资讯安全入门手册.ppt

《资讯安全入门手册.ppt》由会员分享，可在线阅读，更多相关《资讯安全入门手册.ppt（111页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、資訊安全資訊安全入門手冊入門手冊第 16 章 Internet架構第 16 章 Internet架構n在新的商業型態、降低銷售成本、提升客戶服務方面，Internet具有極大的潛力。n在組織的資訊和系統方面，也可能會增加極大的風險。n只要具有適當的安全架構，也可以賦予Internet極大的效用，且可用來管理資訊和系統的風險。n本章的內容如下：n16-1 提供哪些服務n16-2 不提供哪些服務n16-3 發展通訊架構n16-4 設計DMZn16-5 認識網路位址轉譯n16-6 設計合作夥伴網路 16-1 提供哪些服務n關於Internet架構首先需要回答的問題是 組織希望透過Internet提供

2、哪些服務？n希望提供哪些服務、服務的對象是誰，這些問題會大大地影響到整體架構，甚至也可能架設主機提供服務。n本節的內容如下：n16-1-1 郵件n16-1-2 電子郵件加密n16-1-3 Web站台n16-1-4 內部存取Internetn16-1-5 組織外部存取內部系統n16-1-6 控制服務16-1-1 郵件n如果提供郵件服務時，一般提供的對象都是提供內部員工收送訊息。n這項服務至少需要架設一部接收類送郵件的伺服器。n如果要求更高的可用性，那麼至少需要兩部郵件伺服器。n外送郵件可以移到同一部伺服器進行處理，或是組織也可以允許桌上型電腦直接郵件發送到目標系統。n組織也許會因為電子郵件討論群

3、組之類的需求，而選擇架設公用郵件轉送（public mail relay），這類伺服器又稱為list server。nlist Server可以和一般郵件伺服器架在同一不設備上，這些系統接收外部使用者的郵件，接著將訊息轉送給list server的訂閱用戶。n在Internet整體架構的考量上，可能會產生更大的流量需求。不建議組織允許桌上型系統，直接將郵件發送到目標系統。不過，如果組織的郵件系統是架在Internet上，每部桌上型電腦都是透過該郵件伺服器收發電子郵件。在這種情況下，限制桌上型電腦只能透過該部郵件伺服器送出電子郵件，這是較為聰明的作法。16-1-2 電子郵件加密n通常都不會利用電

4、子郵件傳送機密資訊。n基於省時、節省成本和擴充Internet用途的考量來說，還是會利用電子郵件寄送機密資訊。n最好是利用電子郵件加密來保護機密資訊的內容。n某些系統可以提供電子郵件加密的功能，這些系統類型從桌面型軟體（例如PGP），到電子郵件串流（例如Tovaris）的網路設備都有。n系統的選用不僅僅是依據傳送和接收加密電子郵件的數量，還需要依據組織的復原政策和金鑰管理（詳見第12章）等其他需求而定。某些企業（例如財稅機關和健保組織）會將客戶、患者相關的機密資訊加密。16-1-3 Web站台n如果組織選擇透過全球資訊網（World Wide Web）對客戶或夥伴發佈資訊，組織就會需要在內部或

5、其他處所架設Web伺服器，並放置某些供大眾閱覽的內容。nWeb伺服器可以是簡單、靜態的內容，或是鏈結到提供動態內容和接受訂單的電子商務系統（詳見第17章）。nWeb站台的存取方式，可以是任何人皆可瀏覽或透過某些認證機制（通常是使用者ID和密碼）加以限制。n如果含有某些限制性的內容時，站台應該要使用HTTPS（安全基座層，Secure Socket Layer，SSL）保護機密資訊。n除了提供Web伺服器之外，可能也會提供檔案傳輸協定（File Transfer Protocol，FTP）。nFTP允許組織外部的使用者，透過Web瀏覽器或FTP用戶端的協助，傳送或取得檔案。n在使用者認證方面，可

6、以採用匿名登入或要求輸入使用者ID和密碼登入認證。16-1-4 內部存取Internetn員工如何存取Internet應該依據政策加以規範（詳見第6章）。n某些組織允許員工存取Internet任何服務，包括傳訊、聊天室、影音串流等。n某些組織只允許員工使用瀏覽器，且只能瀏覽特定的網站。n這些決策都會影響到網路的流量。n較常允許員工存取的服務如下：服務說明HTTP（連接埠80）和HTTPS（連接埠443）允許員工存取Web。FTP（連接埠21和20）允許員工傳輸檔案。Telnet（連接埠23）和SSH（連接埠22）允許員工和遠端系統建立互動式交談。POP-3（連接埠110）和IMAP（連接埠14

