信息服务的立体安全需求

当今，无论是企业、政府、还是学校及科研机构，都开始广泛的利用信息化手段提升自身的能力，利用各种信息设施有效地提高自身的运营效率。然而在从信息化过程获得好处的同时，给许多信息化单位造成重大损失的信息安全问题同样也在困扰着这些单位。因此如何解决信息化所带来的各种各样的安全威胁，就成为摆在每个用户面前的严峻问题。

一、信息服务面临的安全问题

1.攻击的目的

如今凡是连接到互联网的主机所面对的安全威胁形式多样，工作原理各异。然而就其目的而言分为以下2种：

破坏型攻击

破坏型攻击指的是通过占用目标的网络资源、系统资源，而破坏攻击目标的运行状态，使其不能正常工作。主要的手段是拒绝服务攻击（Denial of Service）。

入侵型攻击

另一类常见的攻击目的是侵入攻击目标，获得一定的权限，从而达到控制攻击目标，窃用目标资源、或窃取目标数据的目的。

2.攻击的阶段

从攻击者角度看，攻击分为三个阶段：攻击前的探测阶段、攻击阶段、攻击后的善后阶段。攻击手段相应地分为：探测、攻击、隐藏等三大类。

探测

探测是黑客在攻击开始前必需的情报收集工作，攻击者通过这个过程需要尽可能多地了解攻击目标的与安全相关的各方面信息，以便能够进行攻击。探测过程又可以分为三个基本步骤：踩点、扫描和查点。

扫描技术包括

◆Ping 扫描（确定正在活动的主机）、
◆端口扫描（确定打开的开放服务）、
◆操作系统辨识（确定目标主机的操作系统类型）
◆安全漏洞扫描（获得目标上存在的可利用的安全漏洞）。

攻击

在攻击阶段，攻击者通过探测阶段掌握的有关攻击目标的安全情况会选择不同的攻击方法来达成其攻击目的。攻击方法层出不穷，但可以将其归为以下四类，即窃听技术、欺骗技术、拒绝服务和数据驱动攻击。

窃听技术是攻击者通过非法手段对系统活动的监视从而获得一些安全关键信息。目前属于窃听技术的流行攻击方法有键击记录器、网络监听、非法访问数据和攫取密码文件。

欺骗技术是攻击者通过冒充正常用户以获取对攻击目标访问权或获取关键信息的攻击方法，属于此类的有获取口令、恶意代码、网络欺骗等攻击手法。

拒绝服务是中断或者完全拒绝对合法用户、网络、系统和其他资源的服务的攻击方法，属于破坏型攻击，是最邪恶的攻击，其意图就是彻底地破坏，而这比真正取得他们的访问权要容易得多，同时所需的工具在网络上也极易得到。因此拒绝服务攻击，特别是分布式拒绝服务（DDoS）攻击对目前的互联网络构成了严重的威胁，造成的经济损失也极为庞大。

数据驱动攻击是通过向某个程序发送数据，以产生非预期结果的攻击，通常为攻击者给出访问目标系统的权限，数据驱动攻击分为缓冲区溢出攻击、格式化字符串攻击、输入验证攻击、同步漏洞攻击、信任漏洞攻击等。

隐藏

攻击者在完成其攻击目标（如获得root 权限）后，通常会采取隐藏技术来消除攻击留下的蛛丝马迹，避免被系统管理员发现，同时还会尽量保留隐蔽的通道，一边将来还能轻易的重新进入目标系统。隐藏技术主要包括日志清理、安装后门、内核套件等。

信息服务的安全解决方案

信息服务是一个综合系统，涉及网络系统、主机系统两个层次。

网络系统的模型是一个分层次的拓扑结构，通常采用五层模型，即物理层、数据链路层、网络层、传输层、应用层。

主机系统也可以分为两个层次：操作系统、应用服务，因此信息服务的安全防护也需采用分层次的拓扑防护措施。即一个完整的信息服务安全解决方案应该覆盖网络与主机的各个层次，并且与安全管理相结合。以该思想为出发点，曙光公司提出了“全方位、深度的立体安全防护”的集群安全解决方案。

