分布式系统的安全.docVIP

分布式系统的安全 黄峰 分布式系统的很重要的一个方面就是它的安全。从某种意义上说，安全是分布式系统的最重要的一个方面。但是给一个分布环境提供安全是非常困难的。分布式系统的安全和传统的计算环境的安全的最大的不同是，在分布环境下，很难确定你所要保护的边界。在传统的分时系统中，终端即代表着边界，为了能够进入系统，用户必须先登陆，提供帐号及口令，但是系统的物理部件，比如硬盘、CPU、内存，这些都不是安全边界。分布式系统好象是一个物理上分开的分时系统。比如把硬盘和CPU分开，它们之间通过不能信任的接口连接，通过接口，一个恶意的用户可以访问及篡改所有信息。 非连接的局域网 很多系统是建立在非连接的局域网上的，即：这个网络在物理上只对有限个人员开放，通常是一个组织的成员。很显然，非连接的局域网和那些不是非连接的局域网相比，在安全方面要考虑的问题要少得多，因为和那些不是非连接的局域网相比，潜在的威胁要少很多。对于非连接的局域网而言，最大的威胁就来自于那些组织成员内部。因为只有这些人可以在物理上访问网络，所以只有这些人才能对网络构成威胁。但是这些来自于内部人的威胁是最难防范的。正所谓家贼难防。在大多数情况下，他们对系统究竟是怎么工作的了解得非常清楚，当然他们对系统的弱点也了解得非常清楚。 非连接的网络的的一个潜在的很大的威胁是，这个网络在大家都不知道的情况下已经和外部连上了！你可以认为你的局域网是安全的，以为这个网络只连了你们工作组的几台计算机，而这些计算机都属于可以信赖的人的。但是在谁都不知道的情况下，某个人在某台计算机上上安置了一个调制解调器。这时，这个网络就变得不安全了。 和外部连接的局域网 这些局域网和一些不受该组织控制的其他的网络相连。和非连接的局域网相比，一个主要的不同是，这个网络面临的潜在的威胁要大得多。除了要面对来自于内部人员的威胁以外，还要面对那些通过网际互连可以访问该网络的外部人员的威胁。 和外部连接的局域网可以分为两类，一类是全连接的局域网。这个局域网和外部网络有无缝接口。还有一类是部分连接的局域网。这种网络可以在外部进行访问，但是得通过这个组织自己定义的技术和方法，而这种技术和局域网的流行的技术不相同。一个简单的例子是上面所提到的。某个人通过一台机器上的调制解调器访问一个非连接的网络，结果就造成了一个部分连接的局域网。这个连接之所以是部分连接，是因为通过调制解调器访问该网络，本身就蕴涵了是通过电话线来访问的，这个手段本身就可能包含了对访问该网络的某些权限限制。 对于和外部连接的局域网而言，最大的威胁是它可能遭受来自于世界上任何一个地方的威胁。在互连网上没有警察，也没有法律规定人们究竟可以访问那些资源。 分布式系统的网络安全策略 防火墙 一个最常用的网络安全技术就是使用防火墙.建造一个防火墙就是在连接该局域网和外部网络的路由器上建立包过滤。只有那些符合规定的包才能从防火墙里边传到防火墙外边。 防火墙的关键就是在端口之间进行访问控制.比如一个路由器可以被设置成把所有从外边过来的试图通过端口23来访问的包都丢弃掉.这样干可以有效的关掉外进来的TELNET。大部分的路由器供应商都支持网络管理员建立一张关于允许访问和不允许访问的端口号表。有些甚至允许你为每个用户或者子网建立端口过滤，允许网络管理员在更细的粒度上进行访问控制， 使用防火墙的一个很大的好处是网络管理员做到可以不用去访问组织内的每个用户的计算机就提高系统的安全性。换句话来说，组织内的用户可以随意配置他们的计算机，防火墙可以保护他们。 不管怎么说，防火墙应该给用户以足够的自由，但是最好的防火墙和使网络不可访问是同义词。和网络连接本身就有不安全性，那么一个组织为什么还要和网络相连呢？因为安全并不是最主要的。通过网络和外部世界相连的一个主要原因就是使得信息交流变得更容易。如果防火墙使得他们不能达到这个目的的话，他们就不会使用防火墙。 防火墙的配置是非常重要的。你必须得保证网络支持的协议能够通过防火墙。尤其是使得使用和TCP的端口53的域名系统协议（Domain Name System protocal ）能够通过防火墙。否则的话，组织内部的机器就不能解析防火墙外的机器的名字。同样的，如果你想让防火墙内外的机器能够通讯的话，你也得保证防火墙外的机器能够访问相应的DNS服务器，这样他们才能解析防火墙内的主机地址。 实现防火墙的一个通常的办法是拒绝绝大部分的从防火墙外发起的到防火墙内的机器的连接。当然啦，特定的机器除外，这种机器是被保证是严格安全的。 必须严格限制从防火墙内发起的到防火墙外的连接，必须对这种连接特别小心。你必须明白谁会对你构成威胁，以及什么会对你构成威胁。禁止从内部