7、3）允許員工存取遠端電子郵件帳戶。NNTP（連接埠119）允許員工存取遠端的新聞伺服器（news server）網路。不論組織是否允許使用串流影音，許多站台目前也可透過HTTP提供這方面的服務；因此，這些流量和一般性的Web流量完全相同。同樣的，Internet目前也有許多點對點（peer-to-peer）服務，這些服務也是透過連接埠80運作。這些類型的服務，也會提高未獲授權取得內部系統存取權的風險。16-1-5 組織外部存取內部系統n從組織外部存取內部敏感性系統，一直都是安全和網路人員非常棘手的問題。n內部系統是指組織內部主要的作業系統。n在本質上這些系統的架設目地，和Web伺服器或郵件伺服

8、器的服務有所不同。n員工存取（通常是從遠地執行工作）或非員工存取，是從組織外部存取組織內部系統的兩種可能類型。n從遠地存取組織內部系統的員工，一般都是透過Internet使用VPN（virtual private network）、某些遠端存取伺服器（remote access server）的撥接線路，或是專線等方式。n是否允許這些存取方式，也都會影響組織的Internet架構。n如果是其他組織要求存取組織的內部系統，那麼影響就會非常嚴重。n即使是商業夥伴利用可信任的存取，也會間接地影響風險管理。n至於透過VPN、撥接線路或數據專線、透過未加密的Internet存取（例如telnet）等方式

9、，端賴連線的目地而定。在實務上，並不建議採用透過未加密Internet的存取方式；然而，某些企業卻會允許這種類型的存取方式。如果是在這樣的情況下，必須盡力將這些系統移到內部網路的範圍之外，且將系統放在受到限制的網段（例如稍後介紹的DMZ）。16-1-6 控制服務n為了讓網路和Internet連線非常順暢，會需要建置某些服務。n是否建置這些服務，仍須依據組織的政策而定。nDNSnICMPnNTPDNSn網域名稱服務（Domain Name Service，DNS），這是一種提供主機名稱和IP位址解析的服務。若n是少了這項服務，內部使用者會難以解析Web站台的位址，而且也會難以存取Internet

10、。n內部系統會向內部DNS查詢所有的位址，內部DNS也可以向ISP的DNS查詢、解析外部位址。n組織內部的系統不需要直接查詢外部DNS系統。n內部DNS也必須對外開放，組織外部的使用者才能存取組織的Web站台。n為了完成這項目標，組織可以選擇自行架設DNS或由ISP的DNS代轉，這項決策也會影響到組織的Internet架構。n如果決定自行架設、管理DNS，這部系統必須和內部DNS有所區分，且外部DNS也不應該架設在內部系統的網段中（也稱為DNS切割）。ICMPnInternet控制訊息協定（Internet Control Message Protocol，ICMP），用來提供ping（系統架

11、設之後就可以找到）這類服務。n除了ping之外，ICMP也提供network and host unreachable和packet time to live expired等訊息。這些訊息都有助於提高網路運作的效率。由於這項服務會嚴重影響網路的運作，所以也可以拒絕或阻斷ICMP服務。舉例來說，如果內部使用者嘗試尋找卻找不到遠端Web伺服器時，ICMP即可回送ICMP host unreachable告知使用者。如果阻斷內部網路ICMP服務時，使用者會一直等候直到連線逾時為止，然後就會看到找不到網頁的訊息。NTPn網路校時協定（Network Time Protocol，NTP），這是一種可以

12、讓許多系統時間同步的服務。n目前在Internet上，已有許多提供這類校時資源的站台。n如果組織選擇提供這項服務，就應該將一部系統設定成地區時間，且只有這部系統才可以和Internet的NTP溝通。n所有的內部系統，都應該和這部系統溝通並完成校時動作。16-2 不提供哪些服務n在設計Internet架構時，應該要包含滿足需求的服務，但是也不要提供不必要的服務。n採用這種設計法則設計Internet架構時，將會排除絕大部分的重大風險。n會造成重大風險的服務如下：服務服務說說明明NetBIOS服務（連接埠135、137、138和139）Windows系統用於檔案共享和遠端命令的服務。Unix RP

13、C（連接埠111）Unix系統用於遠端程序呼叫的服務。NFS（連接埠2049）提供網路檔案系統（Network File System，NFS）的服務。X（連接埠6000到6100）提供X Window系統交談的服務。r服務（rlogin連接埠513，rsh連接埠514，rexec連接埠512）允許遠端不需要輸入密碼即可執行互動式交談的服務。telnet（連接埠23）由於使用者ID和密碼會清楚地透過Internet傳送，且可能被擷取所以不建議使用。如果需要接受內送的互動式交談時，建議透過SSH使用telnet。FTP（連接埠21和20）不建議提供的原因和telnet一樣。如果需要提供這種服務時

