防火墙系列连载之四—建立堡垒主机的技术
2007-11-11 07:04:52 来源:WEB开发网核心提示:3) 对于内部网用户来可能,如果使用一台高速堡是一种浪费,防火墙系列连载之四—建立堡垒主机的技术,再则,如果堡,便于在发生开头,以确保微机的硬盘不溢出,而我们在有用户运行程序能本身就是一种安全隐患,讲
3) 对于内部网用户来 可能。如果使用一台高速堡 是一种浪费。再则,如果堡 ,而我们在有用户运行程序 能本身就是一种安全隐患。 | 讲,使用低档的机器作为堡垒主 垒主机,会将大量时间花费在等 垒主机很快,内部网用户会利用 的堡垒主机上再进行安全控制就 | 机,也可降低黑客损坏堡垒主机的 待内部网用户往外的慢速连接,这 这台机器的高性能做一些其它工作 较为困难。在堡垒主机上闲置的功 |
3. 堡垒主机的硬件配置 |
因为我们总是希望堡垒 慎重选择新产品。因为我们 | 主机具有高可靠性,所以,在选 考虑的是: | 择堡垒主机及它的外围设备时,应 |
(1) 需要堡垒主机具有高兼容性、成熟性。 |
(2) 在不追求纯粹的 的能力。这个要求使得堡垒 | 高CPU性能的同时,我们要求它 主机的内存要大,并配置有足够 | 至少能支持同时处理几个网际连接 的交换空间。 |
(3)如果在堡垒主机上要运行代理 一些有关硬盘和磁带机配置的建议: | 服务还需要有较大的磁盘空间作为存储缓冲。以下是 |
1堡垒主机应单独配置一台磁带机。 |
2由于进行安装操作系统和进行文件比较的需要,堡垒主机需要有CD-ROM。 |
3堡垒主机应加装一个磁盘以做维护用。 |
4堡垒主机的启动磁盘应可方便地拆卸并安装在其它机器上,以便于维护。 |
堡垒主机也是一个网络服务器,很少 功能。甚至可以用一台哑终端作为它的控 | 有用户去看它的屏幕,所以它不需要支持更多的显示 制台显示器。 |
4. 堡垒主机的物理位置 |
堡垒主机的物理位置主要讨论有两点: |
(1) 位置要安全 |
在设置堡垒主机时要求堡垒主机必须安置在安全的位置上。为什么?有以下两个理由: |
1若入侵者与堡垒主机有接触,他就有很多我们无法控制的办法来攻破堡垒主机。 |
2堡垒主机提供了许多 网内的站点与外部网就会脱 在通风良好、温度较为恒定 | 内部网与因特网的功能性连接, 离或完全中断。对堡垒主机要细 的房间,最好配备空调和不间断 | 如果它被破坏或被盗用,那么整个 心保护,以免发生不测。应把它放 电源。 |
(2) 堡垒主机在网络上的位置 |
堡垒主机应放置在没有重要的或机密 ,大多数以太网和令牌环网的接口都可工 捉到与该接口连接的网络上的所有的数据 数据包。 | 信息流的网络上,最好放在一个单独的网络上。目前 作在混合模式,所谓混合模式就是在一个接口上可捕 包,而且不仅仅是那些发给该接口所在机器的地址的 |
接口的功能若用Etherf 的,但这也为侵袭者偷看信 机密邮件、NFS操作等。在 应该考虑不让侵入堡垒主机 | ind、Tcpdump程序对网络进行测 息流提供了便利。这些信息流中 设置堡垒主机接口时应作好最坏 的侵入者可以方便地看到这些信 | 试、分析和单步调试时是非常有效 包含有FTP、Telenet、rlogin 、 的打算,万一堡垒主机被侵入,就 息流。 |
对于上述问题的解决办 络是内部网与因特网间的一 部网上的信息流对参数网络 参数网络间来往的信息流。 :如果堡垒主机被破坏,只 全暴露。 | 法是将堡垒主机放置在参数网络 层安全控制机制,参数网络与内 来讲是不可见的。处在参数网络 作为一个由包过滤路由器与内部 能使与堡垒主机交互的内部主机 | 上而不放在内部网上。因为参数网 部网是由网桥或路由器隔离的。内 上的堡垒主机只可看到在因特网与 网分隔的参数网络具有这样的优点 数目减少,而不至于将内部网络完 |
