论网络安全的基本原理

1网络安全的基本原理第101号白皮书作者：ChristopherLeidigh2摘要安全事故的数量每一年都在以惊人的速度增加。安全威胁的复杂程度越来越高，因此，必须采取安全措施来保护网络。如今，为了安全地部署和管理网络，数据中心工作人员、网络管理人员以及其他数据中心专家都需要掌握基本的安全知识。本白皮书阐述了网络系统的基本安全知识，包括防火墙、网络拓扑和安全协议等。此外，还给出了最佳方案，向读者介绍了在保护网络安全中某些比较关键的方面。3简介要保护现代商业网络和IT基础设施的安全，不仅需要端对端的方法，还必须充分了解网络中所存在的弱点以及相关的保护措施。虽然这些知识并不足以阻挡住所有网络入侵或系统攻击企图，但可以使网络工程师排除某些常见问题，大量减少潜在的危害并迅速检测出安全性漏洞。随着攻击数量的日益增加以及复杂程度的不断提高，无论是大企业还是小公司，都必须采取谨慎的步骤来确保安全性。图1显示了历年来安全事故次数的显著上升趋势，数据取自CERT®CoordinationCenter（一家互联网安全专业技术中心）。图1–历年来发生的安全事故次数–CERT.ORG本白皮书除介绍安全基础知识之外，还提供了一些有关网络、计算机主机和网络基础设施元素的最佳方案。由于不存在“确保安全的唯一方法”，因此，哪些措施最为合适要由读者/工程人员自己做出最正确的判断。©1998-2003byCarnegieMellonUniversity西安数字技术学院毕业论文（设计）2年份报告的安全事故次数82,09455,10021,7569,8593,7342,4122,5732,1342,34019951996199719981999200020012002200390,00085,00080,00075,00070,00065,00055,00050,00060,00045,00040,00030,00025,00035,00020,00015,0005,000010,000100,00095,0004人的问题在任何安全方案中，人确实都是最薄弱的环节。很多人都不认真对待保密的问题，譬如，不重视对密码和访问代码的保密，而这些正是大多数安全系统的基础。所有安全系统均依赖于一套控制访问、验证身份并防止泄漏西安数字技术学院毕业论文（设计）3敏感信息的方法。这些方法通常涉及一个或多个“秘密”。如果这些秘密被泄漏或偷窃，那么由这些秘密所保护的系统将受到威胁。这看起来似乎是再明显不过的事实，但可惜大多数系统都是以这种非常低级的方式被攻击的。譬如，将写有系统密码的便笺粘在计算机显示器的一侧，这种行为看起来十分的愚蠢，但事实上，很多人都有过这样的举动。另一个类似的例子，某些网络设备仍保留着出厂时的默认密码。此类设备可能包括UPS的网络管理接口。在安全方案中，无论是小型UPS还是足以为100台服务器供电的大型UPS，都往往是被忽略的环节。如果此类设备仍沿用默认的用户名和密码，那么，即使是除设备类型及发布的默认凭据之外一无所知的人，要获得访问权限也只是时间问题。如果服务器群集中的每台Web服务器和邮件服务器的安全协议都坚不可摧，整个系统却因为一个无保护的UPS的简单关机操作被击垮，该是多么令人震惊！安全性，进入正题一家安全的公司，无论大小，都应当采取适当步骤保护安全性，步骤必须全面而完整才能保证其有效性。但大多数公司机构的安全性策略及其实施都未达到此标准。造成这种情况有多种原因，比如实施安全性保护需要花费成本。这里的成本不仅是资金，还包括复杂性、时间和效率成本。为确保安全，必须花费金钱、执行更多的程序并等待这些程序完成（或者还可能涉及其他人）。事实是，真正的安全性计划很难实现。通常的做法是选择一个具有一定“成本”并实现一定安全性功能的方案。（这种安全性涵盖的范围几乎总是比“全面、完整的”方案所涵盖的范围要窄。）关键是要为整个系统的每个方面做出明智的决策，并按照预计的方式有意识地或多或少地实施这些决策。