14、，建議透過SSH傳送檔案。TFTP（一般性檔案傳輸協定，Trivial File Transfer Protocol）（連接埠21）類似FTP但不需要使用者ID和密碼即可存取檔案。nNetMeeting需要編號較高的連接埠才能正常運作，因此具有潛在的危險性。n若要必須使用這些連接埠，使用H.323 proxy會比較安全些。n遠端控制協定（Remote Control Protocols）,例如PC Anywhere和VNC都是屬於這種類型的服務。n如果遠端使用者必須使用這類協定控制內部系統，也應該要透過VPN連線。n簡單網路管理協定（Simple Network Management Prot

15、ocol,SNMP）（連接埠169），可用來管理組織內部網路的網路管理，不過遠地不應該使用這項服務來管理組織的內部系統。16-3 發展通訊架構n在逐步規劃組織Internet連線的通訊架構時，最重要的就是流量處理能力和可用性問題。n在某些情況下，必須和組織的ISP（Internett service provider）討論流量處理能力的問題。nISP應該建議提供適當服務所需的通訊線路。n可用性需求應該由組織自行設定。n如果Internet只是提供員工業務範圍之外的功能時，因為網路中斷並不會影響正常的工作，所以可用性的需求應該會非常低。n如果組織計畫建置電子商務站台，且Internet是組織營運

16、的重心，那麼可用性就是組織成敗的關鍵。n在設計Internet連線的時候，應該一併考量容錯和復原的能力。n本節的內容如下：n16-3-1 單一通訊線路n16-3-2 多條通訊線路連接到單一ISPn16-3-3 多條線路連接到多個ISP16-3-1 單一通訊線路n利用單一通訊線路連接Internet，這是目前最常見的Internet架構。nISP透過單一通訊線路提供組織適當的頻寬，詳見圖16-1。n一般而言，ISP也會提供連線所需的路由器和通道服務單元（Channel Server Unit，CSU）。n組織也同樣可以選購並安裝這些設備。n本地迴路（local loop）是組織設施連線到電話公司

17、機房（central office，CO）的線路或光纖，在ISP附近也會有一個出線點（point of presence，POP）。n連線到ISP的線路，實際上是最接近POP的端末線路。n雖然不是最近POP，但本地迴路仍然需要經過最近的CO。從POP開始算起，連線才會透過ISP的網路進入Internet。圖16-1 標準單一通訊線路架構n在圖16-1的連線架構之中，只要一個環節故障，就會導致整個連結中斷。n故障的範例如下：n路由器可能會故障nCSU可能會故障n本地迴路可能會斷線nCO可能遭到破壞nISP的POP可能會故障 n只要發生單一環節故障，也就等於整個連結線路故障。n路由器故障的機率比C

18、O遭到破壞的機率來得高出許多。n施工單位也可能不慎挖斷纜線，這樣會造成長時間斷線。n上述可能的原因還不包含ISP本身發生故障在內。n因為氣候、挖斷纜線、或阻斷服務攻擊等，這些非特定因素也會造成連線中斷。n這種架構僅僅適合用在非商業性質的Internet連線。16-3-2 多條通訊線路連接到單一ISPn為克服單一環節故障而導致整個連線中斷，可以採用佈設多條和ISP連接的線路。n不同的ISP會提供不同的服務。n例如：某些ISP會稱為非正式鏈結（shadow link），有些ISP會稱為備援電路（redundant circuit，台灣多半使用這個名稱）。n不論如何稱呼，都是希望提供避免線路中斷而導

19、致停止服務的第二條線路。單一POP接線 nISP可以利用連接到相同POP的備援電路（詳見圖16-2），提供線路容錯（fail-over）能力。n備援電路可能包含備援路由器和CSU，也有可能只有一部路由器而已。n如果主要電路發生故障時，第二組電路會立即替補故障的線路。n此種架構可以避免路由器、CSU、電話公司到CO的迴路，以及ISP連線端末的設備發生故障。圖16-2 單一POP接線的備援電路 n雖然這些都是常見的線路故障原因，但是卻無法降低設備故障的機率。n可預防任何一組設備故障而導致整個連線中斷。n這種架構的另一種效益 備援電路的成本較低。nISP提供備援電路的費用會比完整線路的費用低廉。多條

