《资讯安全入门手册.ppt》由会员分享,可在线阅读,更多相关《资讯安全入门手册.ppt(111页珍藏版)》请在三一办公上搜索。
1、資訊安全入門手冊,第 16 章 Internet架構,第 16 章 Internet架構,在新的商業型態、降低銷售成本、提升客戶服務方面,Internet具有極大的潛力。在組織的資訊和系統方面,也可能會增加極大的風險。只要具有適當的安全架構,也可以賦予Internet極大的效用,且可用來管理資訊和系統的風險。,本章的內容如下:16-1 提供哪些服務16-2 不提供哪些服務16-3 發展通訊架構16-4 設計DMZ16-5 認識網路位址轉譯16-6 設計合作夥伴網路,16-1 提供哪些服務,關於Internet架構首先需要回答的問題是 組織希望透過Internet提供哪些服務?希望提供哪些服務、
2、服務的對象是誰,這些問題會大大地影響到整體架構,甚至也可能架設主機提供服務。,本節的內容如下:16-1-1 郵件16-1-2 電子郵件加密16-1-3 Web站台16-1-4 內部存取Internet16-1-5 組織外部存取內部系統16-1-6 控制服務,16-1-1 郵件,如果提供郵件服務時,一般提供的對象都是提供內部員工收送訊息。這項服務至少需要架設一部接收類送郵件的伺服器。如果要求更高的可用性,那麼至少需要兩部郵件伺服器。外送郵件可以移到同一部伺服器進行處理,或是組織也可以允許桌上型電腦直接郵件發送到目標系統。,組織也許會因為電子郵件討論群組之類的需求,而選擇架設公用郵件轉送(publ
3、ic mail relay),這類伺服器又稱為list server。list Server可以和一般郵件伺服器架在同一不設備上,這些系統接收外部使用者的郵件,接著將訊息轉送給list server的訂閱用戶。在Internet整體架構的考量上,可能會產生更大的流量需求。,不建議組織允許桌上型系統,直接將郵件發送到目標系統。不過,如果組織的郵件系統是架在Internet上,每部桌上型電腦都是透過該郵件伺服器收發電子郵件。在這種情況下,限制桌上型電腦只能透過該部郵件伺服器送出電子郵件,這是較為聰明的作法。,16-1-2 電子郵件加密,通常都不會利用電子郵件傳送機密資訊。基於省時、節省成本和擴充I
4、nternet用途的考量來說,還是會利用電子郵件寄送機密資訊。最好是利用電子郵件加密來保護機密資訊的內容。某些系統可以提供電子郵件加密的功能,這些系統類型從桌面型軟體(例如PGP),到電子郵件串流(例如Tovaris)的網路設備都有。,系統的選用不僅僅是依據傳送和接收加密電子郵件的數量,還需要依據組織的復原政策和金鑰管理(詳見第12章)等其他需求而定。,某些企業(例如財稅機關和健保組織)會將客戶、患者相關的機密資訊加密。,16-1-3 Web站台,如果組織選擇透過全球資訊網(World Wide Web)對客戶或夥伴發佈資訊,組織就會需要在內部或其他處所架設Web伺服器,並放置某些供大眾閱覽的
5、內容。Web伺服器可以是簡單、靜態的內容,或是鏈結到提供動態內容和接受訂單的電子商務系統(詳見第17章)。Web站台的存取方式,可以是任何人皆可瀏覽或透過某些認證機制(通常是使用者ID和密碼)加以限制。,如果含有某些限制性的內容時,站台應該要使用HTTPS(安全基座層,Secure Socket Layer,SSL)保護機密資訊。除了提供Web伺服器之外,可能也會提供檔案傳輸協定(File Transfer Protocol,FTP)。FTP允許組織外部的使用者,透過Web瀏覽器或FTP用戶端的協助,傳送或取得檔案。在使用者認證方面,可以採用匿名登入或要求輸入使用者ID和密碼登入認證。,16-
