在一个现代的,具有基本的电子商务模式的企业中,关键性应用所依赖的软件、硬件和网络被称为IT基础设施。IT基础设施通常遵循开放的标准,易于集成,不需要太多额外的开发工作就可以投入使用。典型的IT基础设施包括网络架构、基本网络服务(如DNS, DHCP)、Web服务和文件服务等。
网络架构是IT基础设施的重要组成部分。随着业务流程对网络架构的依赖逐步加深,如何构建一个安全、可靠、灵活的网络已经不再仅仅是一个IT问题。CIO, 甚至CEO将会越来越多地关心企业中网络环境的情况。
今天,越来越多的机构,无论它们从事何种业务,也无论它们有多大的规模,开始从Internet接入中获益。但是接入Internet同样意味着风险。在您为员工,客户和业务伙伴提供信息访问服务的同时,您也为全世界铺设了访问您机构中的隐秘信息的道路。在各大媒体上,关于黑客入侵导致泄密的报道屡见不鲜。有些时候,来自网络的攻击会导致部分或整个网络服务停止工作,并进一步影响到您的关键性应用。最近一年以来的冲击波、震荡波等病毒的大规模发作就是很典型的例子。
网络安全的变革
在传统的网络安全模式中,人们着眼于如何将入侵者阻挡在机构的网络之外。在这种模式中,经常被使用的工具有来自不同厂商,使用各种技术的路由器,防火墙,病毒过滤器等等。随着Web技术和电子商务的发展,您可能需要从前被归于“入侵者”一类的人(比如您的客户,您的合作伙伴,或是出差在外的员工)通过可控制的手段来访问您的网络中的特定的信息。他们不会像“自己人”一样从内部网络发起访问请求,他们的请求来自Internet。
Internet的设计本身毫无安全性可言。您机构中的安全策略和安全工具完全没有办法去控制Internet上的信息流。您的路由器,防火墙和病毒过滤器等工具仍然可以在内部网络中为防御垃圾邮件,病毒和木马等等做贡献,但在防止客户、员工和业务伙伴对未授权的信息的访问方面,如果不改变它们的使用方法,它们帮不上什么忙。
新的网络安全模式要求您首先分析自己机构的网络,并从中找出不同业务、数据和安全策略的分界线。您需要在这些分界线上构建安全防御。这些分界线通常被称为“边界网络”。
构建边界网络
构建边界网络需要用到防火墙。一个防火墙是一个软件和硬件的组合,它决定什么样的信息可以被允许通过某一个网络。防火墙通常和路由器结合使用以在不同的网络之间建立安全边界。以下我们介绍几种常见的防火墙类型。
a. 包过滤防火墙
包过滤防火墙检查每一个通过它的网络包头,并根据包头中的信息来决定是否允许这个包的转发。包过滤防火墙的功能十分有限,因为它不会去检查应用层的信息,也不会去跟踪信息交换的状态。但功能简单的特性同时也决定了它是所有防火墙技术中性能最好的。
在实际应用中,包过滤防火墙常常会改变包头中的地址信息从而使转发的包看起来像是来自于不同的计算机。这种改变技术叫做网络地址转换(NAT),这种方法可以用来对不信任的网络隐藏本地网络的配置信息。
b. 链路型防火墙
链路型防火墙只转发连接请求包和已经建立的连接的包。这种防火墙跟踪每一个信息交换连接的状态,并根据预设的安全策略来决定哪些连接是被允许的。它比包过滤防火墙要复杂,也常常和NAT技术结合使用。
c. 应用层防火墙
这种防火墙检查所有网络包的内容并且工作在OSI七层协议模型的应用层。在这种防火墙看来,它接受和转发的不是单个的网络包而是完整的信息流。它会将网络上传递的信息完整地提取出来,然后根据预设的安全策略来决定是否转发,或者是否更改后转发。应用层防火墙通常以具备特殊用途的软件形式出现,并且常常使用代理服务器模式而不允许网络信息直接通过。有些企业级的病毒防火墙也是应用层防火墙的实现。
应用层防火墙通常具有很强的日志记录和审计功能,所以它们可以和入侵检测系统结合使用来提供攻击行为的纪录。
应用层防火墙的功能最复杂,性能开销也最大。有关日志记录和审计的I/O能力对应用层防火墙来说至关重要。
d. 动态包过滤防火墙
除了安全策略设置外,动态包过滤防火墙使用一个数据库来决定是否允许信息通过。它会记录发出的包的特性,以便核对接收到的包是否能与合理的连接请求过程吻合。这种防火墙能够有效地抵御端口扫描。
网络结构
我们建议您使用集成的,基于开放标准的网络设计模型来作为您调整网络结构的参考。使用这种模型可以帮助您避免难以预见的安全风险。
下图的模型就是MASS域概念在网络结构上的应用。
在这里我们简单地回顾一下这些MASS域的定义。
a. 不受控区域。这部分区域不受您的机构控制。来自不受控区域的访问可以通过多种渠道。
b. 受控区域。存在于不受控区域与限制区域之间。又称为非军事区(DMZ)。
c. 限制区域。只有被授权的人员才能访问,与Internet没有直接连接。
d. 安全区域。只有极少数被高度信任的人员才能够访问。被授权给一个安全区域并不意味着被授权给所有安全区域。
e. 外部控制区域。由其它组织控制的区域,数据的保护措施不能十分受信任。
这些定义与我们建议的网络结构模型对应如下:
a. Internet--不受控区域
b. Internet DMZ--受控区域
Internet DMZ中通常包括Internet可以直接连接的主机和多个防火墙,它可以被认为是一个内部和外部网络的缓冲区。这种设计使您在不同的层面上来控制网络上的信息交换(如Internet和DMZ之间,DMZ和内部网络之间等等)。
c. 生产区域--限制区域
这个区域包含这只有少数被授权人才能访问的网络服务。它可以与DMZ和Intranet通过防火墙连接。
d. Intranet--受控区域
与DMZ类似,这里包含着受控的,但能够连接到Internet的业务和计算机。
e. 管理网络--安全区域
运行只为少数被授权员工提供的业务。
下图是一个基于这种模型的网络架构实例。