20、POP接線 n添購另一組連接到POP的連線，可以增加可用性和可靠度（詳見圖16-3）。在這樣的情況下，第二組做為備援線路或持續運作的線路（稱為熱備援線路，hot redundant）。n為了讓這種架構運作順暢，ISP通常都會執行邊境閘道器協定（Border Getway Protocol，BGP）。nBGP是一種路由協定（routing protocol），這是在雙連線類型的兩個實體之間，用來指定路由的一種協定。圖16-3 多條線路連接到多個POP n在使用BGP協定的時候，必須非常審慎地設定路由。n在這種架構下仍然可能造成通訊故障的單一環節 本地迴路和CO。n除非該組織擁有兩組本地迴路和CO

21、，否則仍舊無法克服這兩種因素。n如果該組織真的採用兩組本地迴路和CO，整體架構就會變成圖16-4的架構。圖16-4 透過多條本地迴路的連線方式 16-3-3 多條線路連接到多個ISPn這種Internet架構不見得能夠解決所有的問題和風險。n如果妥善設定，使用多個ISP確實可以降低服務中斷的風險（詳見圖16-5）。n除了如何選擇ISP是需要考量的重點之外，組織採用的定址計畫也有極大的關聯性。選擇ISP n採用多ISP的Internet架構，確實是一項非常複雜的工程，而且也需要多方的知識和瞭解ISP的實務經驗。nBGP是一種最需要瞭解的知識。n由於將會使用BGP來路由組織的流量，所以組織和ISP

22、必須非常謹慎、妥善地設定BGP。n連線的實際路由問題，是影響選擇ISP的另一個問題。圖16-5 採用多個ISP的Internet架構 n如果組織的設施並沒有連接多組本地迴路時，本地迴路可能會持續造成單一環節失效的問題。n如果只有單一本地迴路時，選擇使用無線通訊替代末端線路（last mile）的ISP（詳見圖16-6），也可達成電路備援的目地。n由於無線通訊可能受到天候狀況、暴風雨的侵襲，或是飛行物的影響等，而造成資料遺漏或效能降低的問題。圖16-6利用無線網路ISP提高可用性 n採用無線通訊並不能完全解決可用性的問題。n雖說無線通訊也具有諸多的問題，不過卻也不至於造成通訊完全中斷的情況。選用

23、無線網路ISP和傳統式ISP的需求都一樣。任何ISP都應該提供服務等級的同意書，而且都應該出具完整的管理實務同意書。定址 n採用多ISP架構運作模式的另一項問題，就是 定址問題。n在一般的情況下，採用單一ISP連線時，ISP會分配一段位址空間。nISP會妥善地設定路由器，並確保屬於組織的流量最後都會找到送達組織的路徑。nISP會將組織的位址廣播給其他ISP，因此所有透過Internet的流量最後都會傳送給組織的系統。n在採用多ISP架構時，每一個ISP分配的位址範圍都不一樣，因此組織必須選擇將要使用的位址範圍。n可能會發生一家ISP的路由可以正常運作，而其他ISP必須同意、廣播分配給組織的位址

24、空間，都是屬於前面那家ISP管轄的位址。n這種組態設定方式需要非常專業的BGP運作知識，這樣才不會造成路由發生錯誤。n另一種選擇就是組織購置自己的位址空間。n雖然這樣可以解決部分的問題，但是和組織連線的ISP卻必須廣播不屬於自己的位址空間，而且也會帶來新的問題。n最後一種選擇就是同時使用兩家ISP提供的位址。在這種情況下，某些系統會使用第一家ISP的位址，某些系統卻使用第二家ISP的位址。n這種架構無法真正地解決可用性的問題。n除非組織可以解決這種問題，否則請不要採用這種架構。16-4 設計DMZnDMZ是demilitarized zone，通常是指不能完全信任的網段。nDMZ提供可供Int

25、ernet存取和只有內部員工才能存取的網段劃分方式。n如果是與商業夥伴或其他外部實體建立專屬連線時，DMZ也是一種不錯的選擇。n本節的內容如下：n16-4-1 DMZ的定義n16-4-2 架設在DMZ的系統n16-4-3 合適的DMZ架構16-4-1 DMZ的定義nDMZ是一種部分保護的網段。n這個區段一般都是利用如防火牆，或路由器大量過濾網路存取控制的方式來區分網段。n網路存取控制接著會設定一套用來判斷允許進入DMZ的流量，以及允許哪些流量送出DMZ的規則（詳見圖16-7）。n只要外部使用者可以直接接觸到的系統，都應該架設在DMZ區段內。圖16-7 一般性DMZ政策規則n外部系統或使用者可以