6、1-4 內部存取Internet,員工如何存取Internet應該依據政策加以規範(詳見第6章)。某些組織允許員工存取Internet任何服務,包括傳訊、聊天室、影音串流等。某些組織只允許員工使用瀏覽器,且只能瀏覽特定的網站。這些決策都會影響到網路的流量。,較常允許員工存取的服務如下:,不論組織是否允許使用串流影音,許多站台目前也可透過HTTP提供這方面的服務;因此,這些流量和一般性的Web流量完全相同。同樣的,Internet目前也有許多點對點(peer-to-peer)服務,這些服務也是透過連接埠80運作。這些類型的服務,也會提高未獲授權取得內部系統存取權的風險。,16-1-5 組織外部存
7、取內部系統,從組織外部存取內部敏感性系統,一直都是安全和網路人員非常棘手的問題。內部系統是指組織內部主要的作業系統。在本質上這些系統的架設目地,和Web伺服器或郵件伺服器的服務有所不同。員工存取(通常是從遠地執行工作)或非員工存取,是從組織外部存取組織內部系統的兩種可能類型。,從遠地存取組織內部系統的員工,一般都是透過Internet使用VPN(virtual private network)、某些遠端存取伺服器(remote access server)的撥接線路,或是專線等方式。是否允許這些存取方式,也都會影響組織的Internet架構。如果是其他組織要求存取組織的內部系統,那麼影響就會非
8、常嚴重。,即使是商業夥伴利用可信任的存取,也會間接地影響風險管理。至於透過VPN、撥接線路或數據專線、透過未加密的Internet存取(例如telnet)等方式,端賴連線的目地而定。,在實務上,並不建議採用透過未加密Internet的存取方式;然而,某些企業卻會允許這種類型的存取方式。如果是在這樣的情況下,必須盡力將這些系統移到內部網路的範圍之外,且將系統放在受到限制的網段(例如稍後介紹的DMZ)。,16-1-6 控制服務,為了讓網路和Internet連線非常順暢,會需要建置某些服務。是否建置這些服務,仍須依據組織的政策而定。DNSICMPNTP,DNS,網域名稱服務(Domain Name
9、Service,DNS),這是一種提供主機名稱和IP位址解析的服務。若是少了這項服務,內部使用者會難以解析Web站台的位址,而且也會難以存取Internet。內部系統會向內部DNS查詢所有的位址,內部DNS也可以向ISP的DNS查詢、解析外部位址。組織內部的系統不需要直接查詢外部DNS系統。,內部DNS也必須對外開放,組織外部的使用者才能存取組織的Web站台。為了完成這項目標,組織可以選擇自行架設DNS或由ISP的DNS代轉,這項決策也會影響到組織的Internet架構。如果決定自行架設、管理DNS,這部系統必須和內部DNS有所區分,且外部DNS也不應該架設在內部系統的網段中(也稱為DNS切割
10、)。,ICMP,Internet控制訊息協定(Internet Control Message Protocol,ICMP),用來提供ping(系統架設之後就可以找到)這類服務。除了ping之外,ICMP也提供network and host unreachable和packet time to live expired等訊息。這些訊息都有助於提高網路運作的效率。,由於這項服務會嚴重影響網路的運作,所以也可以拒絕或阻斷ICMP服務。舉例來說,如果內部使用者嘗試尋找卻找不到遠端Web伺服器時,ICMP即可回送ICMP host unreachable告知使用者。如果阻斷內部網路ICMP服務時,使
11、用者會一直等候直到連線逾時為止,然後就會看到找不到網頁的訊息。,NTP,網路校時協定(Network Time Protocol,NTP),這是一種可以讓許多系統時間同步的服務。目前在Internet上,已有許多提供這類校時資源的站台。如果組織選擇提供這項服務,就應該將一部系統設定成地區時間,且只有這部系統才可以和Internet的NTP溝通。所有的內部系統,都應該和這部系統溝通並完成校時動作。,16-2 不提供哪些服務,在設計Internet架構時,應該要包含滿足需求的服務,但是也不要提供不必要的服務。採用這種設計法則設計Internet架構時,將會排除絕大部分的重大風險。會造成重大風險的服
