防火墙系列连载之四—建立堡垒主机的技术

　　3） 对于内部网用户来讲，使用低档的机器作为堡垒主机，也可降低黑客损坏堡垒主机的可能。如果使用一台高速堡垒主机，会将大量时间花费在等待内部网用户往外的慢速连接，这是一种浪费。再则，如果堡垒主机很快，内部网用户会利用这台机器的高性能做一些其它工作，而我们在有用户运行程序的堡垒主机上再进行安全控制就较为困难。在堡垒主机上闲置的功能本身就是一种安全隐患。

　　3. 堡垒主机的硬件配置

　　因为我们总是希望堡垒主机具有高可靠性，所以，在选择堡垒主机及它的外围设备时，应慎重选择新产品。因为我们考虑的是：

　　（1） 需要堡垒主机具有高兼容性、成熟性。

　　（2） 在不追求纯粹的高CPU性能的同时，我们要求它至少能支持同时处理几个网际连接的能力。这个要求使得堡垒主机的内存要大，并配置有足够的交换空间。

　　（3）如果在堡垒主机上要运行代理服务还需要有较大的磁盘空间作为存储缓冲。以下是一些有关硬盘和磁带机配置的建议：

　　1堡垒主机应单独配置一台磁带机。

　　2由于进行安装操作系统和进行文件比较的需要，堡垒主机需要有CD－ROM。

　　3堡垒主机应加装一个磁盘以做维护用。

　　4堡垒主机的启动磁盘应可方便地拆卸并安装在其它机器上，以便于维护。

　　堡垒主机也是一个网络服务器，很少有用户去看它的屏幕，所以它不需要支持更多的显示功能。甚至可以用一台哑终端作为它的控制台显示器。

　　4. 堡垒主机的物理位置

　　堡垒主机的物理位置主要讨论有两点：

　　（1） 位置要安全

　　在设置堡垒主机时要求堡垒主机必须安置在安全的位置上。为什么？有以下两个理由：

　　1若入侵者与堡垒主机有接触，他就有很多我们无法控制的办法来攻破堡垒主机。

　　2堡垒主机提供了许多内部网与因特网的功能性连接，如果它被破坏或被盗用，那么整个网内的站点与外部网就会脱离或完全中断。对堡垒主机要细心保护，以免发生不测。应把它放在通风良好、温度较为恒定的房间，最好配备空调和不间断电源。

　　（2） 堡垒主机在网络上的位置

　　堡垒主机应放置在没有重要的或机密信息流的网络上，最好放在一个单独的网络上。目前，大多数以太网和令牌环网的接口都可工作在混合模式，所谓混合模式就是在一个接口上可捕捉到与该接口连接的网络上的所有的数据包，而且不仅仅是那些发给该接口所在机器的地址的数据包。

　　接口的功能若用Etherfind、Tcpdump程序对网络进行测试、分析和单步调试时是非常有效的，但这也为侵袭者偷看信息流提供了便利。这些信息流中包含有FTP、Telenet、rlogin 、机密邮件、NFS操作等。在设置堡垒主机接口时应作好最坏的打算，万一堡垒主机被侵入，就应该考虑不让侵入堡垒主机的侵入者可以方便地看到这些信息流。

　　对于上述问题的解决办法是将堡垒主机放置在参数网络上而不放在内部网上。因为参数网络是内部网与因特网间的一层安全控制机制，参数网络与内部网是由网桥或路由器隔离的。内部网上的信息流对参数网络来讲是不可见的。处在参数网络上的堡垒主机只可看到在因特网与参数网络间来往的信息流。作为一个由包过滤路由器与内部网分隔的参数网络具有这样的优点：如果堡垒主机被破坏，只能使与堡垒主机交互的内部主机数目减少，而不至于将内部网络完全暴露。

　　如果条件不能够使我们将堡垒主机放置在参数网络上，那么也应该将它放置在信息流不太敏感的网络上。　　

　　三、建立堡垒主机

　　建立堡垒主机应遵循以下步骤：

　　1） 给堡垒主机一个安全的运行环境；

　　2） 关闭机器上所有不必要的服务软件；

　　3） 安装或修改必须的服务软件；

　　4） 根据最终需要重新配置机器；

　　5） 核查机器上的安全保障机制；

　　6） 将堡垒主机连入网络。

　　在进行最后一步工作之前，必须保证机器与因特网是互相隔离的。如果内部网尚未与因特网相连，那我们应将堡垒主机完全配置好后方可让内部网与因特网相连。如果我们在已与因特网相连的内部网上建立防火墙，那就应该将堡垒主机配置成与内部网无连接的单独机器。如果在配置堡垒主机时被入侵，那这个堡垒主机就可能由内部网的防卫机制而变成内部网的入侵机制。

　　建立堡垒主机的过程到底应该怎样建立哪？有哪些步骤？下面逐步说明。

　　第一， 要在机器上使用最小的、无病毒的、标准的操作系统。

　　操作系统必须从正规的软件销售商获得，因为大多数正规软件供应商提供的操作系统都会有相应附带的安全保护程序以及系统配置的指南。在安装操作系统时，要根据需要选用尽量少的选项，这样会避免一些用不到的软件以后再删除它，其次要修补一些已知的操作系统的缺陷。我们可以从软件供应商、用户协会或因特网新闻组中来获取与操作系统缺陷相关的信息。

　　第二，应该认真对待每一条从CERT_CC（计算机紧急救援协作中心）获得的针对用户目前工作平台的安全建议。

　　第三， 要经常使用Checklist。目前市场上有好几种Checklist，我们可尽量使用与我们正在使用的平台相对应的软件。

　　第四， 要保护好系统日志。作为极为重要的主机，在堡垒主机上记录有很多信息，建立堡垒主机的一个重要步骤就是要确保系统日志的安全。系统日志非常重要，因为通过它可以判断出堡垒主机的运行是否正常。同时，当有黑客入侵到堡垒主机时，系统日志是记录当时现场的主要机制。所以妥善保存日志很重要。存放系统日志主要是从两个方面考虑：方便性和安全性。首先要将它存放在易于操作的地方，这样我们就可以方便地使用它来检查堡垒主机是否处在正常状态。第二是要安全，要使非相关用户无法操作到日志文件。因为在防火墙发生故障时，系统日志是重建防火墙的基础。对于上述两个貌似对立的要求，一个简单的解决方法是同时存放日志文件的两个拷贝，一个作为方便性使用，另一个则准备在发生事故时使用。方便性拷贝是监视系统日常运行的基础，可以将这类拷贝放置在堡垒主机或其它内部网主机上。在防火墙发生故障后为了重建需用日志文件时，我们就不能使用方便性拷贝了。因为，这时的方便性拷贝可能已经不存在或被黑客改动过了。建立安全的系统日志的方法之一是将一台行式打印机连到堡垒主机的串口，然后在堡垒主机上将发生的每一个事件的副本送到串口，这样只要在打印机上有足够的纸并经常更换色带，就可完整地记录日志。但这种日志不是电子式的，以后使用起来比较麻烦。另一个更有效的方法是将一台微机连接到串口，并使这台微机自举后自动进入“记录”工作模式。　　

　　我们可以让微机每记录一定的数据量后自动返回记录的开头，以确保微机的硬盘不溢出。使用这种方法，在微机上的系统日志是安全的。因为，在网上是无法连接到这台微机的。这种方法的另一个优点是，记录的信息是电子数据，便于在发生故障后使用软件工具进行搜索与分析。