摘要 随着INTERNET在中国的进一步发展,上网对于许多人已经成为生活中必不可少的一部分,新老网民们通过网络来查找资料、交流信息。对于企业而言,网络更是占有举足轻重的地位,电子商务已经有逐步取代传统企业经营方式的趋势。但网络在给我们极大便利的同时,也给我们另外一个棘手问题,就是“黑客”。
由于INTERNET的本身设计缺陷及其开放性,使其极易受到黑客的攻击。根据美国有关安全部门统计,因特网上98%的计算机受到过黑客的攻击分析,50%的机器被黑客成功入侵,而被入侵机器有20%的管理员尚未发现自己被入侵。网络的安全性已成为阻碍因特网在全球发展的重要因素之一。最近,大量病毒大肆横行,给世界许多国家造成巨大的损失。所以越来越多的人认识到网络安全的重要性。本文先是介绍了网络信息安全的涵义和黑客的一般攻击手段,然后通过一个具体的企业网实例详尽阐述了如何合理布置网络架构来进行有效的防护。
关键词:网络信息安全 网络安全架构 黑客 NETEYE VLAN TRUNK
一.网络信息安全的涵义
网络信息既有存储于网络节点上信息资源,即静态信息,又有传播于网络节点间的信息,即动态信息。而这些静态信息和动态信息中有些是开放的,如广告、公共信息等,有些是保密的,如:私人间的通信、政府及军事部门、商业机密等。网络信息安全一般是指网络信息的机密性(Confidentiality)、完整性(Integrity)、可用性(Availability)及真实性(Authenticity)。网络信息的机密性是指网络信息的内容不会被未授权的第三方所知。网络信息的完整性是指信息在存储或传输时不被修改、破坏,不出现信息包的丢失、乱序等,即不能为未授权的第三方修改。信息的完整性是信息安全的基本要求,破坏信息的完整性是影响信息安全的常用手段。当前,运行于互联网上的协议(如TCP/IP)等,能够确保信息在数据包级别的完整性,即做到了传输过程中不丢信息包,不重复接收信息包,但却无法制止未授权第三方对信息包内部的修改。网络信息的可用性包括对静态信息的可得到和可操作性及对动态信息内容的可见性。网络信息的真实性是指信息的可信度,主要是指对信息所有者或发送者的身份的确认。
前不久,美国计算机安全专家又提出了一种新的安全框架,包括:机密性(Confidentiality)、完整性(Integrity)、可用性(Availability)、真实性(Authenticity)、实用性(Utility)、占有性(Possession), 即在原来的基础上增加了实用性、占有性,认为这样才能解释各种网络安全问题:网络信息的实用性是指信息加密密钥不可丢失(不是泄密),丢失了密钥的信息也就丢失了信息的实用性,成为垃圾。网络信息的占有性是指存储信息的节点、磁盘等信息载体被盗用,导致对信息的占用权的丧失。保护信息占有性的方法有使用版权、专利、商业秘密性,提供物理和逻辑的存取限制方法;维护和检查有关盗窃文件的审记记录、使用标签等。
二.攻击网络安全性的类型
对互联网络的攻击包括对静态数据的攻击和对动态数据的攻击.对静态数据的攻击主要有: 1. 口令猜测:通过穷举方式搜索口令空间,逐一测试,得到口令,进而非法入侵系统。 2. IP地址欺骗:攻击者伪装成源自一台内部主机的一个外部地点传送信息包,这些信息包中包含有内部系统的源IP地址,冒名他人,窃取信息。 3. 指定路由:发送方指定一信息包到达目的站点的路由,而这条路由是经过精心设计的、绕过设有安全控制的路由。
根据对动态信息的攻击形式不同,可以将攻击分为主动攻击和被动攻击两种。 被动攻击主要是指攻击者监听网络上传递的信息流,从而获取信息的内容(interception),或仅仅希望得到信息流的长度、传输频率等数据,称为流量分析(traffic analysis)。被动攻击和窃听示意图如图1、图2所示: 
除了被动攻击的方式外,攻击者还可以采用主动攻击的方式。主动攻击是指攻击者通过有选择的修改、删除、延迟、乱序、复制、插入数据流或数据流的一部分以达到其非法目的。主动攻击可以归纳为中断、篡改、伪造三种(见图3)。中断是指阻断由发送方到接收方的信息流,使接收方无法得到该信息,这是针对信息可用性的攻击(如图4)。篡改是指攻击者修改、破坏由发送方到接收方的信息流,使接收方得到错误的信息,从而破坏信息的完整性(如图5)。伪造是针对信息的真实性的攻击,攻击者或者是首先记录一段发送方与接收方之间的信息流,然后在适当时间向接收方或发送方重放(playback)这段信息,或者是完全伪造一段信息流,冒充接收方可信任的第三方,向接收方发送。(如图6)