12、務如下:,NetMeeting需要編號較高的連接埠才能正常運作,因此具有潛在的危險性。若要必須使用這些連接埠,使用H.323 proxy會比較安全些。遠端控制協定(Remote Control Protocols),例如PC Anywhere和VNC都是屬於這種類型的服務。如果遠端使用者必須使用這類協定控制內部系統,也應該要透過VPN連線。,簡單網路管理協定(Simple Network Management Protocol,SNMP)(連接埠169),可用來管理組織內部網路的網路管理,不過遠地不應該使用這項服務來管理組織的內部系統。,16-3 發展通訊架構,在逐步規劃組織Internet連
13、線的通訊架構時,最重要的就是流量處理能力和可用性問題。在某些情況下,必須和組織的ISP(Internett service provider)討論流量處理能力的問題。ISP應該建議提供適當服務所需的通訊線路。可用性需求應該由組織自行設定。如果Internet只是提供員工業務範圍之外的功能時,因為網路中斷並不會影響正常的工作,所以可用性的需求應該會非常低。,如果組織計畫建置電子商務站台,且Internet是組織營運的重心,那麼可用性就是組織成敗的關鍵。在設計Internet連線的時候,應該一併考量容錯和復原的能力。本節的內容如下:16-3-1 單一通訊線路16-3-2 多條通訊線路連接到單一IS
14、P16-3-3 多條線路連接到多個ISP,16-3-1 單一通訊線路,利用單一通訊線路連接Internet,這是目前最常見的Internet架構。ISP透過單一通訊線路提供組織適當的頻寬,詳見圖16-1。一般而言,ISP也會提供連線所需的路由器和通道服務單元(Channel Server Unit,CSU)。組織也同樣可以選購並安裝這些設備。,本地迴路(local loop)是組織設施連線到電話公司機房(central office,CO)的線路或光纖,在ISP附近也會有一個出線點(point of presence,POP)。連線到ISP的線路,實際上是最接近POP的端末線路。雖然不是最近P
15、OP,但本地迴路仍然需要經過最近的CO。從POP開始算起,連線才會透過ISP的網路進入Internet。,圖16-1 標準單一通訊線路架構,在圖16-1的連線架構之中,只要一個環節故障,就會導致整個連結中斷。故障的範例如下:路由器可能會故障CSU可能會故障本地迴路可能會斷線CO可能遭到破壞ISP的POP可能會故障,只要發生單一環節故障,也就等於整個連結線路故障。路由器故障的機率比CO遭到破壞的機率來得高出許多。施工單位也可能不慎挖斷纜線,這樣會造成長時間斷線。上述可能的原因還不包含ISP本身發生故障在內。,因為氣候、挖斷纜線、或阻斷服務攻擊等,這些非特定因素也會造成連線中斷。這種架構僅僅適合用
16、在非商業性質的Internet連線。,16-3-2 多條通訊線路連接到單一ISP,為克服單一環節故障而導致整個連線中斷,可以採用佈設多條和ISP連接的線路。不同的ISP會提供不同的服務。例如:某些ISP會稱為非正式鏈結(shadow link),有些ISP會稱為備援電路(redundant circuit,台灣多半使用這個名稱)。不論如何稱呼,都是希望提供避免線路中斷而導致停止服務的第二條線路。,單一POP接線,ISP可以利用連接到相同POP的備援電路(詳見圖16-2),提供線路容錯(fail-over)能力。備援電路可能包含備援路由器和CSU,也有可能只有一部路由器而已。如果主要電路發生故障
17、時,第二組電路會立即替補故障的線路。此種架構可以避免路由器、CSU、電話公司到CO的迴路,以及ISP連線端末的設備發生故障。,圖16-2 單一POP接線的備援電路,雖然這些都是常見的線路故障原因,但是卻無法降低設備故障的機率。可預防任何一組設備故障而導致整個連線中斷。這種架構的另一種效益 備援電路的成本較低。ISP提供備援電路的費用會比完整線路的費用低廉。,多條POP接線,添購另一組連接到POP的連線,可以增加可用性和可靠度(詳見圖16-3)。在這樣的情況下,第二組做為備援線路或持續運作的線路(稱為熱備援線路,hot redundant)。為了讓這種架構運作順暢,ISP通常都會執行邊境閘道器協
