网络设计者应把bastion主机放置于网络中。bastion主机为网络和INTERNET之间的所有通信提供了一个阻塞点(CHLKE-POINT)。换句话说,如果不通过bastion主机,在您的网络上没有计算机可以访问INTERNET;同样,如果不通过bastion主机,在Internet上没有计算机可以访问您的网络。如果您通过一台计算机来集中网络权限,可以非常容易地掌握网络安全性。而且,通过仅使一台计算机能够访问Internet,可以更容易地配置适当的软件以保护网络。
大多数UNIX环境,包括LINUX,对维护bastion主机非常合适而且经济实惠。在UNIX环境下,如果您因为工作站或服务器的价格而为难,则可以设置一台bastion主机(它与Intel的80486一样便宜),因为操作系统已经有能力来提供 并配置IP防火墙。另外由于减少了一台具有防火墙能力的路由器而省的钱(因此不必购买网络的附加设备,这样可能节省$180,000或更多),当您配置和监测IP通信时,您将从整个由您支配的UNIX环境中受益。
一、防止外部侵扰
许多公司提供给雇员访问扩展(extended)网或内部网的权限,隔一段时间,又授权雇员可以访问Internet。如果公司的雇员可以访问Internet,公司就应该把通过防火墙Internet与您的网络相连。防火墙结合硬件和软件来保证两个或更多网络互连的安全性。防火墙为安全性管理提供一个中央位置。典型的防火墙由一台bastion主机组成。计算机用户有时把 bastion主机作为 Internet服务器,并且它可以是您已拥有的任何计算机。
除了传统的防火墙硬件和软件外,您可以使用一种叫作屏蔽路由器的设备从而获得更好的安全性。屏蔽路由器使用硬件和软件筛选出基于您指定的条件的数据库。您也可以使用一台现成的PC或Unix计算机来作为屏蔽路由器。
在通过正确配置防火墙和结合使用bastion主机以及路由器,您可获得全部的安全性,从而防止基于INTERNET的侵扰者。另外,在您的办公室里,正确利用防火墙,将给您带来更高的部门安全性。
技术指导:了解屏蔽路由器
屏蔽路由器是一种特别的计算机或电子设备,这能筛选出基于您所定义条件的相应数据包。屏蔽路由器可以是实际的PC或工作站,或者是由您远地编程实现的电子设备。通过使用路由器专门的软件或硬件选择控制,您可以在路由器中制定筛选的条件。如果您购买了一台商业的屏蔽路由器,那么它通常包括您所需要的软件。您再利用屏蔽路由器软件来给自己的路由器编程。通过下列两个FTP网址中任何一个来找到这些程序:
PC文件:ftp://ftp.net.ohio.edu/pub/kbridge
Unix 文件:ftp://ftp.cisco.com/pub/acl-example.tar.gz
给屏蔽路由器编程相对来说是简单的。您在制定完安全性策略以后,测检中包括哪些用户可以通过路由器访问和那些用户可以访问的协议,通过在路由器特殊文件中列出一系列规则来给路由器编程。这些规则是路由器安全性策略指令方式的等价体。换句话说,这些规则告诉屏蔽路由器应该如何处理每一个接收到的数据包,这是由包的头确定的。例如,您可以指定一条规则来堵塞来自未知用户的IP传输,但是仍然让Internet控制报文协议(ICMP)传输(例如,基于SNMP的E-MAIL)进入局域网。当您对路由器完成编程后,可以把它放在本地网和您正在防御的网络之间(或者另一个局域网,或者Internet)。于是,屏蔽路由器,将对这两网络间的所有通信进行屏蔽。请记住,您的屏蔽路由器只把您的网络在物理上连接到其他网络上(最通常的是Internet)。
二、防止内部系统的侵犯
由于您必须保护网络不受未授权INTERNET用户访问,所以应该经常在您的网络内的各种部门(例如,会计和销售)之间提供保护。通常,您构造网络的目的是保护每个部门的机密文档不受外部侵犯,其中无论是Internet层的用户还是另一个部门的网络用户都被拒绝。在大多数情况下,相对来自网络内部的侵犯而言,您可能更注意保护您的文档不受来自网络外部的敌意侵犯。然而,在一个“需要知道”的原则基础上构造您的网络,这对于您是最有益的。换句话说,如果用户不必访问某一信息,用户则不应该有权去访问该信息。
抛开内部安全性的考虑,您会发现防火墙通常仅提供在您网络内所需要的安全性。另外,用于防御Internet用户的防火墙非常类似于用来保护每个部门文档的防火墙。它使用一台带有3块网卡的主机来保护三个部门不受相互间随意的(或颠覆的)侵扰。
|
|
|
|
|
 |
|
|
|
|
|
|
|