26、直接接觸到的系統，通常都是最先遭到攻擊或侵害的系統。n不能完全信任這些系統的原因，主要是因為它們隨時都可能會遭到侵害。nDMZ系統若要存取內部網路的高敏感性系統時，存取能力多半都會受到限制。nDMZ系統的存取規則，都是開放外部使用者存取DMZ系統適當的服務。DMZ系統對內部系統的存取能力都會受到限制。n應該內部系統對DMZ系統發起連線的要求。n組織的政策或許可以允許內部系統存取DMZ或Internet系統，但嚴禁外部使用者存取內部系統。16-4-2 架設在DMZ的系統n哪些系統應該架設在DMZ網段？n應該架設在DMZ的系統如下：n郵件系統nWeb 站台n允許外部存取的系統n控制系統郵件系統n圖

27、16-8是DMZ網段可能提供的服務。n內部網路和外部網路都架設了郵件系統。n外部網路的郵件系統是用來收發郵件。n新送到的郵件是由外部系統接收，然後才傳送到內部郵件系統。n內部郵件系統會將外送的郵件送到外部郵件系統。n某些防火牆會提供郵件伺服器。n如果啟用了防火牆郵件系統，那麼也就具有外部郵件系統的功能。n可以移除多餘的外部郵件系統。如果郵件系統對於營運非常重要的話，不論是內部郵件系統或外部郵件系統，都應該建置備援系統。圖16-8 DMZ系統和內部網路系統的規劃圖 Web 站台n允許公眾存取的Web伺服器，也是架設在DMZ網段內。n從圖16-8之中可以看到，架設在DMZ網段的應用程式伺服器。n許

28、多Wen站台依據使用者輸入的資料提供適當的網頁內容。這些使用者輸入的資訊，是透過呼叫資料庫加以處理。n資料庫可能內含敏感性資料，所以也不適合放在DMZ網段中。nWeb伺服器可以和資料庫伺服器溝通，但Web伺服器卻允許外部使用者存取，因此也不能完全信任Web伺服器。n利用應用程式伺服器做為居間的系統，並實際和後端資料庫伺服器溝通。n當We伺服器接受使用者輸入的資料，並將資料傳送給應用程式伺服器加以處理。n應用程式將接收的資料傳送給後端資料庫系統處理，再將取回處理過的資料回傳給Web伺服器，最後再由Web伺服器對使用者提供結果。n雖然架構看起來有些複雜，但是可以用來確實保護資料庫伺服器，並減輕We

29、b伺服器的負擔。一旦資料庫系統含有組織某些相當重要的敏感資訊時，或許也可以架設在其他防火牆的後端。在這種情況下，防火牆將會區隔敏感性資料庫和內部網路，因此也會提高某些存取限制。允許外部存取的系統n所有允許外部存取的系統，都應該架設在DMZ網段中。n如果允許透過互動式交談而存取的系統（例如telnet或SSH），使用者也將具有攻擊其他DMZ系統的能力。n這類系統應該架設在第二個DMZ網段中，以免其他DMZ系統遭到攻擊。控制系統n外部DNS伺服器也應該架設在DMZ網段中。n如果組織計畫擁有自己的DNS，這部DNS伺服器也必須接受外部使用者的查詢。n在組織的基礎建設之中，DNS也是非常重要的一個環節

30、。n或許組織會選用DNS備援系統或是由ISP代管的DNS。如果組織選擇後者，那麼ISP的DNS將會需要組織內部的DNS執行分區轉送（zone transfer）。而且，這個動作也不應該由其他系統執行。n如果組織選擇架設NTP，應該將主要的NTP地區伺服器架設在DMZ網段中。n內部系統都應該向主要的本地NTP伺服器查詢、更新系統的時間。nNTP伺服器的另外一種解決方案就是 利用防火牆做為主要的NTP地區伺服器。16-4-3 合適的DMZ架構nDMZ架構的種類非常多。n若是以安全為前提，那麼每一種類型各有優缺點，而且每一個組織也需要判斷最合適的架構。n最常見的三種架構如下：n路由器和防火牆n單一防

31、火牆n雙防火牆後續探討的每一種架構都含有防火牆，有關防火牆的詳細說明請參考第10章的內容。路由器和防火牆n圖16-9是簡單的路由器和防火牆架構。n路由器連結ISP和組織的外部網路，防火牆則做為內部系統的存取控管。n在這種架構之下DMZ成了外部網路，而且變成了可以從Internet存取的系統。n因為系統架設在外部網段中，因此也無法抵禦來自Internet的攻擊。n為求降低遭到侵害的風險，可以利用路由器的封包過濾器，所以也只有允許存取DMZ系統的流量才能進入DMZ網段。n另一種降低風險的方法，就是DMZ的每一部系統專門提供特定的服務類型。n例如：Web伺服器只能提供各種網頁內容，同時也應該關閉te

