摘要 隨著INTERNET在中國的進一步發展,上網對于許多人已經成為生活中必不可少的一部分,新老網民們通過網絡來查找資料、交流信息。對于企業而言,網絡更是占有舉足輕重的地位,電子商務已經有逐步取代傳統企業經營方式的趨勢。但網絡在給我們極大便利的同時,也給我們另外一個棘手問題,就是“黑客”。
由于INTERNET的本身設計缺陷及其開放性,使其極易受到黑客的攻擊。根據美國有關安全部門統計,因特網上98%的計算機受到過黑客的攻擊分析,50%的機器被黑客成功入侵,而被入侵機器有20%的管理員尚未發現自己被入侵。網絡的安全性已成為阻礙因特網在全球發展的重要因素之一。最近,大量病毒大肆橫行,給世界許多國家造成巨大的損失。所以越來越多的人認識到網絡安全的重要性。本文先是介紹了網絡信息安全的涵義和黑客的一般攻擊手段,然后通過一個具體的企業網實例詳盡闡述了如何合理布置網絡架構來進行有效的防護。
關鍵詞:網絡信息安全 網絡安全架構 黑客 NETEYE VLAN TRUNK
一.網絡信息安全的涵義
網絡信息既有存儲于網絡節點上信息資源,即靜態信息,又有傳播于網絡節點間的信息,即動態信息。而這些靜態信息和動態信息中有些是開放的,如廣告、公共信息等,有些是保密的,如:私人間的通信、政府及軍事部門、商業機密等。網絡信息安全一般是指網絡信息的機密性(Confidentiality)、完整性(Integrity)、可用性(Availability)及真實性(Authenticity)。網絡信息的機密性是指網絡信息的內容不會被未授權的第三方所知。網絡信息的完整性是指信息在存儲或傳輸時不被修改、破壞,不出現信息包的丟失、亂序等,即不能為未授權的第三方修改。信息的完整性是信息安全的基本要求,破壞信息的完整性是影響信息安全的常用手段。當前,運行于互聯網上的協議(如TCP/IP)等,能夠確保信息在數據包級別的完整性,即做到了傳輸過程中不丟信息包,不重復接收信息包,但卻無法制止未授權第三方對信息包內部的修改。網絡信息的可用性包括對靜態信息的可得到和可操作性及對動態信息內容的可見性。網絡信息的真實性是指信息的可信度,主要是指對信息所有者或發送者的身份的確認。
前不久,美國計算機安全專家又提出了一種新的安全框架,包括:機密性(Confidentiality)、完整性(Integrity)、可用性(Availability)、真實性(Authenticity)、實用性(Utility)、占有性(Possession), 即在原來的基礎上增加了實用性、占有性,認為這樣才能解釋各種網絡安全問題:網絡信息的實用性是指信息加密密鑰不可丟失(不是泄密),丟失了密鑰的信息也就丟失了信息的實用性,成為垃圾。網絡信息的占有性是指存儲信息的節點、磁盤等信息載體被盜用,導致對信息的占用權的喪失。保護信息占有性的方法有使用版權、專利、商業秘密性,提供物理和邏輯的存取限制方法;維護和檢查有關盜竊文件的審記記錄、使用標簽等。
二.攻擊網絡安全性的類型
對互聯網絡的攻擊包括對靜態數據的攻擊和對動態數據的攻擊.對靜態數據的攻擊主要有: 1. 口令猜測:通過窮舉方式搜索口令空間,逐一測試,得到口令,進而非法入侵系統。 2. IP地址欺騙:攻擊者偽裝成源自一臺內部主機的一個外部地點傳送信息包,這些信息包中包含有內部系統的源IP地址,冒名他人,竊取信息。 3. 指定路由:發送方指定一信息包到達目的站點的路由,而這條路由是經過精心設計的、繞過設有安全控制的路由。
根據對動態信息的攻擊形式不同,可以將攻擊分為主動攻擊和被動攻擊兩種。 被動攻擊主要是指攻擊者監聽網絡上傳遞的信息流,從而獲取信息的內容(interception),或僅僅希望得到信息流的長度、傳輸頻率等數據,稱為流量分析(traffic analysis)。被動攻擊和竊聽示意圖如圖1、圖2所示: 
除了被動攻擊的方式外,攻擊者還可以采用主動攻擊的方式。主動攻擊是指攻擊者通過有選擇的修改、刪除、延遲、亂序、復制、插入數據流或數據流的一部分以達到其非法目的。主動攻擊可以歸納為中斷、篡改、偽造三種(見圖3)。中斷是指阻斷由發送方到接收方的信息流,使接收方無法得到該信息,這是針對信息可用性的攻擊(如圖4)。篡改是指攻擊者修改、破壞由發送方到接收方的信息流,使接收方得到錯誤的信息,從而破壞信息的完整性(如圖5)。偽造是針對信息的真實性的攻擊,攻擊者或者是首先記錄一段發送方與接收方之間的信息流,然后在適當時間向接收方或發送方重放(playback)這段信息,或者是完全偽造一段信息流,冒充接收方可信任的第三方,向接收方發送。(如圖6)
