網路接入點

網路接入點

網路接入點(NAP,network access point)是幾個主要的網際網路互聯的點中的一個,它把所有的網路接入提供商都捆綁在一起,這樣在AT&T的波蘭用戶就能夠訪問位於弗羅里達邁阿密的Bell South用戶的網站了。

背景

開始國家科學基金髮起並支持的只有四個NAP,紐約、華盛頓特區、芝加哥和舊金山,它們由最初美國政府財政支持的網際網路轉變成為商業運作的網際網路。從那以後許多NAP陸陸續續組建起來,其中包括WorldCom的“MAE West”網站所在地聖何塞,加利福尼亞和ICS網路系統的“Big East”。

網路接入點(NAP)提供通常為公眾服務的主要交換設備。公司利用NAP設備構建他們公司內部的對等網路。多數網際網路的流量是不通過NAP的,而是用對等排列和內部交換。vBNS網路是一個國家科學基金支持的一研究為目的的獨立網路,它也利用NAP技術。

安全

一個內部區域網路同外部網路建立連線有 2 種典型的情況:1.Internet接入,將區域網路與Internet互通,實現訪問網際網路、電子郵件、信息發布、企業網站等功能;2.同其他區域網路互通,實現相關業務的電子化和網路化,如銀行代收業務等。這 2 種比較典型的網路接入點對網路安全產生的威脅程度以及應採取的防範措施各有特點,下面分別進行說明。

Internet接入點的安全

Internet接入點是對內部網路安全產生威脅最大的一點,其威脅主要有 2 種,非法入侵和計算機病毒。

面對這些威脅,我們不可能放棄Internet套用,而是要在保證正常套用的前提下,採取得當的措施進行防範。在防範非法入侵方面,採取的措施是設定防火牆。防火牆在內部網和外部網的交界處構造一個保護層,通過地址映射,可以有效地禁止內部區域網路的真實主機地址,使外部所看到的地址是虛假的地址;同時設定合理的外部訪問內部資源的策略,對外部的訪問進行限制,濾掉不符合訪問策略的數據包。另一方面,通過設定內部訪問外部策略,防火牆也可以限制內部對外部網路資源的訪問,在一定程度上降低安全風險。

在預防計算機病毒方面,內部網路中可能已經部署了網路防病毒系統,但這個系統是在計算機病毒進入到內部區域網路以後才能啟動防範功能,如果該系統的管理不完善,或是存在著病毒碼升級不同步產生的“木桶效應”,系統同樣可能會受到破壞。因此,在Internet接入點處,還要設定一個防毒牆或具有類似功能的防範機制,通常部署在防火牆的後面。防毒牆是防毒軟體和高性能硬體有機的結合體,它支持HTTP、FTP、POP3 和SMTP 等標準協定,可以對出入內部區域網路的電子郵件、HTTP 或FTP 數據進行檢查掃描,並根據病毒特徵碼判斷流經的數據包中是否帶有病毒,從而將病毒清除或隔離在內部網之外,減少內部網感染病毒的幾率。作為強制訪問控制的設備,防火牆不具備實時入侵監測的能力,不能感知、記錄入侵的進入和後果,同時也存在可以繞過防火牆的入侵行為。針對防火牆的局限性,在 Internet 接入點處,我們還應該採取第三個安全措施——部署NIDS(基於網路的入侵檢測系統)。NIDS 由檢測代理和控制台構成,檢測代理完成對流入內部網的數據包進行檢查和分析,控制台實現對檢測代理的管理、向網路管理員提交檢測報告等功能。NIDS不會直接對內部網起保護作用,但是它可以通過監聽流經指定連線埠的所有數據包,並與入侵行為特徵信息庫進行對比分析,進而發現可能的入侵企圖和異常現象,實時地向網路管理員發出報警,同時將入侵的行為和過程進行記錄,並中斷該連線或調用相應的進程進行處理。網路管理員通過控制台提交的檢測報告就可以及時地採取措施進行補救。在基於交換的區域網路中,NIDS 只能檢測某一個網段的數據包,因此在Internet接入點處設定NIDS,需要將交換機中用於連線外網的連線埠鏡像到用於連線 N I D S 的連線埠,這樣 N I D S 就可以對所有流入連線外網連線埠的數據包進行監測。目前大多數的NIDS都可以和主流的防火牆進行聯動,當NIDS監測到入侵行為時,就會通知防火牆動態地調整訪問策略,以後再出現類似的入侵行為,防火牆就可以將其阻斷在內部網路之外。NIDS 可以設定在防火牆的前面或後面,由於防火牆和防毒牆可以過濾掉絕大部分的不安全數據包,因此通常將NIDS設定在內部網的最近點,減少NIDS的工作負載,保證NIDS 具有比較高的效率。