作为一个企业网,不管他是什么性质的公司,通常能见到如WEB、MAIL、FTP、DNS、 TELNET等,当然,也有一些非通用,在某些领域、行业中自主开发的网络应用服务。我们通常所说的服务器,既是具有网络服务的主机。网络应用服务安全,指的是主机上运行的网络应用服务是否能够稳定、持续运行,不会受到非法的数据破坏及运行影响。网络安全的威胁来自多个方面,主要包括:操作系统安全、应用服务安全、网络设备安全、网络传输安全等等,以下我们就网络应用服务与其它安全问题做一比较.
操作系统安全问题
操作系统安全指的是一个操作系统在其系统管理机制实施中的完整性、强制性、计划性、可预期性不受干扰、破坏。如操作系统的用户等级管理机制、文件读取权限管理机制、程序执行权限管理机制、系统资源分配管理机制等。操作系统安全问题的来源主要表现在系统管理程序编写失误、系统配置失误等方面。其安全问题主要体现在抵御和防范本地攻击。攻击行为通常表现为攻击者突破以上的一些系统管理机制,对系统的越权访问和控制。
网络设备安全问题
网络设备的安全指的是网络设备是否能长期、持续、稳定地完成其特定的功能和任务。由于网络设备提供的功能相对操作系统而言大大简化,因此管理程序编写失误方面的系数大大降低,其安全问题主要来自于系统配置方面的失误。攻击行为主要表现为突破系统控制权身份验证机制,恶意地修改系统配置。
网络应用服务安全问题的特点
每一个网络应用服务都是由一个或多个程序构成,在讨论安全性问题时,不仅要考虑到服务端程序,也需要考虑客户端程序。服务端的安全问题主要表现在非法的远程访问,客户端的安全问题主要表现在本地越权使用客户程序。由于大多数服务的进程由超级用户守护,许多重大的安全漏洞往往出现在一些以超级用户守护的应用服务程序上。
三、网络安全的架构,我们以某公司为例来具体说明:
网络安全的目标是通过系统及网络安全配置,防火墙及检测预警、安全扫描、网络防病毒等软、硬件,对出入口的信息进行严格的控制;对网络中所有的装置(如Web服务器、路由器和内部网络等)进行检测、分析和评估,发现并报告系统内存在的弱点和漏洞,评估安全风险,建议补救措施,并有效地防止黑客入侵和病毒扩散,并能监控整个网络的运行状况。
为了最大限度地减低公司内部网的风险,提高其安全性,采用可适应安全管理解决方案。
可适应性安全管理模型针对企业的安全威胁和进攻弱点,通过通信数据加密、系统扫描、实时监控,检测和实时响应、实施群安全策略,提供端对端的完整安全解决方案。与之相对应,通信数据传输加密、检测、响应、监控等,每个环节都有相应的产品,该模型能够最大限度地减低企业的风险。我们首先来分析一下“黑客”入侵的手段和途径,作为一个入侵者,他的第一步自然是先要找到目标企业在网络中的位置,假设他已经知道该企业没有使用主机托管服务,而是和企业的网络放在了一起,那么他只须ping一下该企业的主页就能了解到该企业的IP地址为xxx.xxx.xxx.001和xxx.xxx.xxx.002,而另外还有一台DNS服务器,也可以使用nslookup这样的工具,一下就能查到目标企业的DNS服务器为地址xxx.xxx.xxx.003,并且他还会计划假设已经进入以上三台服务器中的一台,他就会马上分析网络结构,并且进入内网,获取内部网络员工资料,以及很多重要数据。从上面看得出来,要保护这个网络,我们需要做很多东西,首先我们可以想办法对服务器之间以及服务器和内部网络之间进行隔离,但又能应用到他们应该有的功能,现在对该企业的网络做如下策划: 其整体安全策略为:
1、网络传输安全 保证网络传输的安全。 2、网络安全性检测 采用漏洞扫描系统对系统进行漏洞扫描,保证企业联网在最佳的状态下运行。 3、防攻击能力 采用入侵检测系统对网络进行监测和预警保证企业联网防止外界攻击的能力。 4、防病毒能力 采用网络防病毒系统对网络病毒进行防治,保证企业联网防病毒能力。 建立分层管理和各级安全管理中心。
用户设备情况:用户拥有几百台PC机、一台准备用作DNS SERVER和EMAIL SERVER的服务器、一台CISCO的5500交换机、和一台CISCO的7500路由器。另外,其打算联入INTERNET 的电信线路和广域网路由器.