如果条件不能够使我们 敏感的网络上。 | 将堡垒主机放置在参数网络上, | 那么也应该将它放置在信息流不太 |
三、建立堡垒主机 |
建立堡垒主机应遵循以下步骤: |
1) 给堡垒主机一个安全的运行环境; |
2) 关闭机器上所有不必要的服务软件; |
3) 安装或修改必须的服务软件; |
4) 根据最终需要重新配置机器; |
5) 核查机器上的安全保障机制; |
6) 将堡垒主机连入网络。 |
在进行最后一步工作之前,必须保证 网相连,那我们应将堡垒主机完全配置好 网相连的内部网上建立防火墙,那就应该 在配置堡垒主机时被入侵,那这个堡垒主 制。 | 机器与因特网是互相隔离的。如果内部网尚未与因特 后方可让内部网与因特网相连。如果我们在已与因特 将堡垒主机配置成与内部网无连接的单独机器。如果 机就可能由内部网的防卫机制而变成内部网的入侵机 |
建立堡垒主机的过程到底应该怎样建立哪?有哪些步骤?下面逐步说明。 |
第一, 要在机器上使用最小的、无病毒的、标准的操作系统。 |
操作系统必须从正规的软件销售商获 有相应附带的安全保护程序以及系统配置 的选项,这样会避免一些用不到的软件以 。我们可以从软件供应商、用户协会或因 | 得,因为大多数正规软件供应商提供的操作系统都会 的指南。在安装操作系统时,要根据需要选用尽量少 后再删除它,其次要修补一些已知的操作系统的缺陷 特网新闻组中来获取与操作系统缺陷相关的信息。 |
第二,应该认真对待每 工作平台的安全建议。 | 一条从CERT_CC(计算机紧急救 | 援协作中心)获得的针对用户目前 |
第三, 要经常使用Che 正在使用的平台相对应的软 | cklist。目前市场上有好几种Ch 件。 | ecklist,我们可尽量使用与我们 |
第四, 要保护好系统日志。作为极 堡垒主机的一个重要步骤就是要确保系统 断出堡垒主机的运行是否正常。同时,当 的主要机制。所以妥善保存日志很重要。 性。首先要将它存放在易于操作的地方, 在正常状态。第二是要安全,要使非相关 ,系统日志是重建防火墙的基础。对于上 存放日志文件的两个拷贝,一个作为方便 贝是监视系统日常运行的基础,可以将这 墙发生故障后为了重建需用日志文件时, 拷贝可能已经不存在或被黑客改动过了。 连到堡垒主机的串口,然后在堡垒主机上 印机上有足够的纸并经常更换色带,就可 用起来比较麻烦。另一个更有效的方法是 入“记录”工作模式。 | 为重要的主机,在堡垒主机上记录有很多信息,建立 日志的安全。系统日志非常重要,因为通过它可以判 有黑客入侵到堡垒主机时,系统日志是记录当时现场 存放系统日志主要是从两个方面考虑:方便性和安全 这样我们就可以方便地使用它来检查堡垒主机是否处 用户无法操作到日志文件。因为在防火墙发生故障时 述两个貌似对立的要求,一个简单的解决方法是同时 性使用,另一个则准备在发生事故时使用。方便性拷 类拷贝放置在堡垒主机或其它内部网主机上。在防火 我们就不能使用方便性拷贝了。因为,这时的方便性 建立安全的系统日志的方法之一是将一台行式打印机 将发生的每一个事件的副本送到串口,这样只要在打 完整地记录日志。但这种日志不是电子式的,以后使 将一台微机连接到串口,并使这台微机自举后自动进 |
我们可以让微机每记录 使用这种方法,在微机上的 方法的另一个优点是,记录 析。 | 一定的数据量后自动返回记录的 系统日志是安全的。因为,在网 的信息是电子数据,便于在发生 | 开头,以确保微机的硬盘不溢出。 上是无法连接到这台微机的。这种 故障后使用软件工具进行搜索与分 |
更多精彩
赞助商链接