DMZ区防火墙_原创精品文档.pdfVIP

第1节信息服务的立体安全需求

当今，无论是企业、政府、还是学校及科研机构，都开始广泛的利用信息化手段提升自身的能力，利

用各种信息设施有效地提高自身的运营效率。然而在从信息化过程获得好处的同时，给许多信息化单位造

成重大损失的信息安全问题同样也在困扰着这些单位。因此如何解决信息化所带来的各种各样的安全威胁，

就成为摆在每个用户面前的严峻问题。

1信息服务面临的安全问题

1.1攻击的目的

如今凡是连接到互联网的主机所面对的安全威胁形式多样，工作原理各异。然而就其目的而言分为以

下2种：

1.1.1破坏型攻击

破坏型攻击指的是通过占用目标的网络资源、系统资源，而破坏攻击目标的运行状态，使其不能正常

工作。主要的手段是拒绝服务攻击（DenialofService）。

1.1.2入侵型攻击

另一类常见的攻击目的是侵入攻击目标，获得一定的权限，从而达到控制攻击目标，窃用目标资源、

或窃取目标数据的目的。

1.2攻击的阶段

从攻击者角度看，攻击分为三个阶段：攻击前的探测阶段、攻击阶段、攻击后的善后阶段。攻击手段

相应地分为：探测、攻击、隐藏等三大类，

1.2.1探测

探测是黑客在攻击开始前必需的情报收集工作，攻击者通过这个过程需要尽可能多地了解攻击目标的

与安全相关的各方面信息，以便能够进行攻击。探测过程又可以分为三个基本步骤：踩点、扫描和查点。

扫描技术包括

▼Ping扫描（确定正在活动的主机）、

▼端口扫描（确定打开的开放服务）、

▼操作系统辨识（确定目标主机的操作系统类型）

▼安全漏洞扫描（获得目标上存在的可利用的安全漏洞）。

1.2.2攻击

在攻击阶段，攻击者通过探测阶段掌握的有关攻击目标的安全情况会选择不同的攻击方法来达成其攻

击目的。攻击方法层出不穷，但可以将其归为以下四类，即窃听技术、欺骗技术、拒绝服务和数据驱动攻

击。

窃听技术是攻击者通过非法手段对系统活动的监视从而获得一些安全关键信息。目前属于窃听技术的

流行攻击方法有键击记录器、网络监听、非法访问数据和攫取密码文件。

欺骗技术是攻击者通过冒充正常用户以获取对攻击目标访问权或获取关键信息的攻击方法，属于此类

的有获取口令、恶意代码、网络欺骗等攻击手法。

拒绝服务是中断或者完全拒绝对合法用户、网络、系统和其他资源的服务的攻击方法，属于破坏型攻

击，是最邪恶的攻击，其意图就是彻底地破坏，而这比真正取得他们的访问权要容易得多，同时所需的工

具在网络上也极易得到。因此拒绝服务攻击，特别是分布式拒绝服务（DDoS）攻击对目前的互联网络构

成了严重的威胁，造成的经济损失也极为庞大。

数据驱动攻击是通过向某个程序发送数据，以产生非预期结果的攻击，通常为攻击者给出访问目标系

统的权限，数据驱动攻击分为缓冲区溢出攻击、格式化字符串攻击、输入验证攻击、同步漏洞攻击、信任

漏洞攻击等。

1.2.3隐藏

攻击者在完成其攻击目标（如获得root权限）后，通常会采取隐藏技术来消除攻击留下的蛛丝马迹，

避免被系统管理员发现，同时还会尽量保留隐蔽的通道，一边将来还能轻易的重新进入目标系统。隐藏技

术主要包括日志清理、安装后门、内核套件等。

2信息服务的立体安全需求

信息服务是一个综合系统，涉及网络系统、主机系统两个层次。

网络系统的模型是一个分层次的拓扑结构，通常采用五层模型，即物理层、数据链路层、网络层、传

输层、应用层。

主机系统也可以分为两个层次：操作系统、应用服务，因此信息服务的安全防护也需采用分层次的拓

扑防护措施。即一个完整的信息服务安全解决方案应该覆盖网络与主机的各个层次，并且与安全管理相结

合。以该思想为出发点，曙光公司提出了全方“位、深度的立体安全防护”的集群安全解决方案。

本文给出的是信息服务的网络安全的基础设施——防火墙的安全解决方案。

第2节信息服务的安全解决方案

1以防火墙隔离不同的安全区域的方案

1.1隔离内外网的防火墙方案

作为最基本的功用，防火墙可以用于实现对网络不同安全区域的隔离。如下图，防火墙将办公局域网

与不安全的互联网隔离成两个逻辑区域，在保证局域网内的客户端访问互联网、以及互联网用户访问局域

网对外的服务器的同时，限制互联网与办公局域网之间的访问，达到可控访问的目的。

这是最简单的防火墙部署方案，初步实现了对局域网的安全防护，通常用于应用服务较少、以客户机

上网为