32、lnet、FTP和其他服務。nWeb伺服器也應該修補到最近的等級並嚴密監視。圖16-9 防火牆和路由器的DMZ架構 n在許多情況下，ISP擁有路由器並負責管理、維護。n如果是這樣的情況，組織就無法更換路由器也不能執行正確的組態設定。n千萬記得，通常都是採用命令的控制方式設定路由器，因此也必須依照正確的順序妥善設定過濾規則。單一防火牆n一部防火牆就可以建立DMZ。n採用單一防火牆的架構時，就會產生圖16-10區隔DMZ和外部網路的架構。n外部網路是由ISP的路由器和防火牆提供防護，且由防火牆的第三組網路介面建立DMZ網段。n在這種架構下，防火牆擔負起存取DMZ的控管工作。n採用單一防火牆的架構時

33、，所有的流量被迫必須更過防火牆。n防火牆必須設定成 只能允許存取每一部DMZ系統提供服務的流量才能通過。n防火牆也可以提供允許不允許通過的流量記錄。n防火牆成了單一故障環節，也可能成為流量的瓶頸。n如果可用性是整個架構最重要的安全問題，那麼防火牆也應該具有容錯的措施。n如果預料會產生大量的DMZ流量時，防火牆不但需要承受這些流量，也要處理通往內部網路的Internet流量。n只有單一防火牆的設計，且僅需設定允許不允許通過的流量，所以在管理上會比前一種架構來得容易。n在這種架構下的路由器，可以不需要執行封包過濾的工作。n如果可以執行某些過濾動作時，會讓防火牆的負擔減輕並因而提高效率。nDMZ系統

34、也會受到防火牆的保護，因此也會降低安全的需求。n雖然並不是說DMZ系統一定會發生安全問題，只是建議DMZ可以受到防火牆的保護，而防火牆可以受到路由器的保護，並因而排除其他不必要的服務。圖16-10 單一防火牆DMZ架構 雙防火牆n這種架構是在內部網路和外部網路之間，架設一部用來保護DMZ區段的防火牆。n外部網路仍然定義由ISP路由器和第一部防火牆組成的，DMZ則是移到兩部防火牆之間。n防火牆1設定成允許DMZ和內部網路所有的流量通過。n防火牆2的設定更為嚴謹，所以只能允許將流量外送到Internet。圖16-11 DMZ第三種架構 n如果DMZ預期會有大量的流量時，防火牆1需要具有處理大量流量

35、的能力。n防火牆2可以是一部處理能力較差的系統，這是因為只有處理內部流量而已。n這兩部防火牆可以是不同類型的防火牆。n這種設計方式可能可以增進整體系統的安全性，主要是因為兩部防火牆不太可能同時遭受到單一攻擊的侵害。n和單一防火牆的架構一樣，DMZ也會受到防火牆的保護。n雙防火牆的架構除了增加成本上的負擔之外，也會增加額外的管理和組態設定。為了進一步防護，也可以在每一部DMZ系統上安裝主機型防火牆或入侵偵測系統。如果採用這種作法時，即使一部DMZ系統遭到侵害，不過卻不會危及其他DMZ系統。16-5 認識網路位址轉譯n只要任何組織計畫架設防火牆，就一定會牽涉到定址的問題。n定址並不如想像般地容易，

36、而且如何適當地設定也是一個非常頭痛的問題。n主要問題點在於 網路位址已經不夠用。n目前採用.標記法（）的32位元網路位址，幾乎已經到了可用位址的上限。nISP已經不願意給予客戶大量的IP位址。n大部分ISP只願意分配16或32個位址（實際可以用位址僅剩下14個或30個，其餘兩個是用來做為廣播位址）。n大多數的組織都擁有超過30部以上的系統，那麼該怎麼辦？這個問題的解決方案就是網路位址轉譯（network address translation，NAT，簡稱轉址）。n本節的內容如下：n16-5-1 什麼是轉址服務？n16-5-2 私人位址空間n16-5-3 靜態NATn16-5-4 動態NAT1

37、6-5-1 什麼是轉址服務？nNAT是將一個位址轉譯成另一個位址。為什麼要採用這樣的作法？有什麼好處？n在大部分的網路中，防火牆通常都會執行NAT功能。n如果必要的話，路由器也會利用這種功能。n在應用層房防火牆的原始設計中（詳見第10章），就已經含有執行NAT的能力。n一旦防火牆成了所有連線的末端，外部也只能看到防火牆使用的位址而已。n封包過濾型防火牆也具有這種能力，但是必須適當地設定防火牆。n由於外界無法看到內部系統使用的位址，所以NAT也可以提供部分安全的功能。因為如果看不到特定系統，也就無法定位和攻擊設定目標。NAT無法提供完整的攻擊防護，因此也不應該犧牲其他安全措施。如果攻擊者位於組織