本文给出的是信息服务的网络安全的基础设施——防火墙的安全解决方案。

二、以防火墙隔离不同的安全区域的方案

1.隔离内外网的防火墙方案

作为最基本的功用，防火墙可以用于实现对网络不同安全区域的隔离。如下图，防火墙将办公局域网与不安全的互联网隔离成两个逻辑区域，在保证局域网内的客户端访问互联网、以及互联网用户访问局域网对外的服务器的同时，限制互联网与办公局域网之间的访问，达到可控访问的目的。

这是最简单的防火墙部署方案，初步实现了对局域网的安全防护，通常用于应用服务较少、以客户机上网为主要目标的小型网络。

虽然这是个简单的防火墙方案，但是采用曙光防火墙产品，可以获得以下安全保障：

◆丰富的包过滤功能
◆网络地址转换—NAT
◆DMZ（非军事区）
◆多种服务代理及智能内容过滤
◆统计计费功能
◆安全检测与实时报警功能
◆与IDS联动
◆抗IP欺骗
◆防端口扫描
◆DoS攻击拦截
◆P2P协议过滤

另外还可以获得以下功能：

◆支持多种工作模式
◆支持ADSL接入
◆带宽控制功能
◆负载均衡
◆DHCP功能

如今虽然通过禁用主机上的没用的或者不安全的服务，亦或者安装个人防火墙，可以实现防火墙的包过滤等功能，然而，毕竟这是由主机自身提供的防护，一旦主机系统已经被侵入，并获得足够的权限，上述的防护措施均可以被入侵者修改。

而采用专用防火墙则可以降低系统被入侵后造成的部分侵害，例如入侵者如果打开了主机上某些被禁止的端口，由于防火墙并未开放该端口，因此入侵者仍然不可以使用该端口进行内外网之间的通讯，因而也就在一定程度上防止了内部资源或数据的外泄。

2.带DMZ的防火墙方案

在前一个方案中，办公局域网中除了部署有办公用的客户机之外，还部署有提供不同服务的各种服务器。这些服务器中，

◆有些是为其它服务提供后台支持的，由各种应用服务访问，而不直接面向任何客户，如数据库服务器、目录服务器；
◆有些是对内部用户提供服务的，如OA、内部邮件等；
◆有些是允许所有用户访问（包括互联网用户），对外提供服务的主机，如web服务器、邮件网关等。

这里对外的服务器与上网的客户机放置在同一安全区域内，不便于设置更安全的控制规则。

因此将对外的服务器与办公局域网分隔开，在保证对外服务器正常提供服务的前提下，提高办公局域网的安全，因此在防火墙的第三个接口设置为DMZ（非军事区），在其中部署各种对外的服务器（如下图）。

 
在该方案中，通过防火墙将网络分隔为三个不同的安全区域，办公局域网、DMZ以及互联网，三个区域之间的通讯均需要通过防火墙，从而可以简化防火墙的规则的设置、提高防火墙工作效率、提高内部的办公局域网的安全。

本方案适用于具有多种应用服务、且对于服务器安全要求较高的用户网络。

3.提高内网服务器的防火墙部署方案

在前面的方案中，内部的办公局域网的安全得到了保证，提高了内部服务器抵御来自互联网的威胁的能力。然而内部服务器与办公用客户机部署在同一区域中，因此内部服务器仍然要面对来自内部网络的各种威胁。因此隔离内部服务器与办公用客户机，可以提高内部服务器的安全防护（如下图）。

