广告：
网页制作参考
千千学园
雨路开发频道
雨路技术文档
技术问答
编程技术

随着计算机系统软件、硬件的不断升级，产品多样化的出现，网络的扩充，病毒的泛滥，黑客活动的无目的、无组织性，使得网络安全变的越来越复杂。曾经为科研人员服务的小型网络现在发展为覆盖全球的互联网络。对于许多组织来说，网络用户已经打破传统的网络界限，不仅指企业内部人员，还包括企业的顾客、商业伙伴等。维护企业网络资源的完整性、一致性和可靠性成为一件艰巨的任务，实现这个目标的首要步骤是使用网络段和访问控制机制。
1、建立深度防御
　　深度防御的含义就是在层防御的基础上提供更深一层的保护，增加网络的安全性。它在攻击者和企业的信息资源之间建立多层屏障，攻击者欲想深入系统，他面临的困难越大。这些屏障阻止了攻击者对系统重要资源的攻击，同时也防止了攻击者对网络系统的侦察。此外，深度防御策略为入侵检测系统（ids）的实施提供自然的区域。
　　在许多环境中，深度防御的实施仅需增加很少的设备费用。大部分的路由器和交换机厂商在他们的产品中都提供了访问控制机制。虽然许多安全专业人不会纯粹的依靠vlans和路由器访问控制列表，但是这些方法作为内部控制来讲还是有价值的。关键问题是要根据企业的实际情况来实施这些机制。
2、划分网络安全域
　　为了实施网络访问控制（例如：防火墙），你必须定义企业安全区域的界限，每个网络安全域共享一样的安全策略。大部分公司仅仅在他们接入internet时才开始定义网络安全域。这样做是远远不够的。因为现在的商业模式需要在物理上和逻辑上具有连通性。你的企业和你的商业伙伴的网络之间，信息提供者和顾客之间等等，这些关系千丝万缕，十分复杂。
　　如果简单的把网络分成两域的网络安全模式（如图1所示），就不能满足上述具有复杂关系的网络的安全需求。从安全性的视角来看，网络之间的不同比“内部”和“非内部”要复杂的多。因此，不同的网络有不同的安全需求，特别是那些服务对象多的网络，更是增加了安全的复杂性。例如，一个hr（人力资源）网络需要建立员工自我服务的内部网，要让员工看的到工作计划、薪金的变更等。
screen.width-300)this.width=screen.width-300 border=0 alt=click to open in new window>

当你为企业定义网络安全域时，检查域之间的相互作用是必要的，这包括交通和数据流还有访问需求。访问控制技术用于在网络安全域之间的边界管理安全策略的实施，网络入侵检测技术用于监测攻击和其它的侵犯。然后你就要寻找方法来保护那些提供给授权用户访问的数据。
3、dmz
　　dmz术语来自于军事方面，这个区域禁止任何军事行为。在技术领域，dmz最初被定义为防火墙的外部接口和外部路由器的内部接口之间的网络段。后来dmz的定义进一步演化，是指为不信任系统提供服务的孤立网络段。现在it人员用这个术语来指两个防火墙之间的网段，或是连接防火墙的“死端”的网络（如图2和图3所示）。
screen.width-300)this.width=screen.width-300 border=0 alt=click to open in new window>

screen.width-300)this.width=screen.width-300 border=0 alt=click to open in new window>

不管dmz的种种定义，它的目的就是把敏感的内部网络和其它提供访问服务的网络分离开，为网络层提供深度的防御。防火墙上的策略和访问控制系统定义限制了通过dmz的全部通信数据。相反，在internet和企业内部网之间的通信数据通常是不受限制的。
4、dmz的主要作用
　　dmz的主要作用是减少为不信任客户提供服务而引发的危险。dmz可以为你的主机环境提供网络级的保护，它还把公众主机设备和私有网络设施分离开来。例如，如果你公司有一个web站点，任何人可以通过浏览器和它连接。没有dmz配置时，你的主机系统位于防火墙的外部（暴露在internet上）或位于公司内部网中的网络段上。前一种情况你的web主机对所有攻击都是开放的，没有任何防御。后一种情况会导致其它的内部资源受到攻击。通过dmz可以在保护内部网络时，同时保护到internet服务器。
　　dmz在保护企业内部其它资源的安全方面也发挥重要作用，当有些资源仅供少数人访问时，可以把相应系统隔离，从而提供安全性。
　　一个内部的dmz是上面我们提及的自我服务的hr企业内部互联网的理想模型（如图4所示）。dmz保护了web应用程序服务器和数据库系统。
screen.width-300)this.width=screen.width-300 border=0 alt=click to open in new window>

大多数人认为防火墙提供的是坚固无比的防护，实际上，内部网络和主机的安全通常并不是那样的坚固。在一个非dmz系统中，提供给interent的服务产生了许多漏洞，使其它主机极易受到攻击。
　　解决问题的方法之一是把没有包含敏感数据，担当代理数据访问职责的主机放置于dmz中。通过应用程序的接口（例如：web站点），或通过网络协议（例如：http或sqlnet）可以实现上述方法。在网络中数据从应用层分离提供了附加的安全，因为实施dmz的系统不会把包含商业数据的内部系统直接暴露给网络攻击。攻击者取得初步入侵成功后要面临dmz设置的新的障碍。
5、主机加固
　　一个dmz配置提供了实施附加安全措施的自然层，诸如主机加固和网络或基于主机的入侵检测。主机加固是配置主机系统的过程，因此他们比默认的配置要安全的多。主机安全的实施提高了攻击者入侵的难度。
　　作为一个it管理者，你可以要求企业中的所有系统符合严格的加固的安全需求。然而，你也可以坚持基于dmz系统这样的需求，因为它们是现存系统的一个小子集，因而在管理和维护这样高安全配置的系统，不需要付出太多努力。

6、边界巡查
　　一个带有入侵检测的dmz配置可以添加重要的安全利益。最显著的一点是，dmz为管理人员节省了响应攻击的时间，因为通过网络访问控制攻击被隔离在内部系统外面，数据资源和设备在其它的地方，因此攻击者必须花费时间寻找方法进入它们。通过使用检测和响应过程可以实现数据资料和系统的保护。关键的问题是你要协调你的ids系统，你的事件响应过程要很好的定义。
7、限制出口通信量
　　dmz也可以限制内部对外部网和internet的访问。dmz限制了来自dmz主机的对外访问，增加了内部系统的安全性，阻止了入侵者把你的网络作为工具对其他人进行攻击。如果你的dmz仅允许有效的向外的通讯量，你的系统作为攻击的第三方的机会将大大减少。
　　意识到dmz的好处的关键是理解它仅是广义上的深度防御的一部分。通过入侵检测系统和基于主机的安全措施可以增加dmz的价值。控制和监测技术的结合体可以很大程度上减少那些对数据提供广泛访问的系统的安全性。

（）