18、定(Border Getway Protocol,BGP)。BGP是一種路由協定(routing protocol),這是在雙連線類型的兩個實體之間,用來指定路由的一種協定。,圖16-3 多條線路連接到多個POP,在使用BGP協定的時候,必須非常審慎地設定路由。在這種架構下仍然可能造成通訊故障的單一環節 本地迴路和CO。除非該組織擁有兩組本地迴路和CO,否則仍舊無法克服這兩種因素。如果該組織真的採用兩組本地迴路和CO,整體架構就會變成圖16-4的架構。,圖16-4 透過多條本地迴路的連線方式,16-3-3 多條線路連接到多個ISP,這種Internet架構不見得能夠解決所有的問題和風險。如果妥
19、善設定,使用多個ISP確實可以降低服務中斷的風險(詳見圖16-5)。除了如何選擇ISP是需要考量的重點之外,組織採用的定址計畫也有極大的關聯性。,選擇ISP,採用多ISP的Internet架構,確實是一項非常複雜的工程,而且也需要多方的知識和瞭解ISP的實務經驗。BGP是一種最需要瞭解的知識。由於將會使用BGP來路由組織的流量,所以組織和ISP必須非常謹慎、妥善地設定BGP。連線的實際路由問題,是影響選擇ISP的另一個問題。,圖16-5 採用多個ISP的Internet架構,如果組織的設施並沒有連接多組本地迴路時,本地迴路可能會持續造成單一環節失效的問題。如果只有單一本地迴路時,選擇使用無線通
20、訊替代末端線路(last mile)的ISP(詳見圖16-6),也可達成電路備援的目地。由於無線通訊可能受到天候狀況、暴風雨的侵襲,或是飛行物的影響等,而造成資料遺漏或效能降低的問題。,圖16-6利用無線網路ISP提高可用性,採用無線通訊並不能完全解決可用性的問題。雖說無線通訊也具有諸多的問題,不過卻也不至於造成通訊完全中斷的情況。,選用無線網路ISP和傳統式ISP的需求都一樣。任何ISP都應該提供服務等級的同意書,而且都應該出具完整的管理實務同意書。,定址,採用多ISP架構運作模式的另一項問題,就是 定址問題。在一般的情況下,採用單一ISP連線時,ISP會分配一段位址空間。ISP會妥善地設定
21、路由器,並確保屬於組織的流量最後都會找到送達組織的路徑。ISP會將組織的位址廣播給其他ISP,因此所有透過Internet的流量最後都會傳送給組織的系統。,在採用多ISP架構時,每一個ISP分配的位址範圍都不一樣,因此組織必須選擇將要使用的位址範圍。可能會發生一家ISP的路由可以正常運作,而其他ISP必須同意、廣播分配給組織的位址空間,都是屬於前面那家ISP管轄的位址。這種組態設定方式需要非常專業的BGP運作知識,這樣才不會造成路由發生錯誤。,另一種選擇就是組織購置自己的位址空間。雖然這樣可以解決部分的問題,但是和組織連線的ISP卻必須廣播不屬於自己的位址空間,而且也會帶來新的問題。最後一種選
22、擇就是同時使用兩家ISP提供的位址。在這種情況下,某些系統會使用第一家ISP的位址,某些系統卻使用第二家ISP的位址。,這種架構無法真正地解決可用性的問題。除非組織可以解決這種問題,否則請不要採用這種架構。,16-4 設計DMZ,DMZ是demilitarized zone,通常是指不能完全信任的網段。DMZ提供可供Internet存取和只有內部員工才能存取的網段劃分方式。如果是與商業夥伴或其他外部實體建立專屬連線時,DMZ也是一種不錯的選擇。本節的內容如下:16-4-1 DMZ的定義16-4-2 架設在DMZ的系統16-4-3 合適的DMZ架構,16-4-1 DMZ的定義,DMZ是一種部分保
