網絡攻擊最好的防禦方法之一是網絡的安全拓撲設計
現代安全網絡設計最關鍵的思想之一是用區去隔離開網絡上的不同區域
創建區域的基本策略:
1.具有最大安全需求(私有設備)的設備在網絡的最安全的區域;只允許很少或者不允許公共網絡和其他網絡訪問;訪問通常使用防火牆或者其他安全部件控制,如安全遠程訪問SRA,經常需要嚴格的授權和認證;
2.僅需要在內部訪問的服務器要置於一個單獨的專用安全區,防火牆控制對這些設備的訪問,這些服務器的訪問要經常收到嚴密的監控和記錄;
3.需要從公共網絡上訪問的服務器,置於一個不允許訪問網絡中更安全的區的隔離區之中;即DMZ非軍事區;用防火牆控制對他們的進出訪問
4.用這種方法分區,分層的防火牆可以置於通向網絡中最敏感或者最易受攻擊部分的路徑中;許多有安全需求的大型網絡在網絡層中使用不同類型的防火牆,以阻止因防火牆軟件的漏洞而使網絡受損;一前一後使用一個PIX防火牆和一個代理服務器就是一個例子,這也叫做深層防禦原則;
創建DMZ:
1.使用一個三腳防火牆創建DMZ
2.將DMZ置於防火牆之外,公共網絡和防火牆之間
3.將DMZ置於防火牆之外,但是不在公共網絡和防火牆之間的通道上(也叫做“髒DMZ”)
4.在層疊的防火牆直接創建DMZ
一,使用三腳防火牆創建DMZ:
(較常用)使用有三個接口的防火牆去創建隔離區,每個隔離區成爲這個防火牆接口的一員;防火牆提供區之間的隔離;若防火牆多於三個接口,允許創建多的DMZ;
二,置於防火牆之外,公共網絡和防火牆之間:
(一般不推薦)流量要先經過DMZ在進入防火牆;只能通過網絡邊緣路由器配置簡單的訪問控制策略;
三,置於防火牆之外,不在公共網絡和防火牆之間:
DMZ區域位於網絡邊緣路由器的另一個接口,邊緣路由器能夠拒絕從DMZ子網間到防火牆所在子網的所有訪問。並且單獨的VLAN能夠提供防火牆所在子網和DMZ所在子網更進一步的第二層隔離;當防火牆的性能不足以處理額外的流量時,可以使用該策略;
一個暴露在公共網絡中並且得到加強以面對網絡攻擊的主機稱爲堡壘主機;這些主機通常關閉掉所有不需要的服務;同時操作系統也需要安裝必要的更新和補丁;會開起大量的日誌記錄;
四,層疊防護牆之間創建DMZ
即在DMZ前後均防置一個防火牆,但要防止DMZ被攻陷後截獲私網的流量,因此,在兩個防火牆之間的設備使用私有VLAN;
PIX防火牆
PIX允許一個防火牆支持多大10個,每個接口配置了一個安全等級,有100到0,最高安全等級爲100,即私網接口;0即外網接口;