用户要求:通过防火墙保证内部网的最大安全,并一定程度上保证服务器的安全;内部网各个PC机可以上INTERNET。将CISCO的5500交换机划分若干VLAN ,并利用CISCO的7500路由器做TRUNK来为各个VLAN 做路由(7500除此以外,还有其他用途)。
根据用户具体情况,可有如下网络结构: 
网络的实现:
该结构基本上说,是防火墙的典型接法,其实现较为简单。同时,用户希望各个PC机都能够实现上INTERNET,所以,可以让防火墙工作在路由模式下,并提供NAT地址转换功能,为内部网的客户机提供所谓的代理功能。因为,用户要在CATALYST5500上为底下众多PC机划分不同的VLAN,而同时,又用CISCO7500路由器,在防火墙内部做TRUNK为各个VLAN 做路由。也就是说,真正的TRUNK数据包并没有通过防火墙,所以,防火墙也应是属于其中一个VLAN ,这样,才能与其它VLAN 进行通信,即:其它VLAN 的机器可以找到并通过防火墙上INTERNET。当然,这时的CISCO7500路由器就需要有一些必要的设置和配置;首先,要在接口设好ISL或802.1Q的封装,保证VLAN之间的通信, 当然,这时,防火墙所在接口也是一个VLAN;然后,在7500上指定默认路由为防火墙所在VLAN的网段,这样,就保证用户在上网或要发邮件时,7500能将客户端所发的数据包,送到防火墙,进而,送到DMZ区的邮件服务器或送出到INTERNET上。
安全性的实现:
l. 由于NETEYE防火墙产品自身的强大功能,给该网络提供了最大的安全保障。其核心所具有的Stateful 动态包过滤和防Dos 攻击的功能,可以在基本上给网络有一个安全保证。伴有对网络工作的实时监控和强大统计、审计功能,也使一些不安全因素能够早发现早处理。
2. NetEye防火墙支持各种网络协议,例如DNS、finger、FTP、Gopher、HTTP、IRC、NNTP、Quicktime、RealAudio、SMTP、TELNET、Internet Phone等网络协议,NetEye同时是国内支持多媒体数据进行实时点播最好的防火墙系统,支持CISCO、SGI等多媒体点播协议,例如OSPF、IGMP等广播协议。对各种常用应用系统例如Oracle、Notes、SQL Server等完全支持。
3. NetEye防火墙对远程接入用户提供先进的一次性口令身份认证过程,可以使用防火墙自身的认证系统也支持第三方采用协议为RADIUS TACACS/TACACS+等认证服务器。
4. 网络地址转换NAT功能是NetEye防火墙完备的功能之一,在大量的实际应用中证明稳定可靠。在银行信息网络中通过NAT功能实现内部网用户访问外Internet 资源,实现透明应用代理,为内部网提供对外的安全通道。通过NAT功能保证DMZ区的各种网络服务器对外提供各种服务,NetEye防火墙的NAT功能作为DMZ区与外部访问者之间的桥梁,保证外部访问者不能直接连接应用服务器,从而保证信息网的安全。
5. NetEye防火墙如同网络上的监视器,可以轻松记录内部网每一位用户的访问情况,同时可以对网络的各种使用情况进行统计生成各种报表、统计图、趋势图等。NetEye具有实时入侵检测系统,完全实现防患于未然。能够对各种网络攻击方式进行识别例如网络协议异常、拒绝服务攻击DOS、网络扫描、网络欺骗、地址盗用等,同时以邮件方式对系统管理员进行报警。 NetEye防火墙的实时监控系统能够了解防火墙当前的工作状态,同时了解网络的通讯情况与攻击的详细信息。
