摘 要:为解决企业局域网在一步步扩张过程中面临的网络安全问题,很多企业引入了网络安全软件或设备。介绍了常用的网络安全设备,探讨如何通过多种安全设备的配合使用,防御和抵抗常见的互联网攻击,提升局域网安全性。
关键词:防火墙;入侵防护系统;负载均衡;抗拒绝服务系统;上网行为管理;隔离区
DOI:10.11907/rjdk.143582
中图分类号:PT309.1
文献标识码:A 文章编号:1672-7800(2014)012-0155-04
作者简介:丁梅(1983-),女,湖北省科技信息研究院网络与资源中心助理研究员,研究方向为网络管理。
0 引言
在带宽2~8M的家庭局域网中,可以只有一个宽带路由器作为网络设备,这种局域网的安全性取决于互联网和终端(个人电脑、平板电脑等)的安全性;在带宽10~20M的小型公司局域网中,交换机与路由器协同使用,支持多人同时上网。为了避免内网IP冲突并便于管理,一般为内网用户分配固定的IP地址和网关;在带宽大于50M的大型局域网中,往往接入不同运营商的线路,划分出隔离区(Demilitarized Zone,简称DMZ)和普通用户区并加以区别对待。中小型局域网构造简单,对网络安全要求相对较低。本文就大型局域网中安全设备的类型、部署及功能选择进行研究,通过设备间的配合,对网络故障进行预判、快速定位及处理,以达到保障局域网安全、优化网络性能的目的(本文中涉及的网络设备针对特定厂商,其它厂商的同类设备也许存在功能差异)。
1 常用网络安全设备简介
1.1 防火墙(FW)
防火墙(FireWall)是一种位于内部和外部网络之间将内外网分开的网络安全防护系统<sup>[1]</sup>,它根据访问控制策略允许或拒绝来自外部的网络请求,在局域网与互联网之间构造保护屏障。个人电脑使用的Windows XP以及Windows 7自带防火墙,但是大部分用户都不会开启,因为使用防火墙要求具备一定网络知识,才能理解概念并针对需求作出正确设置。以Windows Server 2003服务器为例,其默认状态为防火墙开启,如果部署了应用而服务不能访问,可能是由于防火墙中部分端口未开启导致。
用户区的个人电脑和隔离区(DMZ)的服务器都需要防火墙保护,在用户操作技能水平不一、服务器存在托管的情况下,设置统一的防火墙设备是普遍采用的方法。在防火墙配置文件中,定义要保护的区域为隔离区(DMZ),该区域可以不止一个。在安全级别不高的普通企业局域网中,隔离区(DMZ)仅包括服务器区,而对用户区没有限制,因为员工在工作中使用的应用不像服务器提供的应用那样确定。在防火墙配置文件中,整个企业局域网被划分为两个部分:隔离区(DMZ)为内部(Inside),其它全部为外部(Outside)。
访问控制策略是防火墙的另一重要组成部分。它是针对IP地址或IP地址段、端口定义的规则,一条规则为一行,可以针对相同的IP地址或IP地址段的不同端口、不同方向定义多条规则。该列表由网络管理员创建、维护、修改。
如果一个防火墙的访问控制列表(ACL)为空,意味着任何通过防火墙的进出访问都不被允许。
1.2 入侵防护系统(IPS)
入侵防护系统(Intrusion Prevention System,简称IPS)是一种主动、智能的入侵检测、防范、阻止系统,它不需要人为干预就可预先对入侵活动和攻击性网络流量进行拦截,避免其造成任何损失<sup>[2]</sup>。
此设备主要用于隔离区(DMZ),它将检测到的网络访问行为与本身的入侵行为特征库相匹配,如果匹配成功,系统则认定此行为正入侵或攻击企业局域网,系统会对此行为进行阻断,否则放行。入侵行为特征库与个人电脑上杀毒软件的病毒库类似,需要不断更新。这要求企业在采用入侵防护系统(IPS)设备时,必须考虑其升级维护费用。在互联网各种病毒、木马层出不穷的情况下,每种入侵行为都会在其流行期内猛烈地攻击内网。如果入侵行为特征库不更新,那么在新种类攻击发生时,DMZ就会受到影响和破坏,甚至导致瘫痪。