23、護的網段。這個區段一般都是利用如防火牆,或路由器大量過濾網路存取控制的方式來區分網段。網路存取控制接著會設定一套用來判斷允許進入DMZ的流量,以及允許哪些流量送出DMZ的規則(詳見圖16-7)。只要外部使用者可以直接接觸到的系統,都應該架設在DMZ區段內。,圖16-7 一般性DMZ政策規則,外部系統或使用者可以直接接觸到的系統,通常都是最先遭到攻擊或侵害的系統。不能完全信任這些系統的原因,主要是因為它們隨時都可能會遭到侵害。DMZ系統若要存取內部網路的高敏感性系統時,存取能力多半都會受到限制。DMZ系統的存取規則,都是開放外部使用者存取DMZ系統適當的服務。DMZ系統對內部系統的存取能力都會受
24、到限制。,應該內部系統對DMZ系統發起連線的要求。組織的政策或許可以允許內部系統存取DMZ或Internet系統,但嚴禁外部使用者存取內部系統。,16-4-2 架設在DMZ的系統,哪些系統應該架設在DMZ網段?應該架設在DMZ的系統如下:郵件系統Web 站台允許外部存取的系統控制系統,郵件系統,圖16-8是DMZ網段可能提供的服務。內部網路和外部網路都架設了郵件系統。外部網路的郵件系統是用來收發郵件。新送到的郵件是由外部系統接收,然後才傳送到內部郵件系統。內部郵件系統會將外送的郵件送到外部郵件系統。某些防火牆會提供郵件伺服器。,如果啟用了防火牆郵件系統,那麼也就具有外部郵件系統的功能。可以移除
25、多餘的外部郵件系統。,如果郵件系統對於營運非常重要的話,不論是內部郵件系統或外部郵件系統,都應該建置備援系統。,圖16-8 DMZ系統和內部網路系統的規劃圖,Web 站台,允許公眾存取的Web伺服器,也是架設在DMZ網段內。從圖16-8之中可以看到,架設在DMZ網段的應用程式伺服器。許多Wen站台依據使用者輸入的資料提供適當的網頁內容。這些使用者輸入的資訊,是透過呼叫資料庫加以處理。資料庫可能內含敏感性資料,所以也不適合放在DMZ網段中。,Web伺服器可以和資料庫伺服器溝通,但Web伺服器卻允許外部使用者存取,因此也不能完全信任Web伺服器。利用應用程式伺服器做為居間的系統,並實際和後端資料庫
26、伺服器溝通。當We伺服器接受使用者輸入的資料,並將資料傳送給應用程式伺服器加以處理。,應用程式將接收的資料傳送給後端資料庫系統處理,再將取回處理過的資料回傳給Web伺服器,最後再由Web伺服器對使用者提供結果。雖然架構看起來有些複雜,但是可以用來確實保護資料庫伺服器,並減輕Web伺服器的負擔。,一旦資料庫系統含有組織某些相當重要的敏感資訊時,或許也可以架設在其他防火牆的後端。在這種情況下,防火牆將會區隔敏感性資料庫和內部網路,因此也會提高某些存取限制。,允許外部存取的系統,所有允許外部存取的系統,都應該架設在DMZ網段中。如果允許透過互動式交談而存取的系統(例如telnet或SSH),使用者也
27、將具有攻擊其他DMZ系統的能力。這類系統應該架設在第二個DMZ網段中,以免其他DMZ系統遭到攻擊。,控制系統,外部DNS伺服器也應該架設在DMZ網段中。如果組織計畫擁有自己的DNS,這部DNS伺服器也必須接受外部使用者的查詢。在組織的基礎建設之中,DNS也是非常重要的一個環節。或許組織會選用DNS備援系統或是由ISP代管的DNS。如果組織選擇後者,那麼ISP的DNS將會需要組織內部的DNS執行分區轉送(zone transfer)。而且,這個動作也不應該由其他系統執行。,如果組織選擇架設NTP,應該將主要的NTP地區伺服器架設在DMZ網段中。內部系統都應該向主要的本地NTP伺服器查詢、更新系統
28、的時間。NTP伺服器的另外一種解決方案就是 利用防火牆做為主要的NTP地區伺服器。,16-4-3 合適的DMZ架構,DMZ架構的種類非常多。若是以安全為前提,那麼每一種類型各有優缺點,而且每一個組織也需要判斷最合適的架構。最常見的三種架構如下:路由器和防火牆單一防火牆雙防火牆,後續探討的每一種架構都含有防火牆,有關防火牆的詳細說明請參考第10章的內容。,路由器和防火牆,圖16-9是簡單的路由器和防火牆架構。路由器連結ISP和組織的外部網路,防火牆則做為內部系統的存取控管。在這種架構之下DMZ成了外部網路,而且變成了可以從Internet存取的系統。因為系統架設在外部網段中,因此也無法抵禦來自I
