目前,安全已经象一家快餐店的法式油炸食物一样,无论需要它总是会同出现在你的菜单之中。这不总是坏事,但是如果网络中的每一台设备都配置了各自的安全设置,那很可能会造成一些混乱。不同的安全设置有些互不兼容,从而出现一些无法意料的后果。
下面我将针对不同设备组成的网络环境给出一些建议。
作者按
许多相异的网络设备具有不同安全设置,而至今还没有一个即定的方法来解决这个问题。本文的目的就是希望能给您在提出一些通用的理论的同时提供一个具体的例子,以便您能应用到你的实际应用中。
防火墙
网络中不同的设备如果都能正确配置不同的安全设置,就能形成一个深入的具有多层防护功能的安全系统,这意味着如果黑客想获得系统内的重要文件就要面临不同的障碍。但是一些网络管理员往往忽视这一点,并没有建立多道安全防护设置。
我曾经有一位同事,他不喜欢防火墙。他认为防火墙会使管理员放松警惕,错误的认为网络是安全的。采用防火墙的管理员有时候会认为防火墙绝对安全,从而将其防火墙作为第一道也是最后一道防护线。而我的那位同事不仅坚持在每一台服务器上设置防火墙,而且还对每一项服务都设置安全防护以避免被攻击。那可能是我至今见到的最安全的的网络环境。因此,我认为在所有设备上正确设置防火墙并不意味着绝对安全,有了防火墙也不能就此放弃其他防护措施。
实际上,真正的网络安全包括一整套安全解决方案,它是经过精心设计的包括企业全方位的安全环境。当经过全面考虑和实施后,同类型的网络环境安全防护计划将可以帮助整个网络避免各类攻击。
理论假设
同雪花一样,世界上没有完全相同的两片雪花,也没有完全相同两个网络系统。因此在一篇文章中,我不可能详细列出同您的网络完全一样的安全设置。因此在接下来的部分中,我将以一个普遍的网络为例来说明如何进行安全设置,见下图A。通过对一般网络环境中的安全设置,您将可以针对自己的网络进行设置。
图A
这是一个没有安全设置的网络图示
在这个一般网络环境中,我将作以下一些假设:
? 网络中没有防火墙
? 网络中的所有IP地址都是公共IP地址,路由地址如图所示
? 企业服务器系统为Windows 2000 和 IIS 5.0
? 客户机运行不同的操作系统,包括Red Hat Linux、Windows 2000专业版和Windows XP专业版,其中大部分为Windows XP系统。
设置防火墙
有两种方式来建立安全网络环境:从内部建立和从外部建立。这里我指的是从网络的哪个方向开始建立安全环境。以下我将从解释从外部建立的方法,这种方法用于不同类型设备组成的的网络中较好一些。
第一道程序就是在路由器和交换机之间安装防火墙。在路由器和交换机之间安装防火墙比重新更换一台具有防火墙功能的路由器要复杂许多,而且有可能留下了一个安全漏洞。如下图B所示,我将安装思科PIX防火墙。
图B
第一项任务安装防火墙
你可能会注意到在路由器和防火墙之间,我又安装了一个集线器。这个集线器具有多个网络功能,你可以外挂一台运行某类侵入探测系统(IDS)的服务器,从而可以分析接入互联网的所有进入和外出的信息量。
此外,在图上你也可以看到与以前不同的是这里使用的不再是公共TCP/IP地址,我已经在防火墙后重新为所有设备设定了B类私有IP地址。
其他安全组件
在安装了防火墙和修改了一些设置以后,还应该对网络中其他一些设备也进行安全防护设置。这是一个系统的过程,需要对网络中每一台设备进行各自的安全设置。按照本文中的一般网络来说,这需要做以下一些工作:
? 在IIS服务器上采用IIS锁定工具,有关该内容参见IIS服务器安全锁定
? 为网络中所有操作系统安装安全hotfixes和rollup包,其中包括Windows 2000 Rollup 和 IIS Security Rollup包
? 利用IP地址表对Linux工作站和服务器进行安装设置。
? 利用一些工具,如Windows Baseline安全分析软件来检查网络中Windows服务器和工作站设置是否安全。
总结
由于网络安全系统往往被分离成许多零散的方法或者说部件,从而不易于了解整个网络安全特性。笔者在这里所提到的也仅仅是冰山一角,此外还有方法可以提高网络安全性,例如用户可以利用AIDE安全探测系统对Linux服务器进行检查;在Windows中可以通过Windows 2000服务器接入控制目录表来阻止一些非法接入使用。