38、範圍內，或透過如VPN、撥接連線等直接存取內部系統，那麼NAT也無法保護所有的系統。16-5-2 私人位址空間n在瞭解NAT的概念之後，下一個步驟就是內部網路定址問題。n如果沒有適當地設定位址時，內部網路位址也會導致各種類型的路由問題。nRFC（Request for Comment的縮寫，這是Internet標準）1918明確指出 什麼是私人網路空間。n這些位址僅限使用在具有執行NAT能力的防火牆內部網路。nRFC更具體說明私人位址空間的範圍：n到（使用8位元遮罩）n到（使用12位元遮罩）n到（使用16位元遮罩）n使用這些位址可以讓組織在設計內部的定址計畫時，提供更大的彈性空間。n組織使用這

39、些位址做為內部網路的位址時，可依據需求自由搭配完全沒有任何限制。n使用這些位址必須注意一件事情 任何位址都無法路由到Internet上。某些ISP會在內部網路使用私人位址空間。在這種情形下，可能會有某些使用私人位址空間的位址會回應ping命令。如果ISP內部使用私人位址空間的位址，ISP的內部網路路由到這些網路時，也不應該廣播到ISP內部網路以外的區域，因此也不會影響組織內部所使用的位址。n如果嘗試ping私人位址空間時，將會回傳含有network unreachable訊息的封包。16-5-3 靜態NATn組織使用私人位址空間架構網路，且希望NAT允許Internet存取特定系統時，採用靜態

40、NAT架構即可達成目標。n靜態NAT會將外部網路的真實IP位址對應到DMZ的設備上。n圖16-12顯示轉換的過程。n也可以將真實IP位址對應到內部網路的設備，但是任何Internet可以存取的設備都應該架設在DMZ網段中。n為什麼還要使用NAT？直接將真實IP位址分配給DMZ的系統不就行了？n這樣會產生下列兩種問題：n需要兩組位址才能達成這個目標nISP分配給組織的30個位址再細分成子網路n防火牆使用部分IP位址，內部網路也使用部分IP位址位址。n如果希望在第二個DMZ架設某些系統時，就會需要使用其他的位址。圖16-12 靜態NAT架構 n並非所有的DMZ系統都需要使用真實的IP位址。n圖16

41、-8 的DMZ區段含有應用程式伺服器。這部應用程式伺服器不需要提供Internet存取，這部設備只是要接收並處理Web伺服器傳來的資訊，並和內部資料庫伺服器產生互動即可。n靜態NAT是採用一對一單一組態設定。n每一部可以從Internet存取的設備來說，也只需要使用一個位址即可。n靜態NAT適合用在DMZ的伺服器，不過卻不適用於桌上型用戶端系統。16-5-4 動態NATn動態NAT（著名的隱藏式NAT）有別於靜態NAT，也就是說許多內部IP位址對應到單一真實的IP位址（詳見圖16-13），而不是採用一對一的對應方式。n最具代表性的就是 防火牆的外部位址使用真實的IP位址。n防火牆會追蹤連線，並

42、為每一個連線開啟一個連接埠。n在實務上會造成一個限制：n動態NAT最多只能同時允許大約64000個連線需求。n不過每一個桌上型系統在存取網站時，單一內部系統也有可能開啟32個左右的連線需求。n如果桌上型用戶端使用動態主機組態設定協定（Dynamic Host Configuration Protocol，DHCP），動態NAT會非常有用。n系統使用DHCP之後，系統啟動之後不見得都會使用相同的IP位址，因此靜態NAT也無法運作。n外界無法鎖定使用動態NAT的系統，這是因為防火牆會維護連接埠和內部系統的對應關係，而且這個對應關係隨時都會發生變動。圖16-13 動態NAT架構 16-6 設計合作夥

43、伴網路n設計Internet架構的概念，也可適用於設計合作夥伴之間的網路。n由於合作夥伴的網路連結可以降低組織的成本，也就導致組織之間的網路連結快速地增加。n本節的內容如下：n16-6-1 使用合作夥伴網路n16-6-2 設定n16-6-3 定址問題16-6-1 使用合作夥伴網路n建立合作夥伴網路的目地，通常都是為了交換特定的檔案或部分資料。n組織內部的特定系統，需要和另一個組織的特定系統相互溝通。並不表示組織可以毫無限制地存取另一個組織的網路。n如果兩個組織已經鏈結，並將風險管理套用在合作夥伴的網路上，也將會發現到風險確實存在。n當兩個組織連線之後，也就表示另一個組織的員工可以存取您的內部網

