Linux中国  设为主页
 收藏本站
 
当前位置: > 首页 ->编程语言 ->ASP ->Asp的安全管理(12)
  相关分类: 
ASP
ViualBasic
UML / Rational Rose
PHP4/PHP5
Perl
JAVA/JSP教程
Delphi
ColdFusion
CGI
C/C++
ASP.NET
XML
  站内搜索: 
热门文章排行
热门文章排行 ADO连接数据库字符串大全(04-23)
Asp教程:Response对象(04-23)
网站安全之ASP程序加密/解密方法大揭(04-23)
ASP函数库(05-31)
基于ASP的站内多值搜索(04-24)
精采文章排行
精采文章排行 从本质上看网页(asp,jsp)的编写(06-01)
学以致用 驳“ASP低能论” (06-01)
用VB构建Internet的应用(06-01)
Asp的安全管理(12)(06-01)
Windows 2000 安全性技术概述--3(06-01)
  ·学以致用 驳“ASP低能论” ·用VB构建Internet的应用·Asp的安全管理(12)·Windows 2000 安全性技术概述--3·Windows 2000 安全性技术概述--2·Windows 2000 安全性技术概述--1·ActiveX技术综述(二) ·ActiveX技术综述(一) ·动态网页技术--CGI:ASP:JSP:PHP(4)

Asp的安全管理(12)

作者:Webmaster   来源:Linuxdby.com   点击:   日期:2007-06-01 [收藏] [投稿]

  IE是否经常中毒?推荐您

附录 C:网络安全的最佳方案
Steve Riley,Microsoft Communications Industry Solutions Group Consulting Practice

2000 年 8 月 7 日

这篇短文论述了网络设计和安全的最佳方案。尽管网络的设计和安全保护方法很多,但只有某些方法和步骤深受许多业内人士的喜欢。

筛选路由器 — 第一道防线
应当使用筛选路由器来保护任何面向 Internet 的防火墙。这种路由器只有两个接口:一个与 Internet 相连而另一个与外部防火墙(或必要时与负载平衡的防火墙群集)相连。所有攻击中,将近 90% 涉及到 IP 地址失窃,或改变源地址以使数据包看起来如同来自内部网络。传入数据包没有什么理由可以来自内部网络。另外,由于一个网络的安全性通常取决于所连接网络的安全性,因此最好能避免您的网络被用作假数据包的来源。筛选路由器是实现这些目的的理想方法。

应当将筛选路由器配置为“allow all except that which is specifically denied”(允许通过特别拒绝以外的所有通信)状态。这样,ACL 就执行下列操作:

定义一个进入筛选器,它拒绝任何源地址为内部网络地址的传入通信。
定义一个外出筛选器,它拒绝源地址非内部网络的传出通信。
拒绝 RFC 1918 中所确定的任何专用地址范围内源地址或目标地址的所有传入或传出通信。
允许所有其它的传入和传出通信。
这可阻止大多数攻击,因为窃取内部地址几乎是所有攻击的基本条件。将筛选路由器后面的防火墙配置为“deny all except that which is specifically allowed”(拒绝除特别允许之外的所有通信)状态。

(这部分信息的依据为 RFC 2267,“Network ingress filtering: Defeating denial of service attacks which employ IP source address spoofing”,1998 年 1 月。)

对可用性要求较高的环境,可使用两个筛选路由器,并将二者连接到一对防火墙负载平衡设备上。

防火墙 — 分层保护
典型的非军事区 (DMZ) 有两个防火墙。外部防火墙配置为只允许 Internet 和 DMZ 之间连接所需的通信。内部防火墙的配置要能够保护内部网络不受 DMZ 的影响 — DMZ 是非信任网络,因此有必要对内部网络实施保护。

什么是 DMZ?看看世界上仅有的政治方面的 DMZ:南北朝鲜之间的区域。DMZ 由其保护边界确定 — 在这种情况下,两个地理边界,分别由单独的保护实体进行监视和保护。网络中的 DMZ 与此非常类似:某单独的网络部分经过单独的物理防火墙与(通常)两个其它网络相连。

DMZ 与屏蔽子网。常见的方法是使用具有多个接口的单一物理防火墙。一个接口连接 Internet,第二个接口连接到内部网络,第三个接口连接到通常称为 DMZ 的区域。这种体系结构不是真正的 DMZ,因为单个设备负责多个保护区域。这种方案的确切名称是屏蔽子网。屏蔽子网具有严重缺陷 — 单个攻击就可破坏整个网络,因为所有网络段都与该防火墙相连。