作為一個企業網,不管他是什么性質的公司,通常能見到如WEB、MAIL、FTP、DNS、 TELNET等,當然,也有一些非通用,在某些領域、行業中自主開發的網絡應用服務。我們通常所說的服務器,既是具有網絡服務的主機。網絡應用服務安全,指的是主機上運行的網絡應用服務是否能夠穩定、持續運行,不會受到非法的數據破壞及運行影響。網絡安全的威脅來自多個方面,主要包括:操作系統安全、應用服務安全、網絡設備安全、網絡傳輸安全等等,以下我們就網絡應用服務與其它安全問題做一比較.
操作系統安全問題
操作系統安全指的是一個操作系統在其系統管理機制實施中的完整性、強制性、計劃性、可預期性不受干擾、破壞。如操作系統的用戶等級管理機制、文件讀取權限管理機制、程序執行權限管理機制、系統資源分配管理機制等。操作系統安全問題的來源主要表現在系統管理程序編寫失誤、系統配置失誤等方面。其安全問題主要體現在抵御和防范本地攻擊。攻擊行為通常表現為攻擊者突破以上的一些系統管理機制,對系統的越權訪問和控制。
網絡設備安全問題
網絡設備的安全指的是網絡設備是否能長期、持續、穩定地完成其特定的功能和任務。由于網絡設備提供的功能相對操作系統而言大大簡化,因此管理程序編寫失誤方面的系數大大降低,其安全問題主要來自于系統配置方面的失誤。攻擊行為主要表現為突破系統控制權身份驗證機制,惡意地修改系統配置。
網絡應用服務安全問題的特點
每一個網絡應用服務都是由一個或多個程序構成,在討論安全性問題時,不僅要考慮到服務端程序,也需要考慮客戶端程序。服務端的安全問題主要表現在非法的遠程訪問,客戶端的安全問題主要表現在本地越權使用客戶程序。由于大多數服務的進程由超級用戶守護,許多重大的安全漏洞往往出現在一些以超級用戶守護的應用服務程序上。
三、網絡安全的架構,我們以某公司為例來具體說明:
網絡安全的目標是通過系統及網絡安全配置,防火墻及檢測預警、安全掃描、網絡防病毒等軟、硬件,對出入口的信息進行嚴格的控制;對網絡中所有的裝置(如Web服務器、路由器和內部網絡等)進行檢測、分析和評估,發現并報告系統內存在的弱點和漏洞,評估安全風險,建議補救措施,并有效地防止黑客入侵和病毒擴散,并能監控整個網絡的運行狀況。
為了最大限度地減低公司內部網的風險,提高其安全性,采用可適應安全管理解決方案。
可適應性安全管理模型針對企業的安全威脅和進攻弱點,通過通信數據加密、系統掃描、實時監控,檢測和實時響應、實施群安全策略,提供端對端的完整安全解決方案。與之相對應,通信數據傳輸加密、檢測、響應、監控等,每個環節都有相應的產品,該模型能夠最大限度地減低企業的風險。我們首先來分析一下“黑客”入侵的手段和途徑,作為一個入侵者,他的第一步自然是先要找到目標企業在網絡中的位置,假設他已經知道該企業沒有使用主機托管服務,而是和企業的網絡放在了一起,那么他只須ping一下該企業的主頁就能了解到該企業的IP地址為xxx.xxx.xxx.001和xxx.xxx.xxx.002,而另外還有一臺DNS服務器,也可以使用nslookup這樣的工具,一下就能查到目標企業的DNS服務器為地址xxx.xxx.xxx.003,并且他還會計劃假設已經進入以上三臺服務器中的一臺,他就會馬上分析網絡結構,并且進入內網,獲取內部網絡員工資料,以及很多重要數據。從上面看得出來,要保護這個網絡,我們需要做很多東西,首先我們可以想辦法對服務器之間以及服務器和內部網絡之間進行隔離,但又能應用到他們應該有的功能,現在對該企業的網絡做如下策劃: 其整體安全策略為:
1、網絡傳輸安全 保證網絡傳輸的安全。 2、網絡安全性檢測 采用漏洞掃描系統對系統進行漏洞掃描,保證企業聯網在最佳的狀態下運行。 3、防攻擊能力 采用入侵檢測系統對網絡進行監測和預警保證企業聯網防止外界攻擊的能力。 4、防病毒能力 采用網絡防病毒系統對網絡病毒進行防治,保證企業聯網防病毒能力。 建立分層管理和各級安全管理中心。
用戶設備情況:用戶擁有幾百臺PC機、一臺準備用作DNS SERVER和EMAIL SERVER的服務器、一臺CISCO的5500交換機、和一臺CISCO的7500路由器。另外,其打算聯入INTERNET 的電信線路和廣域網路由器.
