SAFE中型网络由三个模块组成:公司互联网模块、园区模块与WAN模块。如同小型网络设计一样,公司互联网模块拥有与互联网的连接而且端接VPN与公共服务(DNS、HTTP、FTP与SMTP)流量。拨号接入流量也在公司互联网模块上终止。园区模块包含第2层与第3层交换基础设施以及所有的公司用户、管理服务器和内部网服务器。从WAN的角度看,远程地点与中型设计的连接有两种方案。一种是采用WAN模块的专用WAN连接,另一种是与公司互联网模块连接的IPSec VPN。
图1 中型网络详细模型 公司互联网模块设计指南ISP中客户边缘路由器的主要功能是提供与互联网或ISP网络的连接。ISP出口将限制那些超出预定阀值的次要信息流,以便减少DDoS攻击。最后,在ISP路由器的入口处,RFC 1918与RFC 2827过滤功能将防止针对本地网络及专用地址的源地址电子欺骗。 在中型网络上边缘路由器的入口处,基本的过滤功能可以限制访问,只允许合格的IP流量通过,从而提供了一个防御多数基本攻击的初级防火墙。RFC 1918与RFC 2827过滤功能在此可以验证ISP的过滤。此外,由于零散的分组带来了极大的安全隐患,因此路由器将丢弃那些在互联网上不应被视作标准信息流的零散分组。这种过滤有可能导致某些合格的信息流被丢弃,但考虑到允许以上不合格的信息流通过所带来的风险,上述情况是可以接受的。最后,目的地为防火墙或VPN集中器的IPSec信息流将被允许通过。路由器上的过滤功能只允许IKE和IPSec信息流到达VPN集中器或防火墙。 防火墙为通过防火墙启动的会话提供了连接状态实施和具体过滤。可公开编址的服务器通过使用防火墙上的半公开连接限制来针对TCP SYN 溢流提供部分保护。从过滤角度来说,除将公共服务段上的信息流限制到相关地址和端口,相反方向的过滤也可实现。公共服务段包括一个NIDS应用,从而可以发现防火墙配置中可允许运行此应用的端口上的攻击。防火墙内部接口上的NIDS应用提供了对攻击的最终分析。 远程接入VPN集中器的主要功能是为远程用户提供与中型网络的安全连接。VPN集中器将在内部网上与访问控制服务器发起一个会话,以便在为客户提供网络访问权之前对其进行验证。然后访问控制服务器会查询一个一次性密码(OTP)系统以证明用户验证资料的可靠性。通过从集中器发到客户机的IPSec政策,用户将无法实现分割隧道功能,从而不得不通过公司连接访问互联网。所使用的IPSec参数是用于加密的3DES和用于数据完整性的SHA/HMAC。在VPN隧道终止后,信息流将通过一个防火墙,以确保VPN用户得到适当的过滤。这种设置还允许在防火墙上进行IDS规避。这与现在的多数部署方案有所不同,因为后者是将防火墙放在VPN设备前面。防火墙放在前面时,由于信息流仍旧是被加密的,因此我们无法知道用户信息流的具体类型。 公司互联网模块中的交换机的主要功能是在模块中的各个设备间提供第2层连接。为了将外部网段、公共服务网段、VPN网段与内部网段分开,系统采用了不同的交换机而不是带有多个VLAN的单个交换机。这种设置可防止交换机上出现可能影响安全性的潜在错误配置。此外,每个交换机均具有专用VLAN特性,这种设置有助于防止基于信任关系利用的攻击。 内部路由器的主要功能是在公司互联网模块与园区模块之间提供第3层分离与路由特性。这种设备只作为路由器使用,不会有访问列表限制接口上的流量。由于路由信息本身可以用于DoS攻击,因此可以通过对设备间的路由表进行验证来防范攻击。 园区模块设计指南第3层交换机可以防止从内部发起的攻击。它可以减少一个部门通过使用访问控制访问另一部门服务器上的机密信息的机会。在每一个VLAN中可以使用专用VLAN来减少设备间的信任关系用于攻击。为了向管理服务器提供额外的保护,在与管理服务器网段相连接的VLAN接口上配置了广泛的第3层与第4层过滤功能。 构建交换机的主要功能是为公司用户工作站提供第2层服务。构建交换机上实施了专用VLAN,以减少信任关系利用攻击。 园区模块还带有一个NIDS应用。与NIDS应用相连的交换机端口允许所有要求监控的VLAN的流量均被镜像到这一应用的监控端口。 如果中型网络的规模足够了,那么构建交换机的功能可以转移到核心交换机,而构建交换机则可以被取消。如果需要,可以用嵌入核心交换机的一个集成IDS模块代替NIDS应用。 WAN模块设计指南WAN模块中能够安装多少安全功能取决于对您所连接的远程地点的ISP的信任程度。安全是通过IOS安全特性提供的。在这种设计中,用于序列端口的向内访问列表被用于防止所有不受欢迎的流量进入中型网络。用于以太网接口的进入访问列表可用于进一步限制任何流量从中型网络传输到远程地点。 远程用户设计指南软件接入选项是针对移动和家庭办公用户的。对远程用户的所有要求是一台带VPN客户机软件的PC机,以及互联网连接。就SAFE设计而言,分离隧道是禁用的。当连接至互联网或ISP网络时,由于远程用户不总希望建立隧道,因而建议使用个人防火墙软件来减少PC的未授权接入。同时建议用病毒扫描软件来缓解影响PC。在这种情况下,防火墙安装在DSL或电缆调制解调器后面。防火墙的主要功能是在它本身和一个VPN头端设备之间建立安全的加密通道,同时为通过这一防火墙发起的会话提供连接状态执行操作和过滤。远程地点网络上的单个PC不需要借助VPN客户机软件来访问公司资源。建议用病毒扫描软件来减少针对远程地点单个PC的病毒与特洛伊马攻击,就象整个公司里所有的PC一样。 硬件VPN客户机选项等同于远程站点防火墙选项,除了硬件VPN客户机不拥有住宅防火墙。这种选项要求在个人主机上使用个人防火墙,尤其当实施分离隧道时。使用硬件VPN客户机有两大优势。首先,象VPN软件客户机一样,对公司网络与互联网的访问与授权是从总部集中控制的。对VPN硬件客户机设备的配置与安全管理是通过中央地点的一个SSL连接进行的。这种设置能够确保远程地点用户不需要对硬件VPN客户机进行任何配置更改。硬件VPN客户机选项的第二大优势是远程地点网络上的单个PC不需要VPN客户机软件访问公司资源。但是,在这种选项中远程地点那些访问公司网络的用户不会受到验证。但VPN硬件客户机与VPN头端集中器彼此之间进行验证。 |
Guest