 
在本方案中，将网络分隔为四个不同的安全区域：服务器网络、DMZ、DMZ1、以及互联网。其中，

◆服务器网络部署的是各种内部服务器；
◆DMZ区域部署的是各种对外提供应用服务的服务器；
◆DMZ1区域是原有的办公局域网，所有办公用客户机部署在其中。

本方案适用于具有多种应用服务、且对于服务器安全要求很高的用户网络。

但是这样的部署方式在获取更高的安全防护的同时，也会付出降低部分性能的代价，建议选用高性能的千兆防火墙，并且启用流量控制功能，以保证内、外网服务器之间的通讯带宽。

防火墙应该运行在混合模式下，即DMZ1（办公局域网）与互联网和DMZ（外网服务器）之间采用路由模式，而DMZ（外网服务器）与内部的服务器网络之间则采用透明模式。

在更大规模的网络中，也可以采用下图所示的双防火墙的部署方式：

 
其中内网防火墙建议采用工作在透明网桥模式下的、高性能的千兆防火墙，而外网防火墙则采用支持千兆接口的百兆防火墙。

4.多链路负载均衡的防火墙方案

对于大中型的网络中，为了保证应用服务的连续性、提高应用服务的网络带宽，可以选择多条ISP接入链路，实现链路的冗余与负载均衡（如下图）。

5.虚拟专网（VPN）实现分支机构与总部之间的安全连接

虚拟专网（VPN）采用隧道技术，在公共网络上构建安全的私有链路，实现敏感信息在公共网络上的安全传输。

VPN技术通常用于以下环境：

◆拥有多个分支机构的单位
◆拥有很多远程或移动用户的单位
◆需要进行远程维护系统的单位

VPN采用的部署方式有两种：site-to-site、client-to-site。

◆site-to-site部署方式用于分支机构与总部之间的连接，在此种方式下，两端的局域网内的客户机可以透明地使用VPN链路，而不需要任何额外的配置。
◆client-to-site部署方式用于移动办公用户到总部之间的连接，此种模式下，客户机需要安装相应的VPN客户端软件，并进行相应的配置。

较为典型的VPN应用环境是企业网络和政府网络中。各分支机构通过VPN隧道安全地接入上级局域网中，并通过防火墙实现其访问控制和安全防范。

下图所示为较为典型的site-to-site部署方式的拓扑图：

曙光天罗TLFW防火墙的VPN选件具有下述特性：

◆密钥管理系统，使用IKE协议进行会话密钥的自动协商，所有的VPN连接隔一段时间会自动的更换密钥。IKE协议使用共享密钥进行认证，将管理的复杂程度降低到最小。
◆支持的加密算法为DES、AES、RC4、RC5等加密算法。
◆支持的认证算法为MD5或SHA，可为AH或ESP协议所使用，确认了对话双方的身份，有效防止了使用身份伪装的主动攻击。
◆使用WEB中文管理界面，更易于管理。
◆可以使用证书或预共享密钥进行认证。
◆支持星型连接，支持网关<->网关、网关<->客户端连接。
◆只需要在网关上进行配置，终端用户无需知道连接的细节。

6.防火墙为高性能计算增加安全筹码

高性能计算作为第三大科学方法和第一生产力的地位与作用被广泛认识，并开始走出原来的科研计算向更为广阔的商业计算和信息化服务领域扩展。更多的典型应用在电子政务、石油物探、分子材料研究、金融服务、教育信息化和企业信息化中得以展现等等；与此同时高性能计算也给用户提供有可视化应用，要求系统能够作为可视化用的图形服务器。另外，用户还有海量存储和后备磁带库等灾难容错需求。

根据用户的应用情况，越来越多的高性能计算提供到商业用户中，也就是说高性能计算对外的情况是屡见不鲜。所以对于高性能计算对外提供服务牵涉到一个很重要的问题就是网络安全性问题。

较为典型的应用环境是企业网络和政府网络中。各机构通过内部的高性能计算机对外部的网络访问提供服务。将应用安全地接入到因特网中，并通过防火墙实现其访问控制和安全防范是我们首先需要考虑的。

 
曙光天罗防火墙可以从以下几个方面来保护高性能机群系统的安全：

访问控制

曙光天罗防火墙具有的访问控制功能，可以通过加密认证来限制外网用户对防火墙内部的机群系统的访问，没有得到密钥的用户无法进入机群系统，能保持很高的安全性。

安全过滤

曙光天罗防火墙自身带有的安全过滤模块能在防火墙内外网数据交互的时候对其进行深度包过滤检测。若是有不安全因素包括在数据中，防火墙可以通过检测定义对其过滤，使其无法通过防火墙，保障机群系统不遭到恶意代码的破坏。

抗攻击

曙光天罗防火墙自身具有很强的抗攻击能力，能适应各种险恶的网络环境，保证内部机群系统不因为防火墙的抵抗能力差而无法保持正常工作。

流量带宽管理

曙光天罗防火墙的带宽管理可以让用户随意调整网络的带宽流量；特有的流量计费功能更可以帮助用户实现网络流量计费，流量监控等功能。

防止非法入侵

曙光天罗防火墙内置的入侵检测模块，可以让系统对受到的攻击设有完备的记录功能，检测到危险信息时，系统可以根据管理员的设置断开连接，实现入侵主动防护，并且可以跟曙光NIDS进行联动，实现安全一体化。