29、nternet的攻擊。為求降低遭到侵害的風險,可以利用路由器的封包過濾器,所以也只有允許存取DMZ系統的流量才能進入DMZ網段。,另一種降低風險的方法,就是DMZ的每一部系統專門提供特定的服務類型。例如:Web伺服器只能提供各種網頁內容,同時也應該關閉telnet、FTP和其他服務。Web伺服器也應該修補到最近的等級並嚴密監視。,圖16-9 防火牆和路由器的DMZ架構,在許多情況下,ISP擁有路由器並負責管理、維護。如果是這樣的情況,組織就無法更換路由器也不能執行正確的組態設定。千萬記得,通常都是採用命令的控制方式設定路由器,因此也必須依照正確的順序妥善設定過濾規則。,單一防火牆,一部防火牆就
30、可以建立DMZ。採用單一防火牆的架構時,就會產生圖16-10區隔DMZ和外部網路的架構。外部網路是由ISP的路由器和防火牆提供防護,且由防火牆的第三組網路介面建立DMZ網段。在這種架構下,防火牆擔負起存取DMZ的控管工作。,採用單一防火牆的架構時,所有的流量被迫必須更過防火牆。防火牆必須設定成 只能允許存取每一部DMZ系統提供服務的流量才能通過。防火牆也可以提供允許不允許通過的流量記錄。防火牆成了單一故障環節,也可能成為流量的瓶頸。,如果可用性是整個架構最重要的安全問題,那麼防火牆也應該具有容錯的措施。如果預料會產生大量的DMZ流量時,防火牆不但需要承受這些流量,也要處理通往內部網路的Inte
31、rnet流量。只有單一防火牆的設計,且僅需設定允許不允許通過的流量,所以在管理上會比前一種架構來得容易。,在這種架構下的路由器,可以不需要執行封包過濾的工作。如果可以執行某些過濾動作時,會讓防火牆的負擔減輕並因而提高效率。DMZ系統也會受到防火牆的保護,因此也會降低安全的需求。雖然並不是說DMZ系統一定會發生安全問題,只是建議DMZ可以受到防火牆的保護,而防火牆可以受到路由器的保護,並因而排除其他不必要的服務。,圖16-10 單一防火牆DMZ架構,雙防火牆,這種架構是在內部網路和外部網路之間,架設一部用來保護DMZ區段的防火牆。外部網路仍然定義由ISP路由器和第一部防火牆組成的,DMZ則是移到
32、兩部防火牆之間。防火牆1設定成允許DMZ和內部網路所有的流量通過。防火牆2的設定更為嚴謹,所以只能允許將流量外送到Internet。,圖16-11 DMZ第三種架構,如果DMZ預期會有大量的流量時,防火牆1需要具有處理大量流量的能力。防火牆2可以是一部處理能力較差的系統,這是因為只有處理內部流量而已。這兩部防火牆可以是不同類型的防火牆。這種設計方式可能可以增進整體系統的安全性,主要是因為兩部防火牆不太可能同時遭受到單一攻擊的侵害。,和單一防火牆的架構一樣,DMZ也會受到防火牆的保護。雙防火牆的架構除了增加成本上的負擔之外,也會增加額外的管理和組態設定。,為了進一步防護,也可以在每一部DMZ系統
33、上安裝主機型防火牆或入侵偵測系統。如果採用這種作法時,即使一部DMZ系統遭到侵害,不過卻不會危及其他DMZ系統。,16-5 認識網路位址轉譯,只要任何組織計畫架設防火牆,就一定會牽涉到定址的問題。定址並不如想像般地容易,而且如何適當地設定也是一個非常頭痛的問題。主要問題點在於 網路位址已經不夠用。目前採用.標記法()的32位元網路位址,幾乎已經到了可用位址的上限。ISP已經不願意給予客戶大量的IP位址。,大部分ISP只願意分配16或32個位址(實際可以用位址僅剩下14個或30個,其餘兩個是用來做為廣播位址)。大多數的組織都擁有超過30部以上的系統,那麼該怎麼辦?這個問題的解決方案就是網路位址轉
34、譯(network address translation,NAT,簡稱轉址)。本節的內容如下:16-5-1 什麼是轉址服務?16-5-2 私人位址空間16-5-3 靜態NAT16-5-4 動態NAT,16-5-1 什麼是轉址服務?,NAT是將一個位址轉譯成另一個位址。為什麼要採用這樣的作法?有什麼好處?在大部分的網路中,防火牆通常都會執行NAT功能。如果必要的話,路由器也會利用這種功能。在應用層房防火牆的原始設計中(詳見第10章),就已經含有執行NAT的能力。,一旦防火牆成了所有連線的末端,外部也只能看到防火牆使用的位址而已。封包過濾型防火牆也具有這種能力,但是必須適當地設定防火牆。由於外界