根据部署方式不同,入侵防护系统也可以作为入侵检测系统(Intrusion Detection Systems,简称IDS)使用,即:发现入侵和攻击行为,形成日志,但不进行阻断。这种部署需要其它安全设备的配合使用,才能实现针对入侵行为的拦截。如果把防火墙比作一栋大楼的大门,入侵检测系统(IDS)就像摄像头,需要楼内的安保人员观察和分析,才能确定是否阻止某人进入。
1.3 负载均衡(LB)
负载均衡(Load Balancing,简称LB)建立在现有网络结构之上,它提供了一种廉价有效透明的方法扩展网络设备和服务器带宽、增加吞吐量、加强网络数据处理能力、提高网络灵活性和可用性<sup>[3]</sup>。
负载均衡一般包括链路负载均衡、应用负载均衡两大功能。链路负载均衡意味着该设备要被部署在各运营商的接入位置,其不但可以在不同带宽间均衡,还可以在不同质量的链路间均衡。例如某企业原有50M电信线路,新接入20M联通线路,则可以在负载均衡中定义规则:优先走电信线路,当电信线路负载超过80%时,走联通线路;若之前使用的电信线路质量不高,经常出问题,可以定义规则为:优先走联通线路,当联通线路负载超过50%时,走电信线路。应用负载均衡使用较为广泛,如大型搜索引擎百度、谷歌均采用了这种技术,其服务器集群(Server Cluster)中的负载均衡保障了其首页99.99%的可用性。门户网站代表着企业形象,若网站无法打开将令人怀疑企业的技术实力,但再尽职尽责的技术人员也无法保证网站100%可用。针对这种情况,技术人员会建议企业至少准备2台服务器,并部署2套相同的应用系统,在其之间采用应用负载均衡后,如果其中一台服务器宕机,另一台可无缝顶替,用户几乎不会察觉其中的变化。
1.4 抗拒绝服务系统(ADS)
分布式拒绝服务攻击(Distributed Denial Of Service,简称DDoS)是网络上常用的攻击手段之一(不仅限于黑客)。攻击发生时,一方面迫使服务器的缓冲区溢出,不接收新的连接请求;另一方面使用IP欺骗,迫使服务器把合法用户的连接复位,影响合法用户连接。分布式拒绝服务攻击(DDoS)带来的破坏巨大,黑客对网站发动分布式拒绝服务攻击时将很难阻止,除非主动断开Internet连接<sup>[4]</sup>。2010年6月9日,由于韩国明星团体在世博会演出事件,互联网上发起“69圣战”。韩国行政安全部10日表示,政府门户网站9日晚受到来自中国的分布式拒绝服务攻击(DDoS)<sup>[5]</sup>。由此可见,这是一个人人都可以参与的攻击。
抗拒绝服务系统(Anti-DDoS System,简称ADS)是抗分布式拒绝服务攻击(DDoS)的专门设备,其通过对网络上数据包的特征分析,快速认定攻击行为并进行阻止。观察被攻击的服务器所在网络,可以发现分布式拒绝服务攻击(DDoS)发生时,带宽会急剧上升直至达到饱和,持续一段时间后消退。对于互联网上的服务器而言,其经常默默承受一轮轮分布式拒绝服务攻击(DDoS)而难以被管理员发现。因为攻击行为有时仅造成Web服务重启,之后网站自行恢复,或导致服务器宕机,管理员重启后一切正常。由此可见,抗拒绝服务系统(ADS)的核心功能在于能尽早发现分布式拒绝服务攻击(DDoS)并进行拦截。
1.5 上网行为管理系统(AC)
上网行为管理(Access Control,简称AC)指帮助互联网用户控制和管理互联网的使用,包括网页访问过滤、网络应用控制、带宽流量管理、信息收发审计、用户行为分析等<sup>[6]</sup>。如果能与准入控制相结合,上网行为管理系统(AC)产生的数据会更具有分析价值。每台接入局域网的个人电脑都应当使用登录认证,可采取用户名认证和IP地址认证等方式。内网用户的个人电脑中毒时,很容易攻击网关,导致掉包和延时,影响其他用户上网,在上网行为管理系统(AC)帮助下可以快速定位到用户。上网行为管理系统(AC)还可以在工作时间限制娱乐、发现占用带宽较大的用户、协助完成日常网络管理等,其数据也可为企业网络规划提供参考。
2 设备部署
部署新的安全设备加入局域网时,需要考虑以下几个问题:
(1)该安全设备的作用范围,是用于保护用户区还是隔离区(DMZ)?还是两者兼顾?
(2)在安全设备具备的功能中,需要启用哪些?这些功能对此设备在局域网中的位置有什么要求?
