防火墙技术堡垒主机.pptxVIP

5. 堡垒主机(Bastion Host)第一页，共四十二页。堡垒主机的配置特殊类型的堡垒主机设计和构筑堡垒主机的原则建设堡垒主机需要考虑的因素建立堡垒主机的步骤运行堡垒主机堡垒主机的保护与备份第二页，共四十二页。5.1 堡垒主机的配置防火墙系统中，配置堡垒主机的数量：一台多台配置数量由具体情况决定第三页，共四十二页。使用多台堡垒主机原因性能冗余分离数据或者服务器第四页，共四十二页。性能：例1：一台堡垒主机处理提供给内部网用户的服务一台堡垒主机处理提供给因特网用户的服务内部网用户不会受外部网用户的活动影响例2：多堡垒主机用于同样的服务需要考虑负载平衡问题第五页，共四十二页。冗余：一台失败，另一台提供相同服务分离数据或服务器：保证安全例：多台堡垒主机为不同用户提供同样服务，可以实现针对不同用户提供不同的数据第六页，共四十二页。需要保证堡垒主机安全，原因高度暴露安全核心，坚固第七页，共四十二页。5.2 特殊类型的堡垒主机无路由双宿主机牺牲品主机内部堡垒主机第八页，共四十二页。无路由双宿主机本身可以作为一个防火墙，也可以作为一个更复杂的防火墙的一部分有两个网络接口，但这些接口间没有信息流第九页，共四十二页。牺牲品主机适用于无论使用代理服务还是数据包过滤都难以保证安全的网络服务，或者一些对其安全性没有把握的服务其上没有任何需要保护的信息不与任何入侵者想要利用的主机相连易于被管理，即使被侵袭也无碍内部网的安全第十页，共四十二页。注意：用户总是希望在牺牲品主机上存有尽可能多的服务与程序但是出于安全性考虑，不可随意满足用户的要求，否则会使用户越来越信任牺牲品主机而违反设置牺牲品主机的初衷第十一页，共四十二页。内部堡垒主机与堡垒主机有交互的某些内部主机，例如：内部SMTP服务器内部DNS服务器等是有效的次级堡垒主机，应象保护堡垒主机一样加以保护可以在它上面多放一些服务，但其配置必须遵循与堡垒主机一样的过程第十二页，共四十二页。5.3 设计和构筑堡垒主机原则最简化原则预防原则第十三页，共四十二页。最简化原则：尽量简单为什么：堡垒主机越简单，安全越有保证堡垒主机提供的任何服务可能有软件缺陷或者配置错误怎么做：提供服务数量尽可能少特权尽可能小第十四页，共四十二页。预防原则：做好堡垒主机被损害的准备让内部机器不再信任堡垒主机具体方法：在堡垒主机与内部主机之间设置包过滤器在内部主机上进行访问控制（口令、认证等）第十五页，共四十二页。5.4 建设堡垒主机需考虑的因素选择机器选择位置选择服务第十六页，共四十二页。选择机器选择操作系统对机器速度的要求硬件配置第十七页，共四十二页。选择操作系统选择较为熟悉、较为安全的操作系统作为堡垒主机的操作系统要考虑对以后的工作的影响第十八页，共四十二页。对机器速度的要求并不要求有很高的速度，只要物尽其用即可当需要较快速度的机器时，也可使用多堡垒主机结构不使用高档堡垒主机的原因低档机器对入侵者的吸引力要小一些，入侵者往往以入侵高档计算机为荣 低档堡垒主机不利于入侵者进一步侵入内部网，因为它编译较慢，运行一些有助于入侵的破译密码程序也较慢第十九页，共四十二页。硬件配置高兼容性、高可靠性、慎重选择新产品需要大内存以支持同时处理多个网际连接需要较大的磁盘空间作为存储缓冲来运行代理服务第二十页，共四十二页。选择位置物理场所网络上的位置第二十一页，共四十二页。物理场所安全适宜通风良好温度恒定不间断电源第二十二页，共四十二页。网络上的位置最好放在一个单独的网络上(周边网络)，不放在内部网上放置在没有重要或机密信息流的网络上第二十三页，共四十二页。原因：混合模式下一个网络接口可捕捉到与该接口连接的网络上的所有的数据包，而不仅仅是发给该接口所在机器的地址的数据包大多数以太网和令牌环网的接口都可工作在混合模式一旦堡垒主机被攻破，侵袭者可以利用混合模式获取堡垒主机所在网络的信息周边网络上的堡垒主机无法侦听内部网络的数据包第二十四页，共四十二页。选择服务服务分为四类：安全的服务：可以通过包过滤提供的服务提供的服务不安全，但可以采取安全措施：在堡垒主机上提供提供的服务不安全，也无法保证它的安全：可以废除这些服务，如果确实需要，可以在牺牲品主机上提供必须废弃的服务第二十五页，共四十二页。5.5 建立堡垒主机的步骤1)初步建立安全的运行环境2)关闭所有不必要的服务软件3)安装或修改必须的服务软件4)根据最终需要重新配置机器5)核查机器上的安全保障机制6)将堡垒主机连入网络在进行最后一步工作之前，必须保证机器与因特网是互相隔离的第二十六页，共四十二页。初步建立安全的运行环境安装最小的、无病毒的、标准的操作系统修复已知的操作系统的缺陷使用安全检查列表 通用UNIX系统安全检查列表_checklist.docChecklist保护系统日志第二十七页，共四十二