用戶要求:通過防火墻保證內部網的最大安全,并一定程度上保證服務器的安全;內部網各個PC機可以上INTERNET。將CISCO的5500交換機劃分若干VLAN ,并利用CISCO的7500路由器做TRUNK來為各個VLAN 做路由(7500除此以外,還有其他用途)。
根據用戶具體情況,可有如下網絡結構: 
網絡的實現:
該結構基本上說,是防火墻的典型接法,其實現較為簡單。同時,用戶希望各個PC機都能夠實現上INTERNET,所以,可以讓防火墻工作在路由模式下,并提供NAT地址轉換功能,為內部網的客戶機提供所謂的代理功能。因為,用戶要在CATALYST5500上為底下眾多PC機劃分不同的VLAN,而同時,又用CISCO7500路由器,在防火墻內部做TRUNK為各個VLAN 做路由。也就是說,真正的TRUNK數據包并沒有通過防火墻,所以,防火墻也應是屬于其中一個VLAN ,這樣,才能與其它VLAN 進行通信,即:其它VLAN 的機器可以找到并通過防火墻上INTERNET。當然,這時的CISCO7500路由器就需要有一些必要的設置和配置;首先,要在接口設好ISL或802.1Q的封裝,保證VLAN之間的通信, 當然,這時,防火墻所在接口也是一個VLAN;然后,在7500上指定默認路由為防火墻所在VLAN的網段,這樣,就保證用戶在上網或要發郵件時,7500能將客戶端所發的數據包,送到防火墻,進而,送到DMZ區的郵件服務器或送出到INTERNET上。
安全性的實現:
l. 由于NETEYE防火墻產品自身的強大功能,給該網絡提供了最大的安全保障。其核心所具有的Stateful 動態包過濾和防Dos 攻擊的功能,可以在基本上給網絡有一個安全保證。伴有對網絡工作的實時監控和強大統計、審計功能,也使一些不安全因素能夠早發現早處理。
2. NetEye防火墻支持各種網絡協議,例如DNS、finger、FTP、Gopher、HTTP、IRC、NNTP、Quicktime、RealAudio、SMTP、TELNET、Internet Phone等網絡協議,NetEye同時是國內支持多媒體數據進行實時點播最好的防火墻系統,支持CISCO、SGI等多媒體點播協議,例如OSPF、IGMP等廣播協議。對各種常用應用系統例如Oracle、Notes、SQL Server等完全支持。
3. NetEye防火墻對遠程接入用戶提供先進的一次性口令身份認證過程,可以使用防火墻自身的認證系統也支持第三方采用協議為RADIUS TACACS/TACACS+等認證服務器。
4. 網絡地址轉換NAT功能是NetEye防火墻完備的功能之一,在大量的實際應用中證明穩定可靠。在銀行信息網絡中通過NAT功能實現內部網用戶訪問外Internet 資源,實現透明應用代理,為內部網提供對外的安全通道。通過NAT功能保證DMZ區的各種網絡服務器對外提供各種服務,NetEye防火墻的NAT功能作為DMZ區與外部訪問者之間的橋梁,保證外部訪問者不能直接連接應用服務器,從而保證信息網的安全。
5. NetEye防火墻如同網絡上的監視器,可以輕松記錄內部網每一位用戶的訪問情況,同時可以對網絡的各種使用情況進行統計生成各種報表、統計圖、趨勢圖等。NetEye具有實時入侵檢測系統,完全實現防患于未然。能夠對各種網絡攻擊方式進行識別例如網絡協議異常、拒絕服務攻擊DOS、網絡掃描、網絡欺騙、地址盜用等,同時以郵件方式對系統管理員進行報警。 NetEye防火墻的實時監控系統能夠了解防火墻當前的工作狀態,同時了解網絡的通訊情況與攻擊的詳細信息。