如果知道某个区域缺乏保护，那么至少可以监控此区域以确定问题或漏洞所在。安全性基础知识了解网络如果连要保护的对象都未清楚地了解，那么要保护好它是不可能的。任何规模的组织都应当有一套记录在案的资源、资产和系统。其中每个元素都应当具备相对价值，该价值是根据其对组织的重要性以西安数字技术学院毕业论文（设计）4某种方式指定的。应予以考虑的设备包括服务器、工作站、存储系统、路由器、交换机、集线器、网络与电信链路以及其他任何网络元素，如打印机、UPS系统和HVAC系统等。此外，还有一些重要方面，如记录设备位置以及它们之间的相关性。例如，大多数计算机都依赖于UPS等备用电源，如果这些系统受网络管理，则它们可能也是网络的一部分。环境设备，如HVAC设备和空气净化器可能也包括在内。5了解各种威胁接下来是确定以上每个元素的潜在“威胁”，如表1所示。威胁既可能来自内部，也可能来自外部。它们可能是人为操作的，或自动执行的，甚至还可能是无意的自然现象所导致的。最后一种情况更适合归类到安全威胁的反面—系统健康威胁中，不过这两种威胁有可能互相转换。以防盗警报器断电为例。断电可能是有人故意为之，也可能是某些自然现象（如闪电）而造成的。无论是哪种原因，安全性都降低了。表1–各种威胁及后果一览威胁内部\外部威胁后果带病毒的电子邮件外部组织，内部使用可以感染读取该电子邮件的系统，并进一步扩散到整个组织网络病毒外部可以通过无保护的端口，危及整个网络的安全基于Web的病毒浏览外部网站的内部系统可以对浏览网站的系统造成威胁，并进一步影响其他内部系统Web服务器攻击Web服务器外部如果Web服务器被攻击，黑客可以获得网络内部其他系统的访问权拒绝服务攻击外部外部服务（如Web、电子邮件和FTP）将不可用如果路由器受到攻击，整个网络都可能瘫痪网络用户攻击（内部员工）内部任何地方传统的边界防火墙对此攻击束手无策。内部的网段间防火墙可以帮助控制住这种危害。物理安全性，从内部进行保护大多数专家都认同，物理安全是一切安全性的起点。控制对计算机和网络附加设备的物理访西安数字技术学院毕业论文（设计）5问，或许要比其他任何安全方面都更为重要。对内部站点的任何类型的物理访问都将使站点暴露在危险之中。如果能够进行物理访问，那么要获得安全文件、密码、证书和所有其他类型的数据并非难事。幸好有各种各样的访问控制设备与安全柜可以帮助解决该问题。有关数据中心和网络机房物理安全的详细信息，请参阅APC第82号白皮书“任务关键设备的物理安全”。采用防火墙划分和保护网络边界对于站点而言，除了基本的物理安全之外，另一个最重要的方面便是对出入组织网络的数字访问进行控制。大多数情况下，控制数字访问即意味着控制与外部世界（通常为互联网）的连接点。几乎每家媒体和每个大公司在互联网上都有自己的网站，并且有一个组织网络与之相连。事实是，与互联网时刻保持连通的小公司和家庭的数量在与日俱增。因此，确保安全的当务之急是在外部互联网与内部企业网之间建立分界线。通常，内部企业网被当作“受信任”端，而外部互联网则被当作“不受信任”端。一般情况下这样理解并没有错，但不够具体和全面，下文将对此进行阐述。6防火墙机制就像是一个受控的堡垒，用于控制进出组织机构的企业网的通信。从本质上而言，防火墙其实就是特殊用途的路由器。它们运行于专用的嵌入式系统（如网络外设）上，或者，它们也可以是运行于常见服务器平台上的软件程序。大多数情况下，这些系统都有两个网络接口，分别连接外部网络（如互联网）和内部企业网。防火墙进程可以严格控制允许哪些服务可以通过防火墙。防火墙结构既可以相当简单，也可以非常复杂。对于安全的大多数方面而言，决定采用哪种类型的防火墙取决于多个因素，譬如，通信级别、需要保护的服务、所需规则的复杂程度，等等。需要穿过防火墙的服务数量越多，所需的防火墙也越复杂。防火墙的难点在于区分合法通信与非法通信。防火墙可以提供哪方面的保护，以及无法提供哪方面的保护？防火墙与其他很多事物一样，如果配置正确，则是防卫外部威胁，包括某些拒绝服务(DOS)攻击的利器。