44、路。n回想一下第7章談論的內容，也可以發現到客戶和供應商都是威脅起因。16-6-2 設定n合作夥伴的安全需求和Internet連線的安全需求相較之下，兩者之間只有一點些微的差異。n可以利用Internet連線的需求來設計架構和法則。n應該確認的連線需求，且提供這些服務的設備應該架設在DMZ網段中。n如果防火牆資源非常充足時（詳見圖16-14），雖然可以從防火牆建置專屬合作夥伴的DMZ，但合作夥伴的DMZ和Internet連線畢竟仍有些不同之處。n從圖16-14中可以看到，防火牆增加兩個用來處理合作夥伴的DMZ，以及合作夥伴網路的網路介面。n在防火牆的系統上，除了必須增加允許組織合作夥伴系統的規

45、則，還要增加允許內部系統存取合作夥伴DMZ系統的規則。n任何規則都不應該允許組織合作夥伴的系統，可以和內部網路、Internet DMZ或Internet建立連線。n在許多情況下，防火牆必須明確地拒絕這些需求。n表16-1顯示如何變更規則。表16-1 做為合作夥伴網路存取的Internet防火牆規則 規則編號規則編號來源來源IP目標目標IP服務服務動作動作1夥伴網路夥伴DMZ適用於夥伴關係允許2夥伴網路任何位址任何位址拒絕3夥伴網路的DMZ夥伴網路適用於夥伴關係允許4任何位址夥伴網路任何位址拒絕5任何位址Web伺服器HTTP允許6任何位址郵件伺服器SMTP允許7郵件伺服器任何位址SMTP允許8

46、內部網路任何位址HTTP、HTTPS、FTP、telnet、SSH允許9內部DNS任何位址DNS允許10任何位址任何位址16-6-3 定址問題n在設計合作夥伴網路的時候，另一個需要注意的就是定址問題。n大部分組織都是使用私人位址空間，做為內部網路的定址計畫。n組織和合作夥伴可能使用相同的位址範圍。n如果沒有特別留意，可能兩個組織都會使用相同的，做為內部系統使用的IP位址。n若組織和合作夥伴建立連線時，為了避免發生這類問題，最好的方式就是利用NAT。n利用定義合作夥伴網路的轉譯原則，也可以將合作夥伴的網路納入組織的定址計畫中。本節探討的內容，只是提供您避免發生某些問題而已。網路連線的定址問題和正

47、確的路由相關資料非常多，礙於篇幅也只能提供讀者基本的概念。因此在建構互連網路的時候，也需要注意流量的問題，才不會產生新的安全問題。專案實作16：建立Internet架構 n本專案實作主要希望帶領讀者，逐步建立Interent架構。對於此一實例的角色扮演上，您受雇於Widget Makers,Inc.,，發展適合組織的Internet架構。在Internet連線方面，Widget Makers提出下列需求：n必須建立可以提供公司商品資訊的Web伺服器。n以電子郵件做為客戶和合作夥伴的主要溝通機制。n辦公室員工可以使用Internet存取Web。n公司架設供零售商訂購商品的Web站台，必須和公司的

48、Web站台區隔。專案實作16：步驟n1.針對上述需求，確認需要透過Internet提供的服務。n2.確認會用來支援這個Internet架構的控制服務。n3.確認包含ISP數量在內的通訊架構。n4.確認適合用於這家公司的防火牆架構。那麼，需要在防火牆安裝多少個網路介面？n5.在設計過程中，定義每一個防火牆所需的規則。n6.確認位址數量以及內部系統的定址計畫。n7.在完成設計之後，先假設這家公司無法負擔整個設計所需的設備成本。首先應該移除哪些項目來降低成本？變更之後會如何影響整體的安全設計？而且，也別忘了考慮機密性、完整性、可用性和可說明性。專案摘要n建立高可用性的需求，會快速地導引設計的方向。其中也會包含備援設備和兩個以上的ISP。nWeb和郵件伺服器應該架設在DMZ網段中。n和合作夥伴溝通的系統應該架設在DMZ網段中，或是架設在獨立的合作夥伴網路中。n設計的結果，可能非常需要非常高的建置費用。n如果組織可能無法負擔整個設計架構的成本時，可能可以移除某些備援系統。然而這樣的作法，將會影響整體設計的可用性。