|
服務(wù)器的網(wǎng)絡(luò)安全中從頭部署新的防火墻策略是一件復(fù)雜的事情�,你要綜合考慮許多方面。一般來說�,防火墻有兩種工作模式,稱為路由模式和透明模式�,在路由模式下�,防火墻就象一個(gè)路由器��,能進(jìn)行數(shù)據(jù)包的路由���。
不同的是��,它能識(shí)別網(wǎng)絡(luò)第四層協(xié)議(即傳輸層)的信息���,因此它能基于TCP/UDP端口來進(jìn)行過濾。在該模式下����,防火墻本身要配備兩個(gè)或多個(gè)網(wǎng)絡(luò)地址,你的網(wǎng)絡(luò)結(jié)構(gòu)會(huì)被改變���。在透明模式下�,防火墻更象一個(gè)網(wǎng)橋�����,它不干涉網(wǎng)絡(luò)結(jié)構(gòu)�����,從拓?fù)渲锌磥恚坪跏遣淮嬖诘?因此稱為透明)���。但是��,透明模式的防火墻同樣具備數(shù)據(jù)包過濾的功能��。透明模式的防火墻不具備IP地址��。這兩種模式的防火墻都提供網(wǎng)絡(luò)訪問控制功能,例如你可以在防火墻上設(shè)置��,過濾掉來自因特網(wǎng)的對(duì)服務(wù)器的NFS端口的訪問請(qǐng)求�����。
在網(wǎng)絡(luò)中使用哪種工作模式的防火墻取決于你的網(wǎng)絡(luò)環(huán)境���。一般來說���,如果你的服務(wù)器使用真實(shí)IP地址(該地址一般是IDC分配給你的),會(huì)選擇防火墻的透明模式��。因?yàn)樵谠撃J较拢愕姆⻊?wù)器看起來象直接面對(duì)互聯(lián)網(wǎng)一樣���,所有對(duì)服務(wù)器的訪問請(qǐng)求都直接到達(dá)服務(wù)器��。當(dāng)然�����,在數(shù)據(jù)包到達(dá)服務(wù)器之前會(huì)經(jīng)過防火墻的檢測(cè)����,不符合規(guī)則的數(shù)據(jù)包會(huì)被丟棄掉(從服務(wù)器編程的角度看�����,它不會(huì)覺察到數(shù)據(jù)包實(shí)際已被處理過)��。
實(shí)際上為了安全起見�,很多服務(wù)器都采用私有IP地址(例如172.16.0.0/16和192.168.0.0/24都屬于私有IP地址),如果這些服務(wù)器不必對(duì)外提供服務(wù)���,那么就最安全不過了�,如果要對(duì)外提供服務(wù)���,就有必要通過防火墻的NAT(網(wǎng)絡(luò)地址轉(zhuǎn)換)來滿足來自因特網(wǎng)的訪問要求���。NAT是防火墻的一項(xiàng)功能��,它實(shí)際上工作在路由模式下����。
大多數(shù)防火墻都會(huì)區(qū)分所謂的正向NAT和反向NAT����,所謂正向NAT就是指從內(nèi)網(wǎng)出去的數(shù)據(jù)包,在經(jīng)過防火墻后����,包頭會(huì)被改寫����,源IP被改寫成防火墻上綁定的IP地址(或地址池,肯定是公網(wǎng)真實(shí)IP)���,源端口也會(huì)有所改變���,回來的數(shù)據(jù)包經(jīng)過同樣處理,這樣就保證內(nèi)網(wǎng)具有私有IP的主機(jī)能夠與因特網(wǎng)進(jìn)行通信。在反向NAT的實(shí)現(xiàn)中�,會(huì)將服務(wù)器的公網(wǎng)IP綁定在出口處的防火墻上,服務(wù)器只會(huì)使用一個(gè)私有IP�����,防火墻會(huì)在它的公網(wǎng)IP和這個(gè)私有IP之間建立一個(gè)映射��,當(dāng)外網(wǎng)對(duì)這臺(tái)服務(wù)器的請(qǐng)求到達(dá)防火墻時(shí)���,防火墻會(huì)把它轉(zhuǎn)發(fā)給該服務(wù)器���。當(dāng)然,在轉(zhuǎn)發(fā)之前�,會(huì)先匹配防火墻規(guī)則集,不符合規(guī)則的數(shù)據(jù)包將被丟棄�。
使用反向NAT,會(huì)大大提高服務(wù)器的安全性�����。因?yàn)槿魏斡脩舻脑L問都不是直接面對(duì)服務(wù)器�,而是先要經(jīng)過防火墻才被轉(zhuǎn)交。而且��,服務(wù)器使用私有IP地址,這總比使用真實(shí)地址要安全����。在抗拒絕服務(wù)攻擊上,這種方式的成效更顯然�。但是,相對(duì)于透明模式的防火墻�����,采用反向NAT方式的防火墻會(huì)影響網(wǎng)絡(luò)速度�。如果你的站點(diǎn)訪問流量超大,那么就不要使用該種方式�。值得一提的是,CISCO的PIX在NAT的處理上性能異常卓越����。
另外一種情況是,服務(wù)器使用真實(shí)IP地址���,防火墻配置成路由模式,不使用它的NAT功能�。這種情況雖然可以實(shí)現(xiàn),但會(huì)使你的網(wǎng)絡(luò)結(jié)構(gòu)變得很復(fù)雜��,似乎也不會(huì)帶來效益的提高。
