小型网络两个模块安全设计和配置

• 　　小型网络有两个模块：公司互联网模块与园区模块。公司互联网模块拥有与互联网的连接，同时也端接VPN与公共服务（DNS、HTTP、FTP、SMTP）信息流。园区模块包含第2层交换功能与所有的用户以及管理与内部网服务器。关于这种设计的讨论的前提是小型网络用作企业的头端。
  
  　　互联网模块
  
  　　互联网模块为内部用户提供了与互联网的连接并使用户能够通过互联网访问公共服务器上的信息，同时还为远程地点和远程工作人员提供了VPN访问能力。这种模块不适用于电子商务类型的应用。
  
  　　互联网模块涉及的关键设备有：SMTP服务器、DNS服务器、FTP／HTTP服务器、防火墙或防火墙路由器、第2层交换机（支持专用VLAN）。
  
  　　拥有公共地址的服务器是最容易被攻击的。以下是互联网模块潜在的威胁：未授权访问、应用层攻击、病毒与特洛伊马攻击、密码攻击、拒绝服务、IP电子欺骗、分组窃听、网络侦察、信任关系利用、端口重定向。
  
  　　设计指南——在小型VPN网络设计中，该模块堪称为极至。VPN功能被压缩入一个机箱，但依然执行着路由选择、NAT、IDS和防火墙功能。在确定如何实施该功能时，提及了两种主要替代措施。第一是使用带防火墙和VPN功能的路由器。这种选择为小型网络带来了极大的灵活性，因为路由器将支持在当今网络中可能是不可或缺的所有高级服务。作为一种替代措施，可使用带VPN的专用防火墙来取代路由器。这种设置给部署造成了一些限制。首先，防火墙通常都只是以太网，要求对相应的WAN协议进行一些转换。在目前的环境中，大多数有线和DSL路由器/调制解调器都是由电信服务供应商提供的，可用于连接以太网防火墙。如果设备要求WAN连接（如电信供应商的DSL电路），那么，就必须使用路由器。使用专用防火墙不具备轻松配置安全性和VPN服务的优势，当发挥防火墙功能时，可提供改进性能。无论选用哪种设备，都要考虑一些VPN的因素。请注意，路由器倾向于允许信息流通过，而防火墙的缺省设置则倾向于阻止信息流通过。
  
  　　从ISP的客户边缘路由器开始，ISP出口将限制那些超出预定阈值的次要信息流，以便减少DDoS攻击。同时在ISP路由器的入口处，RFC1918与RFC 2827过滤功能将防止针对本地网络及专用地址的源地址电子欺骗。
  
  　　在防火墙的入口，RFC1918与RFC2827将首先被用于验证ISP的过滤功能。此外，由于零散的分组带来了极大的安全隐患，因此防火墙将丢弃那些在互联网上不应被视作标准信息流的零散分组。这种过滤有可能导致某些合格信息流被丢弃，但考虑到允许以上不合格的信息流通过所带来的风险，上述情况是可以接受的。目的地为防火墙的信息流仅限于IPSec信息流和用于路由的任何必要协议。
  
  　　防火墙为通过防火墙发起的会话提供了连接状态执行操作以及详细的过滤。拥有公共地址的服务器通过在防火墙上使用半开放连接限制能够防止TCP SYN洪水。从过滤的角度讲，除了将公共服务区域的信息流限定到相关地址和端口外，在相反的方向上也在进行过滤。如果某个攻击涉及到一个公共服务器（通过规避防火墙和基于主机的IDS），那么这个服务器应该不会再进一步攻击网络。为了缓解这种攻击，具体的过滤将防止公共服务器向其他任何地点发出任何未授权请求。例如，应该对Web服务器进行过滤，以便使其不能自身产生请求，而只能回答来自客户机的请求。这种设置有助于防止黑客在实施最初的攻击后将更多的应用下载到被破坏的机器。同时还有助于防止黑客在主攻击过程中触发不受欢迎的会话。这种攻击的例子是从Web服务器生成一个xterm，再通过防火墙将其传送到黑客的机器。此外，DMI上的专用VLAN可以防止一个被破坏的公共服务器攻击同一区域的其他服务器。这种信息流甚至不能被防火墙发现，由此可以证明专用VLAN的重要性。
  
  　　从主机的角度看，公共服务区域内的每个服务器均拥有主机入侵检测软件，用于监控OS级的任何不良活动以及普通服务器应用的活动（HTTP、FTP、SMTP等）。DNS主机应该只响应必要的命令，同时消除任何可能有助于黑客的网络侦察攻击的不必要响应。这包括防止从任何地点进行zone传输（合格的二级DNS服务器除外）。在邮件服务方面，防火墙在第7层过滤SMTP信息，以便只允许必要的命令到达邮件服务器。
  
• [1] [2] 下一页 
• 复制本页网址和标题，发送给你QQ/Msn的好友一起分享
  
  
• 小型网络两个模块安全设计和配置 相关文章：
• ·AutoCAD造型实例：十字形螺丝刀头
• ·AutoCAD造型实例：一字形螺丝刀头
• ·3DSMAX造型设计之打造江南丝绸
• ·3DSMAX造型设计之书法印刷效果
• ·调整CSS类型的顺序改变链接翻滚
• ·怎么样清除能突破主动防御的新型木马
• ·css属性之媒体（Media）类型
• ·完全防御DDoS攻击的实时监测模型
• ·3DsMAX三维建模U盘造型
• ·卡巴内存驻留型病毒检测方法
• 小型网络两个模块安全设计和配置 相关软件
• ·《美国战史》大型策略试玩
• ·《反恐精英》女悍匪人物模型补丁
• ·MD模拟器游戏《异型战士》试玩
• ·《向上的痛》目击2000年以来中国转型之痛
• ·俗世奇人（冯骥才微型小说集）
• ·血型决定你
• ·微型小说写作讲座
• ·模型拼盘
• ·完美进销存模型概念
• ·传染性非典型肺炎防治问答

上一篇:深入学习Photoshop通道一： 第一个通道

下一篇:无线局域网技术与应用的经典问答

• 特别声明：本站除部分特别声明禁止转载的专稿外的其他文章可以自由转载，但请务必注明出处和原始作
• 者.文章版权归文章原始作者所有.对于被本站转载文章的个人和网站，我们表示深深的谢意。如果本站转
• 载的文章有版权问题请联系编辑人员,我们尽快予以更正. 转载请注明来源：http://www.hackhome.com

精品推荐

热点TOP10

特别推荐