安全的网路架构.PPTVIP

  1. 1、本文档共104页,可阅读全部内容。
  2. 2、有哪些信誉好的足球投注网站(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
  3. 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
  4. 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
  5. 5、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
  6. 6、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们
  7. 7、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
  8. 8、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
查看更多

允許外部存取的系統所有允許外部存取的系統,都應該架設在DMZ網段中。如果允許透過互動式交談而存取的系統(例如telnet或SSH),使用者也將具有攻擊其他DMZ系統的能力。這類系統應該架設在第二個DMZ網段中,以免其他DMZ系統遭到攻擊。控制系統外部DNS伺服器也應該架設在DMZ網段中。如果組織計畫擁有自己的DNS,這部DNS伺服器也必須接受外部使用者的查詢。在組織的基礎建設之中,DNS也是非常重要的一個環節。或許組織會選用DNS備援系統或是由ISP代管的DNS。如果組織選擇後者,那麼ISP的DNS將會需要組織內部的DNS執行分區轉送(zonetransfer)。而且,這個動作也不應該由其他系統執行。如果組織選擇架設NTP,應該將主要的NTP地區伺服器架設在DMZ網段中。內部系統都應該向主要的本地NTP伺服器查詢、更新系統的時間。NTP伺服器的另外一種解決方案就是-利用防火牆做為主要的NTP地區伺服器。16-4-3合適的DMZ架構DMZ架構的種類非常多。若是以安全為前提,那麼每一種類型各有優缺點,而且每一個組織也需要判斷最合適的架構。最常見的三種架構如下:路由器和防火牆單一防火牆雙防火牆後續探討的每一種架構都含有防火牆,有關防火牆的詳細說明請參考第10章的內容。路由器和防火牆圖16-9是簡單的路由器和防火牆架構。路由器連結ISP和組織的外部網路,防火牆則做為內部系統的存取控管。在這種架構之下DMZ成了外部網路,而且變成了可以從Internet存取的系統。因為系統架設在外部網段中,因此也無法抵禦來自Internet的攻擊。為求降低遭到侵害的風險,可以利用路由器的封包過濾器,所以也只有允許存取DMZ系統的流量才能進入DMZ網段。另一種降低風險的方法,就是DMZ的每一部系統專門提供特定的服務類型。例如:Web伺服器只能提供各種網頁內容,同時也應該關閉telnet、FTP和其他服務。Web伺服器也應該修補到最近的等級並嚴密監視。圖16-9防火牆和路由器的DMZ架構在許多情況下,ISP擁有路由器並負責管理、維護。如果是這樣的情況,組織就無法更換路由器也不能執行正確的組態設定。千萬記得,通常都是採用命令的控制方式設定路由器,因此也必須依照正確的順序妥善設定過濾規則。單一防火牆一部防火牆就可以建立DMZ。採用單一防火牆的架構時,就會產生圖16-10區隔DMZ和外部網路的架構。外部網路是由ISP的路由器和防火牆提供防護,且由防火牆的第三組網路介面建立DMZ網段。在這種架構下,防火牆擔負起存取DMZ的控管工作。採用單一防火牆的架構時,所有的流量被迫必須更過防火牆。防火牆必須設定成-只能允許存取每一部DMZ系統提供服務的流量才能通過。防火牆也可以提供允許/不允許通過的流量記錄。防火牆成了單一故障環節,也可能成為流量的瓶頸。如果可用性是整個架構最重要的安全問題,那麼防火牆也應該具有容錯的措施。如果預料會產生大量的DMZ流量時,防火牆不但需要承受這些流量,也要處理通往內部網路的Internet流量。只有單一防火牆的設計,且僅需設定允許/不允許通過的流量,所以在管理上會比前一種架構來得容易。在這種架構下的路由器,可以不需要執行封包過濾的工作。如果可以執行某些過濾動作時,會讓防火牆的負擔減輕並因而提高效率。DMZ系統也會受到防火牆的保護,因此也會降低安全的需求。雖然並不是說DMZ系統一定會發生安全問題,只是建議DMZ可以受到防火牆的保護,而防火牆可以受到路由器的保護,並因而排除其他不必要的服務。圖16-10單一防火牆DMZ架構只要發生單一環節故障,也就等於整個連結線路故障。路由器故障的機率比CO遭到破壞的機率來得高出許多。施工單位也可能不慎挖斷纜線,這樣會造成長時間斷線。上述可能的原因還不包含ISP本身發生故障在內。因為氣候、挖斷纜線、或阻斷服務攻擊等,這些非特定因素也會造成連線中斷。這種架構僅僅適合用在非商業性質的Internet連線。16-3-2

多條通訊線路連接到單一ISP為克服單一環節故障而導致整個連線中斷,可以採用佈設多條和ISP連接的線路。不同的ISP會提供不同的服務。例如:某些ISP會稱為非正式鏈結(shadowlink),有些ISP會稱為備援電路(redundantcircuit,台灣多半使用這個名稱)。不論如何稱呼,都是希望提供避免線路中斷而導致停止服務的第二條線路。單一POP接線ISP可以利用連接到相同POP的備援電路(詳見圖16-2),提供線路容錯(fail-over)能力。備援電路可能包含備援路由器和CSU,也有可能只有一部路由器而已。如果主要電路發生故障時,第二組

文档评论(0)

实验室仪器管理 + 关注
实名认证
服务提供商

本人在医药行业摸爬滚打10年,做过实验室QC,仪器公司售后技术支持工程师,擅长解答实验室仪器问题,现为一家制药企业仪器管理。

1亿VIP精品文档

相关文档