35、無法看到內部系統使用的位址,所以NAT也可以提供部分安全的功能。因為如果看不到特定系統,也就無法定位和攻擊設定目標。,NAT無法提供完整的攻擊防護,因此也不應該犧牲其他安全措施。如果攻擊者位於組織範圍內,或透過如VPN、撥接連線等直接存取內部系統,那麼NAT也無法保護所有的系統。,16-5-2 私人位址空間,在瞭解NAT的概念之後,下一個步驟就是內部網路定址問題。如果沒有適當地設定位址時,內部網路位址也會導致各種類型的路由問題。RFC(Request for Comment的縮寫,這是Internet標準)1918明確指出 什麼是私人網路空間。,這些位址僅限使用在具有執行NAT能力的防火牆內部
36、網路。RFC更具體說明私人位址空間的範圍:到(使用8位元遮罩)到(使用12位元遮罩)到(使用16位元遮罩),使用這些位址可以讓組織在設計內部的定址計畫時,提供更大的彈性空間。組織使用這些位址做為內部網路的位址時,可依據需求自由搭配完全沒有任何限制。使用這些位址必須注意一件事情 任何位址都無法路由到Internet上。,某些ISP會在內部網路使用私人位址空間。在這種情形下,可能會有某些使用私人位址空間的位址會回應ping命令。如果ISP內部使用私人位址空間的位址,ISP的內部網路路由到這些網路時,也不應該廣播到ISP內部網路以外的區域,因此也不會影響組織內部所使用的位址。,如果嘗試ping私人位
37、址空間時,將會回傳含有network unreachable訊息的封包。,16-5-3 靜態NAT,組織使用私人位址空間架構網路,且希望NAT允許Internet存取特定系統時,採用靜態NAT架構即可達成目標。靜態NAT會將外部網路的真實IP位址對應到DMZ的設備上。圖16-12顯示轉換的過程。也可以將真實IP位址對應到內部網路的設備,但是任何Internet可以存取的設備都應該架設在DMZ網段中。,為什麼還要使用NAT?直接將真實IP位址分配給DMZ的系統不就行了?這樣會產生下列兩種問題:需要兩組位址才能達成這個目標ISP分配給組織的30個位址再細分成子網路防火牆使用部分IP位址,內部網路也
38、使用部分IP位址位址。如果希望在第二個DMZ架設某些系統時,就會需要使用其他的位址。,圖16-12 靜態NAT架構,並非所有的DMZ系統都需要使用真實的IP位址。圖16-8 的DMZ區段含有應用程式伺服器。這部應用程式伺服器不需要提供Internet存取,這部設備只是要接收並處理Web伺服器傳來的資訊,並和內部資料庫伺服器產生互動即可。靜態NAT是採用一對一單一組態設定。每一部可以從Internet存取的設備來說,也只需要使用一個位址即可。,靜態NAT適合用在DMZ的伺服器,不過卻不適用於桌上型用戶端系統。,16-5-4 動態NAT,動態NAT(著名的隱藏式NAT)有別於靜態NAT,也就是說許
39、多內部IP位址對應到單一真實的IP位址(詳見圖16-13),而不是採用一對一的對應方式。最具代表性的就是 防火牆的外部位址使用真實的IP位址。防火牆會追蹤連線,並為每一個連線開啟一個連接埠。,在實務上會造成一個限制:動態NAT最多只能同時允許大約64000個連線需求。不過每一個桌上型系統在存取網站時,單一內部系統也有可能開啟32個左右的連線需求。如果桌上型用戶端使用動態主機組態設定協定(Dynamic Host Configuration Protocol,DHCP),動態NAT會非常有用。系統使用DHCP之後,系統啟動之後不見得都會使用相同的IP位址,因此靜態NAT也無法運作。,外界無法鎖定
