网络攻击最好的防御方法之一是网络的安全拓扑设计
现代安全网络设计最关键的思想之一是用区去隔离开网络上的不同区域
创建区域的基本策略:
1.具有最大安全需求(私有设备)的设备在网络的最安全的区域;只允许很少或者不允许公共网络和其他网络访问;访问通常使用防火墙或者其他安全部件控制,如安全远程访问SRA,经常需要严格的授权和认证;
2.仅需要在内部访问的服务器要置于一个单独的专用安全区,防火墙控制对这些设备的访问,这些服务器的访问要经常收到严密的监控和记录;
3.需要从公共网络上访问的服务器,置于一个不允许访问网络中更安全的区的隔离区之中;即DMZ非军事区;用防火墙控制对他们的进出访问
4.用这种方法分区,分层的防火墙可以置于通向网络中最敏感或者最易受攻击部分的路径中;许多有安全需求的大型网络在网络层中使用不同类型的防火墙,以阻止因防火墙软件的漏洞而使网络受损;一前一后使用一个PIX防火墙和一个代理服务器就是一个例子,这也叫做深层防御原则;
创建DMZ:
1.使用一个三脚防火墙创建DMZ
2.将DMZ置于防火墙之外,公共网络和防火墙之间
3.将DMZ置于防火墙之外,但是不在公共网络和防火墙之间的通道上(也叫做“脏DMZ”)
4.在层叠的防火墙直接创建DMZ
一,使用三脚防火墙创建DMZ:
(较常用)使用有三个接口的防火墙去创建隔离区,每个隔离区成为这个防火墙接口的一员;防火墙提供区之间的隔离;若防火墙多于三个接口,允许创建多的DMZ;
二,置于防火墙之外,公共网络和防火墙之间:
(一般不推荐)流量要先经过DMZ在进入防火墙;只能通过网络边缘路由器配置简单的访问控制策略;
三,置于防火墙之外,不在公共网络和防火墙之间:
DMZ区域位于网络边缘路由器的另一个接口,边缘路由器能够拒绝从DMZ子网间到防火墙所在子网的所有访问。并且单独的VLAN能够提供防火墙所在子网和DMZ所在子网更进一步的第二层隔离;当防火墙的性能不足以处理额外的流量时,可以使用该策略;
一个暴露在公共网络中并且得到加强以面对网络攻击的主机称为堡垒主机;这些主机通常关闭掉所有不需要的服务;同时操作系统也需要安装必要的更新和补丁;会开起大量的日志记录;
四,层叠防护墙之间创建DMZ
即在DMZ前后均防置一个防火墙,但要防止DMZ被攻陷后截获私网的流量,因此,在两个防火墙之间的设备使用私有VLAN;
PIX防火墙
PIX允许一个防火墙支持多大10个,每个接口配置了一个安全等级,有100到0,最高安全等级为100,即私网接口;0即外网接口;