(3)已有的网络环境对此安全设备的功能有什么影响?如网络地址转换(Network Address Translation,简称NAT)、域名系统(Domain Name System,简称DNS)等服务器的位置等。
以部署防火墙(FireWall)设备为例,讨论以上3个问题。
(1)防火墙(FireWall)一般用于保护隔离区(DMZ),只要设备上的端口数量足够,用户区可以一并防护。因此,防火墙部署在用户区和隔离区(DMZ)通向互联网的共同道路上比较合适,即图1中的位置2处。用户区和隔离区(DMZ)都由多个网段构成,每个网段拥有自己的网关(GateWay)。在用户区,往往存在一个或多个与隔离区(DMZ)连接较为频繁的特殊网段,称为管理网段,一般是网络管理人员专用。从防火墙角度看,用户区和隔离区(DMZ)是区别对待的:普通用户区可以网段为粒度进行管理;管理用户区(即用户区中的管理网段)自治性较好,可做透明传输;对于隔离区(DMZ)则防护粒度较为细致,一般到达端口。
图1 企业局域网分区示意
(2)防火墙(FireWall)除过滤功能外,还具有路由和限速功能,是否使用这些功能取决于网络需求。为了预防内网地址解析协议(Address Resolution Protocol,简称ARP)攻击,网络管理员会利用防火墙对链路进行限速。如果在隔离区(DMZ)的交换机上已做了限速,在防火墙上再次限速要参考以下两个数值:①链路平时流量;②相连的其它设备限速值。
(3)以网络地址转换(NAT)服务器所处位置为例:①如果在企业局域网的出口处(位置1)进行网络地址转换(NAT),则防火墙中的访问控制列表(ACL)应全部由内网地址构成;②如果在企业局域网内部(位置2)进行网络地址转换(NAT),则访问控制列表(ACL)由外网地址构成。在企业局域网内,如果未完善考虑将要部署的新设备与网络地址转换(NAT)服务器的位置关系,会导致部署好的新设备采集到的日志数据由内、外网地址混合构成,不易于分析,是不推荐的做法。
3 功能实现
企业局域网内部署的安全设备应相互配合,才能全面保障内网安全。以互联网上流行的危险和攻击行为为例,讨论网络安全设备的配合使用。
3.1 抗远程SQL注入攻击
远程SQL注入攻击指攻击者通过构造并提交特殊的数据库语句到过滤不严谨的程序中,从而影响程序数据库语句执行功能的一种漏洞攻击<sup>[7]</sup>。存在漏洞的网站容易受到这种攻击,SQL注入成功后,网站的数据库中会增加很多垃圾数据,甚至产生不合法用户,网页内容被篡改并嵌入木马和病毒代码,对网络安全和企业形象造成不良影响。应对方法如下:
(1)在负载均衡(LB)上启用链路负载功能,优先选择使用不丢包、ping包时延短(Time≤3ms)的链路或运营商。这是由于若链路质量不高、时断时续,嵌入http中的SQL查询语句会一遍遍发出请求,造成轻微的SQL注入可疑行为,增加数据库的连接负担。
(2)启用入侵防护系统(IPS)的阻断功能。远程SQL注入攻击已存在于入侵防护系统(IPS)的特征库当中,启用阻断功能后,入侵防护系统(IPS)会自动阻断被判定为远程SQL注入的可疑行为并形成日志。如果网络管理员认为其中存在误判,影响了网站服务质量,可以将源IP地址或IP地址段加入白名单,入侵防护系统(IPS)则不会再对其进行阻断。
(3)在防火墙(FireWall)中,针对一台服务器的IP地址仅开放提供服务必备的端口,如www服务所需的80、81或者8080等。而且端口不用则不开,需要用时才开。在服务器退网时,要关闭开放过的端口,否则在新服务器入网后,如果使用了回收的IP地址,原服务器开放的端口将被强加于新服务器。
(4)在防火墙(FW)上进行端口限速。此举是为了防止内网服务器中毒后扫描和攻击内网其它服务器。若要尽早实施限速,可以在直连服务器的交换机上完成。
(5)在上网行为管理系统(AC)中监控用户和服务器的连接数。对于连接数一直排名靠前的用户和服务器,网络管理员应确认其是否正常使用。
3.2 抗针对IIS的攻击
互联网信息服务(Internet Information Services,简称IIS)由微软制造,存在于几乎所有提供Web服务的服务器上。但它像微软其它软件一样存在漏洞,微软也会不断发布补丁包弥补漏洞。历史上每一个IIS漏洞都有可能成为一次蠕虫病毒袭击的源头。