6. NetEye防火墙具有一个优秀的功能,就是能够将一台企业内部终端设备的网卡MAC地址与它的网络IP地址进行捆绑,完全实现两者的一一对应。当信息网内部有人私自篡改IP地址妄图盗用他人上网费用时,由于其IP地址与MAC地址不匹配,NetEye防火墙拒绝其通过,禁止其访问同时向系统管理员进行邮件报警。
安全性的实现:
由于NETEYE防火墙产品自身的强大功能,给该网络提供了最大的安全保障。其核心所具有的Stateful 动态包过滤和防Dos 攻击的功能,可以在基本上给网络有一个安全保证。伴有对网络工作的实时监控和强大统计、审计功能,也使一些不安全因素能够早发现早处理。
在CISCO5500上划分VLAN 不但可以隔离广播,减少广播风暴;同时,可以将各个部门或组织从逻辑上分开,提高了安全性。而此时,防火墙也是其中一个VLAN。那么可以说,为内部网的安全又多提供了一层保护。
当用户内部网的客户机具有不同权限时,需要对具有高权限的IP进行限制,即:需要进行IP和MAC绑定,但由于各VLAN 的数据包通过了路由器,其MAC地址已发生变化,则防火墙的IP和MAC绑定不能实现。然而,通过用防火墙的客户端认证功能,不但,能替代IP和MAC绑定功能,而且,可以在其他的应用上灵活使用。
将为外面提供服务的EMAIL SERVER 服务器置于防火墙的DMZ区(非军事区),和内部网隔离开这样,可以保证外界的访问只有通往DMZ的路径,而对于内网的访问,则是绝对不予许的。另外,在DMZ区也只将EMAIL服务器的SMTP 25和POP3 110端口以及DNS的53端口打开。这样,其安全性将大大增加,同时,对于防火墙的配置也是简单、清晰。
需要注意的问题: 由于防火墙的外网接入INTERNET,其包括的IP地址近似无穷多,所以,防火墙上的默认网关,自然应该指向外网口。
另外,防火墙的外网由于联入INTERNET,所以,应具有一个合法IP地址。EMAIL SERVER 和DNS 服务器由于要为与外界联系而提供服务,所以也应具有一个合法IP。又因为防火墙在路由模式下各安全区应在不同网段,那么,DMZ区和外网就会带来一些问题。我们可以通过划分子网和把DMZ区的机器做NAT地址映射来解决这个问题。
结束语
网络安全是网络管理的重要内容。对于一个企业,我们首先要设计好网络构架,在设计的同时要考虑到各个服务器以及内部网络各放在什么位置。合理的网络配置能够增强网络安全。可以预见到加密技术和VLAN、VPN、防火墙的合理配置使用,必将使网络得到很好的保护。
参考标准及文献:
1983 美国国防部(DoD)橘皮书:互信任计算机系统评估(TCSEC) 1987 红皮书:互信任系统评估标准(TNI)的互信任网络诠释 1988 ISO 7498/2安全体系 1989 IT安全标准目录(ZSI信息技术安全标准,德国) 1991 TSEC1.2(信息技术安全评估标准)关于信息系统安全的欧洲标准目录 梅杰, 许榕生. Internet防火墙技术最新发展. 微电脑世界. 1996, 6:27-30 Computer and Network Security Lecture 1—24 《Security Mechanisms in High-Level Network Protocols》Victor L. Voydock and Stephen T. Kent 水木清华bbs站系统安全版,一网情深bbs站系统安全版