同其他區域網路接入點的安全

區域網路之間實現互聯,意味著雙方可以訪問對方網路的所有資源,同時不能對對方人員的操作行為進行有效的管理。因此,安全措施的採取必須從這些方面入手,本著禁止內部網真實情況和滿足最低資源需求的原則,對可訪問網路資源及可執行的操作進行控制。聯網雙方進行數據交換,不像網路內部的套用,可以直接訪問資料庫,它的套用模式通常利用中間程式來回響客戶端的操作請求,並由中間程式完成對後台資料庫中數據的操作。運行中間程式的計算機稱為數據前置機。因此,只要對方能夠訪問到數據前置機就能夠滿足套用的需求。作為內部網路中的一台計算機,數據前置機的IP位址為私有地址,這個地址帶有內部網路子網劃分等信息,不應該提供給外部,同時,要根據業務的需求對數據前置機的可訪問類型及服務進行限制,如HTTP、FTP等,對於只是數據往來的情況,允許的訪問類型可以設定為 UDP,並指定雙方預先約定的連線埠號。

鑒於這些訪問限制,用戶需要在網路接入點處配置一台防火牆,並設定合理的訪問策略,主要操作如下:

1.在防火牆中插入一個禁止子網。這個禁止子網與內部網沒有任何關聯,防火牆的外網連線埠的 IP 地址包含在這個禁止子網中。通過防火牆的地址映射功能將數據前置機的 IP 地址映射為一個虛假的 IP 地址,這個 IP 地址包含在禁止子網中。外部網路用戶對前置機的訪問全部通過這個映射的 IP 地址實現。如數據前置機的真實 IP為10.100.100.1,映射後的地址為192.168.1.1,當外部網用 戶 訪 問 1 9 2 . 1 6 8 . 1 . 1 時 ,防 火 牆 自 動 完 成 I P 的路由。這個過程對於外部用戶來說是透明的,可以有效地禁止內部網路的真實情況。

2.在防火牆中設定一條外部用戶訪問內部網路的策略。即只允許對映射數據前置機的IP 地址進行訪問,防火牆收到來自外部網的數據包,會檢查數據包中包含的目的地址信息,如果符合則允許數據包通過,否則,將其過濾掉。這個策略的設定對於外部網路可訪問資源進行了最大程度的限制。

3.設定防火牆允許的訪問類型和連線埠號。

聯網雙方的業務具有很強的針對性,類型很單一,針對套用的需求,在防火牆中開啟需要的服務類型,並指定雙方約定好的連線埠號,同時禁用其他連線埠號,這個設定可以有效限制外部用戶對數據前置機的訪問。

除了採取防火牆措施外,為了加強兩個網路間接入點的安全,可以在防火牆後面部署一台 NIDS,在連線防火牆的交換機中,將連線防火牆的連線埠鏡像到連線NIDS 的連線埠來監測是否存在入侵行為。由於出入這個接入點的數據流量相對較小,涉及到的網路資源很有限,同時雙方在內部網路中一般都部署了網路防毒系統,通過這個接入點流入病毒的可能性較小,病毒的預防依靠內部區域網路中的網路防毒系統就可以了。

為了便於內部員工的工作和生活,有些內部網路能存在遠程撥號訪問接入點和小區網路接入點,這些內部用戶對網路資源的需求比較大,對於這些接入點的安全,不太適合採用防火牆等強制訪問控制措施,我們可以利用網路設備本身的一些訪問控制功能進行限制。如利用遠程撥號訪問伺服器的電話綁定、身份認證等功能對遠程訪問用戶進行限制;利用VLAN技術將小區網路劃歸到一個獨立的子網中,並設定IP過濾將超出訪問許可權的數據包過濾掉等等。這樣既可以滿足小區用戶對網路資源的需求,又可以對其訪問行為進行一定的限制。如果條件允許的話,還可以在這些接入點處設定NIDS。

現在,我們給出一個典型的內部區域網路接入點的安全模型(如圖1所示),以供用戶參考。其中1代表 Internet 接入點的安全設定,2 代表 2 個區域網路接入點的安全設定,3 代表遠程撥號訪問和小區網路接入的安全設定。

綜上所述,在對待內部網安全的問題上,首先要針對網路接入點存在的安全隱患採取最有效的安全措施進行防範,建立一套全面的安全體系。只有加強接入點的安全,才能為內部網的安全穩定運行奠定基礎。

相關詞條

熱門詞條

聯絡我們