安全的网路架构.PPTVIP

允許外部存取的系統所有允許外部存取的系統，都應該架設在DMZ網段中。如果允許透過互動式交談而存取的系統（例如telnet或SSH），使用者也將具有攻擊其他DMZ系統的能力。這類系統應該架設在第二個DMZ網段中，以免其他DMZ系統遭到攻擊。控制系統外部DNS伺服器也應該架設在DMZ網段中。如果組織計畫擁有自己的DNS，這部DNS伺服器也必須接受外部使用者的查詢。在組織的基礎建設之中，DNS也是非常重要的一個環節。或許組織會選用DNS備援系統或是由ISP代管的DNS。如果組織選擇後者，那麼ISP的DNS將會需要組織內部的DNS執行分區轉送（zonetransfer）。而且，這個動作也不應該由其他系統執行。如果組織選擇架設NTP，應該將主要的NTP地區伺服器架設在DMZ網段中。內部系統都應該向主要的本地NTP伺服器查詢、更新系統的時間。NTP伺服器的另外一種解決方案就是－利用防火牆做為主要的NTP地區伺服器。16-4-3合適的DMZ架構DMZ架構的種類非常多。若是以安全為前提，那麼每一種類型各有優缺點，而且每一個組織也需要判斷最合適的架構。最常見的三種架構如下：路由器和防火牆單一防火牆雙防火牆後續探討的每一種架構都含有防火牆，有關防火牆的詳細說明請參考第10章的內容。路由器和防火牆圖16-9是簡單的路由器和防火牆架構。路由器連結ISP和組織的外部網路，防火牆則做為內部系統的存取控管。在這種架構之下DMZ成了外部網路，而且變成了可以從Internet存取的系統。因為系統架設在外部網段中，因此也無法抵禦來自Internet的攻擊。為求降低遭到侵害的風險，可以利用路由器的封包過濾器，所以也只有允許存取DMZ系統的流量才能進入DMZ網段。另一種降低風險的方法，就是DMZ的每一部系統專門提供特定的服務類型。例如：Web伺服器只能提供各種網頁內容，同時也應該關閉telnet、FTP和其他服務。Web伺服器也應該修補到最近的等級並嚴密監視。圖16-9防火牆和路由器的DMZ架構在許多情況下，ISP擁有路由器並負責管理、維護。如果是這樣的情況，組織就無法更換路由器也不能執行正確的組態設定。千萬記得，通常都是採用命令的控制方式設定路由器，因此也必須依照正確的順序妥善設定過濾規則。單一防火牆一部防火牆就可以建立DMZ。採用單一防火牆的架構時，就會產生圖16-10區隔DMZ和外部網路的架構。外部網路是由ISP的路由器和防火牆提供防護，且由防火牆的第三組網路介面建立DMZ網段。在這種架構下，防火牆擔負起存取DMZ的控管工作。採用單一防火牆的架構時，所有的流量被迫必須更過防火牆。防火牆必須設定成－只能允許存取每一部DMZ系統提供服務的流量才能通過。防火牆也可以提供允許／不允許通過的流量記錄。防火牆成了單一故障環節，也可能成為流量的瓶頸。如果可用性是整個架構最重要的安全問題，那麼防火牆也應該具有容錯的措施。如果預料會產生大量的DMZ流量時，防火牆不但需要承受這些流量，也要處理通往內部網路的Internet流量。只有單一防火牆的設計，且僅需設定允許／不允許通過的流量，所以在管理上會比前一種架構來得容易。在這種架構下的路由器，可以不需要執行封包過濾的工作。如果可以執行某些過濾動作時，會讓防火牆的負擔減輕並因而提高效率。DMZ系統也會受到防火牆的保護，因此也會降低安全的需求。雖然並不是說DMZ系統一定會發生安全問題，只是建議DMZ可以受到防火牆的保護，而防火牆可以受到路由器的保護，並因而排除其他不必要的服務。圖16-10單一防火牆DMZ架構只要發生單一環節故障，也就等於整個連結線路故障。路由器故障的機率比CO遭到破壞的機率來得高出許多。施工單位也可能不慎挖斷纜線，這樣會造成長時間斷線。上述可能的原因還不包含ISP本身發生故障在內。因為氣候、挖斷纜線、或阻斷服務攻擊等，這些非特定因素也會造成連線中斷。這種架構僅僅適合用在非商業性質的Internet連線。16-3-2

多條通訊線路連接到單一ISP為克服單一環節故障而導致整個連線中斷，可以採用佈設多條和ISP連接的線路。不同的ISP會提供不同的服務。例如：某些ISP會稱為非正式鏈結（shadowlink），有些ISP會稱為備援電路（redundantcircuit，台灣多半使用這個名稱）。不論如何稱呼，都是希望提供避免線路中斷而導致停止服務的第二條線路。單一POP接線ISP可以利用連接到相同POP的備援電路（詳見圖16-2），提供線路容錯（fail-over）能力。備援電路可能包含備援路由器和CSU，也有可能只有一部路由器而已。如果主要電路發生故障時，第二組