Asp的安全管理（12）_ASP文摘

附录 C：网络安全的最佳方案

Steve Riley，Microsoft Communications Industry Solutions Group Consulting Practice

2000 年 8 月 7 日

这篇短文论述了网络设计和安全的最佳方案。尽管网络的设计和安全保护方法很多，但只有某些方法和步骤深受许多业内人士的喜欢。

筛选路由器 — 第一道防线

应当使用筛选路由器来保护任何面向 Internet 的防火墙。这种路由器只有两个接口：一个与 Internet 相连而另一个与外部防火墙（或必要时与负载平衡的防火墙群集）相连。所有攻击中，将近 90% 涉及到 IP 地址失窃，或改变源地址以使数据包看起来如同来自内部网络。传入数据包没有什么理由可以来自内部网络。另外，由于一个网络的安全性通常取决于所连接网络的安全性，因此最好能避免您的网络被用作假数据包的来源。筛选路由器是实现这些目的的理想方法。

应当将筛选路由器配置为“allow all except that which is specifically denied”（允许通过特别拒绝以外的所有通信）状态。这样，ACL 就执行下列操作：

定义一个进入筛选器，它拒绝任何源地址为内部网络地址的传入通信。

定义一个外出筛选器，它拒绝源地址非内部网络的传出通信。

拒绝 RFC 1918 中所确定的任何专用地址范围内源地址或目标地址的所有传入或传出通信。

允许所有其它的传入和传出通信。

这可阻止大多数攻击，因为窃取内部地址几乎是所有攻击的基本条件。将筛选路由器后面的防火墙配置为“deny all except that which is specifically allowed”（拒绝除特别允许之外的所有通信）状态。

（这部分信息的依据为 RFC 2267，“Network ingress filtering: Defeating denial of service attacks which employ IP source address spoofing”，1998 年 1 月。）

对可用性要求较高的环境，可使用两个筛选路由器，并将二者连接到一对防火墙负载平衡设备上。

防火墙 — 分层保护

典型的非军事区 (DMZ) 有两个防火墙。外部防火墙配置为只允许 Internet 和 DMZ 之间连接所需的通信。内部防火墙的配置要能够保护内部网络不受 DMZ 的影响 — DMZ 是非信任网络，因此有必要对内部网络实施保护。

什么是 DMZ？看看世界上仅有的政治方面的 DMZ：南北朝鲜之间的区域。DMZ 由其保护边界确定 — 在这种情况下，两个地理边界，分别由单独的保护实体进行监视和保护。网络中的 DMZ 与此非常类似：某单独的网络部分经过单独的物理防火墙与（通常）两个其它网络相连。

DMZ 与屏蔽子网。常见的方法是使用具有多个接口的单一物理防火墙。一个接口连接 Internet，第二个接口连接到内部网络，第三个接口连接到通常称为 DMZ 的区域。这种体系结构不是真正的 DMZ，因为单个设备负责多个保护区域。这种方案的确切名称是屏蔽子网。屏蔽子网具有严重缺陷 — 单个攻击就可破坏整个网络，因为所有网络段都与该防火墙相连。