相反，如果配置不正确，则会成西安数字技术学院毕业论文（设计）6为组织内主要的安全漏洞。防火墙所提供的最基本的保护便是可以阻止网络通信到达某个目的地，包括IP地址和特定的网络服务端口。如果站点希望Web服务器供外部访问，可以将所有通信限定在端口80（标准HTTP端口）。通常，此限制限定来自不受信任端的通信，受信任端的通信则不受限制。其他所有通信，如邮件通信、FTP、SNMP等，都不允许通过防火墙进入企业网。图2显示了一个简单的防火墙。图2–简单的网络防火墙互联网防火墙专用（企业）网络还有一个更简单的例子，使用家庭或小型企业用电缆/DSL路由器的用户使用的防火墙。通常，这种防火墙均设置为限制所有外部访问，只允许来自内部的服务。认真的读者可能会意识到，在以上两种情况中，防火墙实际上阻止了来自外部的所有通信。如果是这样，那么如何能在网上冲浪并检索网页呢？防火墙所做的是限制来自外部的连接请求。在第一种情况中，来自内部的所有连接请求都被传递至外部，随后，所有数据通过该连接进行传输。对于外部网络而言，只有对Web服务器的连接请求以及数据被允许通过，所有其他请求均被阻止。第二种情况则更加严格，干脆只允许从内部到外部的连接。7比较复杂的防火墙规则可采用被称为“状态监测”的技术。该方法对通信状态与顺序逐一进行查看，以检测欺骗攻击和拒绝服务攻击，从而增加了基本的端口阻止方法。规则越复杂，所需的防火墙计算能力也越强。大多数组织都会面临这样一个问题：如何才能既使外部用户能合法访问Web、FTP和电子邮件等的“公共”服务，同时又严密保护企业网的安全。典型的做法是设置一个所谓的隔离区(DMZ)，这个来自冷战时期的术语，如今用到了网络上。该结构存在两个防火墙：一个位于外部网络与DMZ之间，另一个位于DMZ与内部网络之间。所有的公共服务器都放置在DMZ中。采用该结构之后，防火墙规则可以设置为允许公众访问公共西安数字技术学院毕业论文（设计）7服务器，但内部防火墙仍可以限制所有进入的连接。比起仅仅处于单个防火墙之外，公共服务器在DMZ中仍受到了更多的保护。图3显示了DMZ的作用。图3–双防火墙及DMZ互联网防火墙专用（企业）网络FTP服务器内部防火墙DMZ在各企业网的边界使用内部防火墙也有助于减少内部威胁以及已通过边界防火墙的威胁（如蠕虫）。内部防火墙甚至可运行于待机模式，不阻止正常的通信模式，而只是在出现问题时启用严格的规则。工作站防火墙有一个重要的网络安全因素直到现在才为大多数人所认知，那便是网络上的每一个节点或工作站都可能是潜在的安全漏洞。过去，在考虑网络安全时注意力基本上都集中在防火墙和服务器上，随着Web的出现以及新的节点等级（如网络外设）的不断扩张，保护网络安全产生了新的问题。各种蠕虫病毒程序攻击计算机，并通过这些计算机进一步扩散及危害系统。如果组织的内部系统能更有效地进行“封锁”，那么大部分蠕虫都可以被成功阻止或拦截。工作站防火墙产品即可以阻止不属于主机正常需求的、出入各个主机的所有端口访问，此外，用以阻止来自组织外可疑连接的内部网络防火墙规则也有助于防止蠕虫扩散回组织外部。在这两个防火墙的共同作用下，蠕虫的内部复制和外部复制机会都减少了。在绝大多数情况下，所有系统都应当能阻止无需使用的所有端口。8基本的网络主机安全端口防范并尽量减少运行的服务默认情况下，许多网络设备和计算机主机都会启动网络服务，而每一个服务对攻击者、蠕虫和木马而言都是攻击机会。所有这些默认服务往往并不是必需的。通过关闭服务来执行端口防范可以减少攻击的机会。以下的防火墙部分中将提到，与网络防火墙一样，台式机和服务器也可以运行基本的防火墙软件来阻西安数字技术学院毕业论文（设计）8止对主机上不需要的IP端口的访问，或者限制来自某些主机的访问。当外层防御已经被突破或存在其他内部威胁时，该方案对于内部保护非常重要。可供选择的台式机防火墙软件包有很多种，都可以执行保护主机的大量工作，例如，如WindowsX