《3.防火墙技术堡垒主机.pptVIP

5. 堡垒主机(Bastion Host) 堡垒主机的配置 特殊类型的堡垒主机 设计和构筑堡垒主机的原则 建设堡垒主机需要考虑的因素 建立堡垒主机的步骤 运行堡垒主机 堡垒主机的保护与备份 5.1 堡垒主机的配置 防火墙系统中，配置堡垒主机的数量： 一台 多台 配置数量由具体情况决定 使用多台堡垒主机原因 性能 冗余 分离数据或者服务器 性能： 例1： 一台堡垒主机处理提供给内部网用户的服务 一台堡垒主机处理提供给因特网用户的服务 内部网用户不会受外部网用户的活动影响 例2： 多堡垒主机用于同样的服务 需要考虑负载平衡问题 冗余： 一台失败，另一台提供相同服务 分离数据或服务器： 保证安全 例：多台堡垒主机为不同用户提供同样服务，可以实现针对不同用户提供不同的数据 需要保证堡垒主机安全，原因 高度暴露 安全核心，坚固 5.2 特殊类型的堡垒主机 无路由双宿主机 牺牲品主机 内部堡垒主机 无路由双宿主机 本身可以作为一个防火墙，也可以作为一个更复杂的防火墙的一部分 有两个网络接口，但这些接口间没有信息流 牺牲品主机 适用于无论使用代理服务还是数据包过滤都难以保证安全的网络服务，或者一些对其安全性没有把握的服务 其上没有任何需要保护的信息 不与任何入侵者想要利用的主机相连 易于被管理，即使被侵袭也无碍内部网的安全 注意： 用户总是希望在牺牲品主机上存有尽可能多的服务与程序 但是出于安全性考虑，不可随意满足用户的要求，否则会使用户越来越信任牺牲品主机而违反设置牺牲品主机的初衷 内部堡垒主机 与堡垒主机有交互的某些内部主机，例如： 内部SMTP服务器 内部DNS服务器等 是有效的次级堡垒主机，应象保护堡垒主机一样加以保护 可以在它上面多放一些服务，但其配置必须遵循与堡垒主机一样的过程 5.3 设计和构筑堡垒主机原则 最简化原则 预防原则 最简化原则：尽量简单 为什么：堡垒主机越简单，安全越有保证 堡垒主机提供的任何服务可能有软件缺陷或者配置错误 怎么做：提供服务 数量尽可能少 特权尽可能小 预防原则：做好堡垒主机被损害的准备 让内部机器不再信任堡垒主机 具体方法： 在堡垒主机与内部主机之间设置包过滤器 在内部主机上进行访问控制（口令、认证等） 5.4 建设堡垒主机需考虑的因素 选择机器 选择位置 选择服务 选择机器 选择操作系统 对机器速度的要求 硬件配置 选择操作系统 选择较为熟悉、较为安全的操作系统作为堡垒主机的操作系统 要考虑对以后的工作的影响 对机器速度的要求 并不要求有很高的速度，只要物尽其用即可 当需要较快速度的机器时，也可使用多堡垒主机结构 不使用高档堡垒主机的原因 低档机器对入侵者的吸引力要小一些，入侵者往往以入侵高档计算机为荣 低档堡垒主机不利于入侵者进一步侵入内部网，因为它编译较慢，运行一些有助于入侵的破译密码程序也较慢 硬件配置 高兼容性、高可靠性、慎重选择新产品 需要大内存以支持同时处理多个网际连接 需要较大的磁盘空间作为存储缓冲来运行代理服务 选择位置 物理场所 网络上的位置 物理场所 安全 适宜 通风良好 温度恒定 不间断电源 网络上的位置 最好放在一个单独的网络上(周边网络)，不放在内部网上 放置在没有重要或机密信息流的网络上 原因： 混合模式下一个网络接口可捕捉到与该接口连接的网络上的所有的数据包，而不仅仅是发给该接口所在机器的地址的数据包 大多数以太网和令牌环网的接口都可工作在混合模式 一旦堡垒主机被攻破，侵袭者可以利用混合模式获取堡垒主机所在网络的信息 周边网络上的堡垒主机无法侦听内部网络的数据包 选择服务 服务分为四类： 安全的服务：可以通过包过滤提供的服务 提供的服务不安全，但可以采取安全措施：在堡垒主机上提供 提供的服务不安全，也无法保证它的安全：可以废除这些服务，如果确实需要，可以在牺牲品主机上提供 必须废弃的服务 5.5 建立堡垒主机的步骤 1)初步建立安全的运行环境 2)关闭所有不必要的服务软件 3)安装或修改必须的服务软件 4)根据最终需要重新配置机器 5)核查机器上的安全保障机制 6)将堡垒主机连入网络 在进行最后一步工作之前，必须保证机器与因特网是互相隔离的 初步建立安全的运行环境 安装最小的、无病毒的、标准的操作系统 修复已知的操作系统的缺陷 使用安全检查列表 Checklist 保护系统日志 保护系统日志 系统日志的重要性 通过检查系统日志，可以知道系统正在做什么、将来要做什么 通过检查系统日志，可以判断堡垒主机的运行是否正常，哪些方面发生了问题 要确保系统日志的安全 存放系统日志主要考虑： 方便性：要将它存放在易于操作的地方 安全性：要使非相关用户无法操作到日志文件 为此，同时存放日志文件的两个拷贝 方便性拷贝：是监视系统日常运行的基础 安全性拷贝：在发生事故重建堡垒主机时