部署多dmz区的安全企业网络.doc

实验题目 部署多DMZ区的安全企业网络 实验任务 实验目的 ? ??? 企业数据库做为企业网络重点保护的资源，它保存着大量的企业所独有的机密数据，是企业所要保护的主要对象。然而一些企业由于业务需要（它们需要通过服务网络使其信息被公众访问），在严格保护企业数据库的同时，仍要向Internet发布部分数据信息，也就是说，数据库对公共是开放的（即使是部分或有相当严格的权限限制）。??? 一些中小企业利用传统的三宿主防火墙（DMZ屏蔽子网内部的防火墙）构建企业网络结构如图3-1所示： 图3-1 ??? 防火墙分别和三个独立的网络相连（因此需要三个网卡），这三个网络如下所述：外部网络——Internet或者公司分部DMZ屏蔽子网受保护的局域网??? 该网络结构存在的风险之一就是防火墙对DMZ提供单层防护。也就是说，如果黑客突破了该层防护，整个DMZ都会暴露在黑客面前，尤其是数据库服务器将面临巨大的威胁。??? 部署多DMZ区的安全企业网络，就是针对上述问题提出的一种最有效的深层防御措施，通过设置多重防火墙（或支持多重防御的防火墙）实现多重防御。并且要对企业网络进行多样的安全加固，包括建立VPN通道、不同区域IDS部署以及利用蜜罐实现黑客追踪取证。??? 本实验注重培养学生科学分析、实践操作和应用创新能力，强化学生掌握企业网络结构的体系构成和各种网络安全设备的配置、部署与联动操作。学生还可以在此基础上提出更合理的网络安全解决方案，进行安全加固。 实验需求 ? ??? 部署双DMZ区的企业网络结构，数据库服务器由两个防火墙（或支持双重防御的单个防火墙）来提供防护。一个防火墙可以监控内网、DMZ和Internet之间的通信，另外一个防火墙可以监控DMZ和DMZ2之间的通信，如图3-2所示。 图3-2 ??? 部署需求如下：??? （1）区域划分需求??? 双防火墙划分四个网络区域：内网（受保护的局域网）、DMZ（直接对外信息发布的服务区域）、DMZ2（间接对外发布的、受保护的服务区域）和公网（Internet）。??? （2）信息流向需求公网能够与DMZ通信（请求发起者）；DMZ能够与DMZ2通信；公网不能够直接与DMZ2通信；内网能够与公网通信；内网能够与DMZ通信；其它信息流向均禁止。??? （3）VPN需求??? 允许Internet用户通过VPN连接到内网区域。VPN服务既可集成至第一重防御防火墙中，也可以由连接在公网路由器与企业内网间的VPN网关提供（独立的VPN网关）。??? （4）网络监测需求公网路由器与第一重防御防火墙间部署网络流量监测器，对数据流量进行监测、网络协议进行分析，访问站点进行统计。DMZ部署IDS，其策略以检测针对Web、FTP等DMZ提供的服务攻击为主。DMZ2部署IDS，其策略以检测针对数据库的攻击为主。??? （5）入侵取证需求??? 公网路由器与第一重防御防火墙间部署蜜罐系统，具有一定程度的入侵搜集、捕获与取证能力。 实验学时 ? 4×5学时 实验要求 ? ??? （1）允许在图3-2基础之上使用其它网络设备，如独立的VPN网关、代理服务器等。??? （2）实验中可以不考虑公网路由的部署。??? （3）DMZ2中的数据库服务器可以安装开源MySQL数据库。??? （4）Web服务器使用服务器脚本（如ASP、JSP、PHP、Perl等）访问数据库服务器。??? （5）填写实验报告，提交实验报告及相关实验设计文档。 设计思想 ? 图3-3 ??? 利用两个支持单DMZ区的防火墙搭建四区域的网络结构，实现双重防御。使用第一重防火墙搭建传统的（包含单个DMZ屏蔽子网）的网络结构，划分内网、DMZ和公网三个区域。使用第二重防火墙搭建DMZ2，划分DMZ与DMZ2两个区域。第二重防火墙的公网接口接入到一重防御的DMZ区中，第二重防火墙的DMZ区接口接入到二重防御DMZ2区中。??? 在公网路由器与第一重防火墙之间部署ethereal网络流量监测器和Honeyd蜜罐主机，其中网络流量监测器负责监测外部访问企业的数据流量，分析访问协议，统计访问站点等，Honeyd蜜罐主机通过仿真企业Web服务器实现入侵搜集、捕获与取证。??? 公网用户通过一重防火墙（支持IPSec VPN网关功能）可与内网建立VPN隧道，进行安全通信。??? 在第一重防火墙DMZ区部署Web服务器（用于Web信息发布）、Snort IDS（监控检测DMZ区网络访问行为）。??? 在DMZ2中部署SQL数据库服务器，DMZ区Web服务器通过后台服务器脚本访问数据库服务器，进行数据查询操作。同时，在该区部署Snort IDS（监控检测DMZ2区数据库访问行为）。 技术分析 ? 1