DMZ 的优点。为什么部署 DMZ?网络攻击日趋增加 — 有些只是出于好玩、炫耀自己的恶作剧能力,还一些是严重的、有目的的公司间谍和破坏。有效的安全体系结构是攻击的一道屏障,同时该结构具有可调整能力。真正的 DMZ 结构具有下列优点:

具有针对性的安全策略。每个防火墙实施与保护对象对应的策略。
深入防御。在安全遭到破坏时,设备的多个物理构件为安全管理员提供更多时间来做出反应。这是为什么要部署真正的 DMZ 而不是屏蔽子网的唯一、也是最重要的原因。
改进性能。两设备间通信检查的职责分开,每个特定保护区配置一台设备。
可扩展性。可根据需要扩展防火墙 — 外部防火墙处理的负载通常必须比内部防火墙高很多。像 RadWare's FireProof 这样的技术可以跨防火墙农场而平衡负载。
消除故障点。为了获得高可用性,应当至少部署与一对防火墙完全适用的一对防火墙负载平衡器。这样防火墙即可与 DMZ 核心交换机完全匹配。

防火墙类型
目前有三种防火墙:

基本数据包筛选器。
状态检测数据包筛选器。
应用程序代理。
基本数据包筛选器。把简单的数据包筛选作为一种防火墙已不常见,因为几乎所有的路由器都可执行此功能。数据包筛选只是简单地按照一组规则比较传出和传入数据包的端口、协议和地址。不符合规则的数据包被防火墙终止。基本的数据包筛选提供很少的安全性,因为很多种攻击可轻易地绕过它。

状态检测数据包筛选器。这些防火墙除检查单独的数据包外还对流程进行检查。状态检查引擎跟踪每个连接的启动并确保启动与某个先前登录的连接相应的所有通信。符合防火墙规则但无法映射到任何连接的未经请求数据包将被终止。状态检查比基本数据包筛选更为安全,但还是可能受到能够通过防火墙可用协议(如 HTTP)的入侵的袭击。两类数据包筛选器都无法分析任何数据包的内容。另外,两类数据包筛选防火墙几乎都无法在按照规则集进行计算之前将碎片数据包重新组装起来。于是,某些类型的攻击得以用高超技巧制作的数据包碎片进行成功传递。

应用程序代理。应用程序代理提供最高的安全级别。连接不通过代理,而传入连接在代理处被中截,并由代理实现与目标服务器的连接。应用程序代理检查有效载荷并可确定它是否符合协议。例如,正常的 HTTP 请求有确定的特征。通过 HTTP 传递的攻击将与这些特征有所出入(最显著的是通过 HTTP 请求传递的通信具有过多传入信息量),并将被终止。应用程序代理还不易受到碎片的攻击。由于为应用程序代理施加了负载,因此它在三类防火墙技术中速度最慢。

如此说来,哪种技术最好呢?答案取决于您所需的安全级别。一些状态检查防火墙开始加入应用程序代理功能;Checkpoint 的 Firewall-1 就是这样的实例。

基于主机的防火墙保护。彻底防御应当是任何安全方案的设计目标。筛选路由器和传统的 DMZ 提供三层保护,它们通常足以保护大多数网络服务。对于高度安全的环境,基于主机的防火墙还可提供另一层的保护。基于主机的防火墙允许安全管理员确定详细周全的安全策略,以使服务器的 IP 栈只对该服务器上应用程序所要求的端口和协议开放。一些基于主机的防火墙还实施传出保护,以帮助确保某台遭到破坏的机器不会影响同一网络上的其它机器。当然,基于主机的防火墙确实增加了普通系统管理的负担。应考虑仅对那些包含至关重要数据的服务器增加基于主机的保护。

 如果您对本文有任何疑问或者建议,请到讨论区发表您的意见: >> 论坛入口 <<

上一页12 3 下一页

上一篇:Windows 2000 安全性技术概述--3   下一篇:用VB构建Internet的应用
文章评论】 【收藏本文】 【推荐好友】 【打印本文】 【我要投稿】 【论坛讨论

   相关文章:
·从本质上看网页(asp,jsp)的编写

   文章评论:(1条)
  
 请留名: 匿名评论   点击查看所有评论 论坛讨论
 

 声明:刊登此文章是为了传递更多信息,文章内容仅供参考,转载请注明出处。