针对这些漏洞,唯一的对策是打补丁。对于委托管理的服务器,可借用准入机制为所有服务器打补丁。
(1)在上网行为管理系统(AC)上绑定服务器的IP地址和MAC(Media Access Control)地址;使用企业控制中心限制服务器访问互联网,通过跳转提示服务器管理员安装体检和杀毒软件,并连接至控制中心,之后网络管理员可以从控制中心查看所有服务器的体检结果、漏洞数量、病毒数量,并采取相应措施。
但需要注意的是,IIS有不同版本,其补丁也有相应版本,如果两者版本不匹配,打补丁后会导致原有的IIS无法启动。如果安装了与IIS版本相匹配的其它软件(如Sql Server)也将无法使用。
(2)启用入侵防护系统(IPS)的阻断功能。针对IIS的攻击已存在于入侵防护系统(IPS)特征库当中,启用阻断功能后,入侵防护系统(IPS)会自动阻断攻击并形成日志。
3.3 抗拒绝服务攻击
抗拒绝服务系统(ADS)与入侵防护系统(IPS)均有阻断抗拒绝服务攻击的能力,抗拒绝服务系统(ADS)置于入侵防护系统(IPS)前方最佳。两者区别在于:
(1)抗拒绝服务系统(ADS)作为专业抵抗此类攻击的设备,其预判功能优于入侵防护系统(IPS),尤其对于D-Dos攻击。D-Dos攻击的来源极其分散,不易找出其中联系,因此,抗拒绝服务系统(ADS)能从碎片包中分析出攻击类型是其重要功能之一。
(2)入侵防护系统(IPS)对于单个IP对内网发起的拒绝服务攻击有更佳的阻断能力,它能在一段时间内封锁攻击源,即丢弃所有来自攻击源的数据包。
4 遗留问题及思考
4.1 单点故障
网络安全设备无论怎样配合,都无法避免单点故障。解决办法是网络安全设备自身具有Bypass功能,或是对重要的网络安全设备采用双机热备。前者要在采购前仔细甄别,后者造价要高一倍。
4.2 升级延迟
网络安全设备抵抗的攻击大多数具有时限,发生一段时间后便消失。为保证网络安全设备具有持续的抵抗力,要及时对网络安全设备进行升级,包括软件特征库可以与硬件升级。很多厂家在软件升级的同时,强制要求升级硬件,而在不少企业中,由于续约及付款等商务问题,导致网络安全设备在一段时间内无法升级,这期间一旦发生新的网络攻击,企业局域网将受损。
4.3 疏于巡检
在保护企业局域网安全的工作中,网络安全设备做到了事中阻断、事后记录。同时,网络管理员应通过定时巡检,做好事前预防工作。
传统的巡检概念来自于仓库管理。在机房管理中,通过部署监控系统,对动力环境(电源、温度、湿度等)、设备运行状态实现了自动巡检,但人工巡检也必不可少。网络管理员应定期进入机房查看有无鼠患、漏水,登录网络安全设备查看日志,分析潜在的安全隐患,对于一些不寻常的网络现象要找出原因。
机房中有些使用中的服务器却无人管理,对企业局域网安全造成威胁。一些管理员观念落后,认为服务器出问题时再请厂家修理即可,但由于服务器的软硬件都会随着时间变化,对外网开放远程连接是极不安全的。从预防角度出发,服务器管理员应至少每周对服务器体检一次查杀病毒、木马,并及时打补丁。
5 结语
随着互联网的发展,网络安全问题日益突出。本文介绍的各种网络安全设备可在很大程度上帮助网络管理人员对网络安全进行优化,但它仅是一个工具而不是万能的。从管理角度来看,企业高层如首席信息官(Chief Information Officer,简称CIO)对网络安全的看法和态度也至关重要。
参考文献:
\[1\] 王艳.计算机网络的信息管理探究[J].考试周刊,2014(25):128-129.
[2] 王凡.融合型IDS/IPS将成入侵防护系统主导[J].通信世界,2011(42):31.
[3] 龙佳琴.负载均衡技术在企业中的应用研究[J].计算机光盘软件与应用,2014(6): 97-100.
[4] 铁生.小型商务网站如何应对DDoS攻击[J].计算机与网络,2014(6): 44-45.
[5] 韩国政府网站遭攻击近4小时疑与中国网民攻击有关[EB/OL].http://world.huanqiu.com/roll/2010-06/850953.html.
[6] 李锐.浅谈上网行为管理[J].计算机安全,2013(6): 81-83.
[7] 陈日明,庄小妹.SQL注入攻击的原理与防范[J].安徽电子信息职业技术学院学报,2014(2):58-61.
(责任编辑:黄 健)