6. NetEye防火墻具有一個優秀的功能,就是能夠將一臺企業內部終端設備的網卡MAC地址與它的網絡IP地址進行捆綁,完全實現兩者的一一對應。當信息網內部有人私自篡改IP地址妄圖盜用他人上網費用時,由于其IP地址與MAC地址不匹配,NetEye防火墻拒絕其通過,禁止其訪問同時向系統管理員進行郵件報警。
安全性的實現:
由于NETEYE防火墻產品自身的強大功能,給該網絡提供了最大的安全保障。其核心所具有的Stateful 動態包過濾和防Dos 攻擊的功能,可以在基本上給網絡有一個安全保證。伴有對網絡工作的實時監控和強大統計、審計功能,也使一些不安全因素能夠早發現早處理。
在CISCO5500上劃分VLAN 不但可以隔離廣播,減少廣播風暴;同時,可以將各個部門或組織從邏輯上分開,提高了安全性。而此時,防火墻也是其中一個VLAN。那么可以說,為內部網的安全又多提供了一層保護。
當用戶內部網的客戶機具有不同權限時,需要對具有高權限的IP進行限制,即:需要進行IP和MAC綁定,但由于各VLAN 的數據包通過了路由器,其MAC地址已發生變化,則防火墻的IP和MAC綁定不能實現。然而,通過用防火墻的客戶端認證功能,不但,能替代IP和MAC綁定功能,而且,可以在其他的應用上靈活使用。
將為外面提供服務的EMAIL SERVER 服務器置于防火墻的DMZ區(非軍事區),和內部網隔離開這樣,可以保證外界的訪問只有通往DMZ的路徑,而對于內網的訪問,則是絕對不予許的。另外,在DMZ區也只將EMAIL服務器的SMTP 25和POP3 110端口以及DNS的53端口打開。這樣,其安全性將大大增加,同時,對于防火墻的配置也是簡單、清晰。
需要注意的問題: 由于防火墻的外網接入INTERNET,其包括的IP地址近似無窮多,所以,防火墻上的默認網關,自然應該指向外網口。
另外,防火墻的外網由于聯入INTERNET,所以,應具有一個合法IP地址。EMAIL SERVER 和DNS 服務器由于要為與外界聯系而提供服務,所以也應具有一個合法IP。又因為防火墻在路由模式下各安全區應在不同網段,那么,DMZ區和外網就會帶來一些問題。我們可以通過劃分子網和把DMZ區的機器做NAT地址映射來解決這個問題。
結束語
網絡安全是網絡管理的重要內容。對于一個企業,我們首先要設計好網絡構架,在設計的同時要考慮到各個服務器以及內部網絡各放在什么位置。合理的網絡配置能夠增強網絡安全。可以預見到加密技術和VLAN、VPN、防火墻的合理配置使用,必將使網絡得到很好的保護。
參考標準及文獻:
1983 美國國防部(DoD)橘皮書:互信任計算機系統評估(TCSEC) 1987 紅皮書:互信任系統評估標準(TNI)的互信任網絡詮釋 1988 ISO 7498/2安全體系 1989 IT安全標準目錄(ZSI信息技術安全標準,德國) 1991 TSEC1.2(信息技術安全評估標準)關于信息系統安全的歐洲標準目錄 梅杰, 許榕生. Internet防火墻技術最新發展. 微電腦世界. 1996, 6:27-30 Computer and Network Security Lecture 1—24 《Security Mechanisms in High-Level Network Protocols》Victor L. Voydock and Stephen T. Kent 水木清華bbs站系統安全版,一網情深bbs站系統安全版
