第五章Internet安全体系结构.pptVIP

第5章 Internet安全体系结构;Internet的广泛应用对组织的系统和信息增加了潜在的不安全风险，采用合适的安全结构，可降低风险。;Internet提供何种服务，选择哪些主机提供服务，以及哪些用户可访问这些服务，都会影响整个网络结构。Internet提供的服务通常有邮件服务、Web服务、内部访问Internet、外部访问内部系统。还有一类属于控制的服务，包括域名服务DNS、Internet控制报文协议ICMP。 ;1.邮件服务 邮件服务通常用来为内部员工提供收发信件。这种服务至少需要建立一个服务器以接收进来的邮件。 一个组织也可选择建立公共邮件网关，用作电子邮件讨论组。它允许外部人员将邮件首先发到该系统，系统按照预先确定的用户列表转送邮件。;2.Web服务 Web服务用来为员工、合作伙伴发布信息。这种服务需要建立一个Web服务器，以及生成需要发布的信息内容。 假如Web站点的某些内容是限制的或敏感的，就应使用HTTPS，HTTPS工作在443端口，而不是通常的80端口，后者用于普通的Web通信。HTTPS是HTTP的加密版，HTTP用于标准的Web通信，而HTTPS用于含有敏感信息或需要身份鉴别的Web页面。;3.内部访问Internet 内部员工如何访问Internet是由该组织制定的Internet使用策略确定的。某些组织允许员工访问Internet使用一些服务，如浏览web、聊天、视频或音频流。而有些组织只允许某些员工使用浏览器访问限定的Web站点。表7-1列出了通常允许员工获得的Internet服务。;表7-1 允许员工获得的Internet服务;4.外部访问内部系统 从外部访问内部系统，对安全和网络管理人员来说是经常要触及的问题。这种情况是指主要用于内部人员在外部需要访问或处理的内部系统事务，而不是为外部访问而设置的Web和邮件服务器。 来自外部的访问主要有两类，一类是从远程访问内部系统的本组织员工，另一类是非本组织员工的访问。员工从远程访问内部系统通常使用在Internet上的虚拟专网VPN。;另外一种情况是外部组织需访问内部系统。即提供给那些可信的合作伙伴的访问，但必须提出解决方案来管理风险。这时，外部访问并不直接进入内部系统，而是进入某些受控的网络，在后面讲到非军事区时会进一步阐明。;1.域名服务 域名服务（DNS）用来解决系统名字和IP地址的转换。通常内部系统查询一个内部DNS来解决所有的地址。 2.Internet控制报文协议 Internet控制报文协议（ICMP）提供诸如ping这样的服务，用来发现一个系统是否在工作。 ;Internet体系结构应设计成提供需要的服务，也就考虑一些涉及到法律、规范、道德、安全方面的问题的内容不应在internet上发布。;为了组织的Internet连接，开发通信结构时，最主要的问题是吞吐率需求和可用性。ISP应提供合适的通信线以满足所需的吞吐率。 Internet接入的方案有单线接入、多线接入至单个ISP、多线接入至多个ISP等。;非军事区（DMZ）是一个非真正可信的网络部分，它提供一个同内部网分开的区域，可供组织的员工通过Internet访问它，也可供商业伙伴和其他的实体访问。 ;1.DMZ的定义 DMZ是一个非保护的网络区域，通常用网络访问控制来划定，诸如用防火墙或过滤路由器。网络访问控制设定策略，以决定哪些通信允许进入DMZ，哪些通信不允许进入DMZ，如图7.7所示。一般来说，任何能直接被外部用户接触的系统放置在DMZ中。 ;图7.7 通用的DMZ策略规则;能被外部系统或用户直接访问的系统也是最先受到攻击和可能被破坏的系统。这些系统不可能是安全可信的，因为在任何时间都有可能被破坏。因此必须在DMZ与内部网络严格的隔离，一般通过访问控制来实现。 DMZ的一般访问规则是允许外部用户访问DMZ系统上合适的服务，限制访问内部系统的服务。内部系统应初始化DMZ系统的连接，使内部系统能访问DMZ，但不允许外部用户访问内部系统。;2.在DMZ中放置的系统 （1） 邮件系统 邮件系统有外部邮件服务器和内部邮件服务器两种。外部邮件服务器用来接收进入的邮件，也用来发送输出的邮件。新来的邮件首先由外部邮件服务器接收然后送到内部邮件服务器。内部邮件服务器将要发送的邮件传至外部邮件服务器。 有些防火墙提供一个邮件服务器。如果使用防火墙的邮件服务器，其功能相当于外部邮件服务器。这种情况下，就不用另外架设外部邮件服务器。 ;图7.8 DMZ和内部网络间的系统布局;（2） Web服务器 提供公共访问的Web服务器放在DMZ中，还应放置一个应用服务器。由于Web服务器有时需要与数据库服务器进行连接通信。而Web服务器又接受来自外面的访问，这样就不是完全的可信。最好的方法是引入第三个