大多數(shù)IDC的機(jī)房不提供防火墻服務(wù)����,你需要自己購買和配置使用防火墻。你完全可以按透明模式或NAT模式來配置���,具體怎么配取決于你的實(shí)際情況��。有些IDC公司會(huì)提供防火墻服務(wù)���,作為他們吸引客戶的一個(gè)手段。一般來說��,他們的防火墻服務(wù)會(huì)收費(fèi)�。
如果你的服務(wù)器在IDC提供的公共防火墻后面,那么就有必要仔細(xì)考慮你的內(nèi)網(wǎng)結(jié)構(gòu)了��。如果IDC提供給你的防火墻使用透明模式��,也即是你的服務(wù)器全部使用真實(shí)IP地址��,在這種情況下����,除非你的服務(wù)器數(shù)量足夠多(象我們?cè)诒本┯?00多臺(tái))���,那么在你的邏輯網(wǎng)段里肯定還有其他公司的主機(jī)存在。
這樣����,雖然有防火墻,你的系統(tǒng)管理任務(wù)也不會(huì)輕松多少�,因?yàn)槟阋艿酵痪W(wǎng)段里其他公司主機(jī)的威脅。例如����,你的服務(wù)器的IP地址段是211.139.130.0/24,你使用了其中的幾個(gè)地址����,那么在這個(gè)網(wǎng)段里還會(huì)有200多臺(tái)其他公司的主機(jī),它們與你的主機(jī)同處于一個(gè)防火墻之后�����,雖然防火墻可以屏蔽來自因特網(wǎng)的某些訪問����,然而����,內(nèi)部這些主機(jī)之間的相互訪問卻沒有任何屏蔽措施�����。于是��,其他公司不懷好意的人可以通過他們的主機(jī)來攻擊你����。
或者���,網(wǎng)絡(luò)中一臺(tái)主機(jī)被黑客入侵����,則所有服務(wù)器都會(huì)面臨嚴(yán)重威脅�。在這樣的網(wǎng)絡(luò)中,你不要運(yùn)行NFS���、Sendmail�����、BIND這樣的危險(xiǎn)服務(wù)���。
這種問題的解決方法是自己購買防火墻�����,并配置使用透明模式���,不要使用公用防火墻的透明模式。
有的IDC公司會(huì)給你提供NAT方式的防火墻�����,你需要在服務(wù)器上設(shè)置私有IP地址�,然后由防火墻來給服務(wù)器做地址轉(zhuǎn)換。這種情況與上述情況存在同樣的問題����,那就是,在你的服務(wù)器所在的邏輯網(wǎng)段里還有其他公司的主機(jī)�。
例如在172.16.16.0/24這個(gè)網(wǎng)段可容納254臺(tái)主機(jī),你的服務(wù)器使用了其中的幾個(gè)IP�����,那么可能還有200多臺(tái)其他公司的主機(jī)與你的服務(wù)器在同一個(gè)網(wǎng)段里。這樣���,雖然對(duì)外有防火墻保護(hù)����,但無法防范來自內(nèi)網(wǎng)的攻擊��。
要解決這個(gè)問題���,你不必自己購買防火墻。既然私有IP是可以任意分配的����,那么你可以向IDC單獨(dú)要一個(gè)網(wǎng)段,例如172.16.19.0/24網(wǎng)段���,把你的服務(wù)器都放在這個(gè)網(wǎng)段里�,其中不要有其他公司的主機(jī)�。這樣一來,你的內(nèi)網(wǎng)也無懈可擊了��。
實(shí)際上�,如果你有一個(gè)大的UNIX主機(jī)的網(wǎng)絡(luò),那么沒必要讓每臺(tái)主機(jī)都在防火墻上打開登陸端口。你可以特別設(shè)置一臺(tái)或兩臺(tái)主機(jī)做為登陸入口����,對(duì)其他主機(jī)的訪問都必須使用入口主機(jī)作為跳板。這樣做犧牲了使用的方便性��,但帶來更強(qiáng)的安全性�����。當(dāng)然����,前提是你必須管理好入口主機(jī)。
有一種電子令牌卡適合這種應(yīng)用���,它是一張隨身攜帶的卡��,每隔一段時(shí)間(這個(gè)時(shí)間通常很小����,幾分鐘或者幾十秒)動(dòng)態(tài)產(chǎn)生一個(gè)口令�����,你只有使用這個(gè)口令才能登陸主機(jī),并且該口令很快就會(huì)失效���。
不僅是UNIX主機(jī)�����,對(duì)Windows主機(jī)的終端管理也可以采用這種跳板的方式�����。但Windows的終端比UNIX的shell要麻煩得多,如果你不愿犧牲太多的方便性���,那么就不要這樣做�。
網(wǎng)絡(luò)安全是服務(wù)器安全中重要的部分����,希望大家已經(jīng)掌握以上的內(nèi)容,另外����,還希望大家多多關(guān)注防火墻的知識(shí),以更明白的了解服務(wù)器網(wǎng)絡(luò)安全��。
如果有需要服務(wù)器的租用與托管的敬請(qǐng)聯(lián)系QQ:1501281758(億恩星辰) 聯(lián)系電話:0371—63322220
本文出自:億恩科技【mszdt.com】
服務(wù)器租用/服務(wù)器托管中國五強(qiáng)�����!虛擬主機(jī)域名注冊(cè)頂級(jí)提供商!15年品質(zhì)保障�!--億恩科技[ENKJ.COM]
|
香港服務(wù)器租用
美國服務(wù)器租用
電信骨干機(jī)房
聯(lián)通骨干機(jī)房
0371-60135900