40、使用動態NAT的系統,這是因為防火牆會維護連接埠和內部系統的對應關係,而且這個對應關係隨時都會發生變動。,圖16-13 動態NAT架構,16-6 設計合作夥伴網路,設計Internet架構的概念,也可適用於設計合作夥伴之間的網路。由於合作夥伴的網路連結可以降低組織的成本,也就導致組織之間的網路連結快速地增加。本節的內容如下:16-6-1 使用合作夥伴網路16-6-2 設定16-6-3 定址問題,16-6-1 使用合作夥伴網路,建立合作夥伴網路的目地,通常都是為了交換特定的檔案或部分資料。組織內部的特定系統,需要和另一個組織的特定系統相互溝通。並不表示組織可以毫無限制地存取另一個組織的網路。如果
41、兩個組織已經鏈結,並將風險管理套用在合作夥伴的網路上,也將會發現到風險確實存在。,當兩個組織連線之後,也就表示另一個組織的員工可以存取您的內部網路。回想一下第7章談論的內容,也可以發現到客戶和供應商都是威脅起因。,16-6-2 設定,合作夥伴的安全需求和Internet連線的安全需求相較之下,兩者之間只有一點些微的差異。可以利用Internet連線的需求來設計架構和法則。應該確認的連線需求,且提供這些服務的設備應該架設在DMZ網段中。如果防火牆資源非常充足時(詳見圖16-14),雖然可以從防火牆建置專屬合作夥伴的DMZ,但合作夥伴的DMZ和Internet連線畢竟仍有些不同之處。,從圖16-1
42、4中可以看到,防火牆增加兩個用來處理合作夥伴的DMZ,以及合作夥伴網路的網路介面。在防火牆的系統上,除了必須增加允許組織合作夥伴系統的規則,還要增加允許內部系統存取合作夥伴DMZ系統的規則。任何規則都不應該允許組織合作夥伴的系統,可以和內部網路、Internet DMZ或Internet建立連線。,在許多情況下,防火牆必須明確地拒絕這些需求。表16-1顯示如何變更規則。,表16-1 做為合作夥伴網路存取的Internet防火牆規則,16-6-3 定址問題,在設計合作夥伴網路的時候,另一個需要注意的就是定址問題。大部分組織都是使用私人位址空間,做為內部網路的定址計畫。組織和合作夥伴可能使用相同的
43、位址範圍。如果沒有特別留意,可能兩個組織都會使用相同的,做為內部系統使用的IP位址。,若組織和合作夥伴建立連線時,為了避免發生這類問題,最好的方式就是利用NAT。利用定義合作夥伴網路的轉譯原則,也可以將合作夥伴的網路納入組織的定址計畫中。,本節探討的內容,只是提供您避免發生某些問題而已。網路連線的定址問題和正確的路由相關資料非常多,礙於篇幅也只能提供讀者基本的概念。因此在建構互連網路的時候,也需要注意流量的問題,才不會產生新的安全問題。,專案實作16:建立Internet架構,本專案實作主要希望帶領讀者,逐步建立Interent架構。對於此一實例的角色扮演上,您受雇於Widget Makers
44、,Inc.,,發展適合組織的Internet架構。在Internet連線方面,Widget Makers提出下列需求:必須建立可以提供公司商品資訊的Web伺服器。以電子郵件做為客戶和合作夥伴的主要溝通機制。辦公室員工可以使用Internet存取Web。公司架設供零售商訂購商品的Web站台,必須和公司的Web站台區隔。,專案實作16:步驟,1.針對上述需求,確認需要透過Internet提供的服務。2.確認會用來支援這個Internet架構的控制服務。3.確認包含ISP數量在內的通訊架構。4.確認適合用於這家公司的防火牆架構。那麼,需要在防火牆安裝多少個網路介面?5.在設計過程中,定義每一個防火牆
45、所需的規則。,6.確認位址數量以及內部系統的定址計畫。7.在完成設計之後,先假設這家公司無法負擔整個設計所需的設備成本。首先應該移除哪些項目來降低成本?變更之後會如何影響整體的安全設計?而且,也別忘了考慮機密性、完整性、可用性和可說明性。,專案摘要,建立高可用性的需求,會快速地導引設計的方向。其中也會包含備援設備和兩個以上的ISP。Web和郵件伺服器應該架設在DMZ網段中。和合作夥伴溝通的系統應該架設在DMZ網段中,或是架設在獨立的合作夥伴網路中。設計的結果,可能非常需要非常高的建置費用。,如果組織可能無法負擔整個設計架構的成本時,可能可以移除某些備援系統。然而這樣的作法,將會影響整體設計的可用性。,
