服務(wù)器網(wǎng)絡(luò)安全如何保障(2)
另外一種情況是,服務(wù)器使用真實(shí)IP地址,防火墻配置成路由模式,不使用它的NAT功能。這種情況雖然可以實(shí)現(xiàn),但會使你的網(wǎng)絡(luò)結(jié)構(gòu)變得很復(fù)雜,似乎也不會帶來效益的提高。
大多數(shù)IDC的機(jī)房不提供防火墻服務(wù),你需要自己購買和配置使用防火墻。你完全可以按透明模式或NAT模式來配置,具體怎么配取決于你的實(shí)際情況。有些IDC公司會提供防火墻服務(wù),作為他們吸引客戶的一個手段。一般來說,他們的防火墻服務(wù)會收費(fèi)。
如果你的服務(wù)器在IDC提供的公共防火墻后面,那么就有必要仔細(xì)考慮你的內(nèi)網(wǎng)結(jié)構(gòu)了。如果IDC提供給你的防火墻使用透明模式,也即是你的服務(wù)器全部使用真實(shí)IP地址,在這種情況下,除非你的服務(wù)器數(shù)量足夠多(象我們在北京有500多臺),那么在你的邏輯網(wǎng)段里肯定還有其他公司的主機(jī)存在。
這樣,雖然有防火墻,你的系統(tǒng)管理任務(wù)也不會輕松多少,因為你要受到同一網(wǎng)段里其他公司主機(jī)的威脅。例如,你的服務(wù)器的IP地址段是211.139.130.0/24,你使用了其中的幾個地址,那么在這個網(wǎng)段里還會有200多臺其他公司的主機(jī),它們與你的主機(jī)同處于一個防火墻之后,雖然防火墻可以屏蔽來自因特網(wǎng)的某些訪問,然而,內(nèi)部這些主機(jī)之間的相互訪問卻沒有任何屏蔽措施。于是,其他公司不懷好意的人可以通過他們的主機(jī)來攻擊你。
或者,網(wǎng)絡(luò)中一臺主機(jī)被黑客入侵,則所有服務(wù)器都會面臨嚴(yán)重威脅。在這樣的網(wǎng)絡(luò)中,你不要運(yùn)行NFS、Sendmail、BIND這樣的危險服務(wù)。
這種問題的解決方法是自己購買防火墻,并配置使用透明模式,不要使用公用防火墻的透明模式。
有的IDC公司會給你提供NAT方式的防火墻,你需要在服務(wù)器上設(shè)置私有IP地址,然后由防火墻來給服務(wù)器做地址轉(zhuǎn)換。這種情況與上述情況存在同樣的問題,那就是,在你的服務(wù)器所在的邏輯網(wǎng)段里還有其他公司的主機(jī)。
例如在172.16.16.0/24這個網(wǎng)段可容納254臺主機(jī),你的服務(wù)器使用了其中的幾個IP,那么可能還有200多臺其他公司的主機(jī)與你的服務(wù)器在同一個網(wǎng)段里。這樣,雖然對外有防火墻保護(hù),但無法防范來自內(nèi)網(wǎng)的攻擊。
要解決這個問題,你不必自己購買防火墻。既然私有IP是可以任意分配的,那么你可以向IDC單獨(dú)要一個網(wǎng)段,例如172.16.19.0/24網(wǎng)段,把你的服務(wù)器都放在這個網(wǎng)段里,其中不要有其他公司的主機(jī)。這樣一來,你的內(nèi)網(wǎng)也無懈可擊了。
實(shí)際上,如果你有一個大的UNIX主機(jī)的網(wǎng)絡(luò),那么沒必要讓每臺主機(jī)都在防火墻上打開登陸端口。你可以特別設(shè)置一臺或兩臺主機(jī)做為登陸入口,對其他主機(jī)的訪問都必須使用入口主機(jī)作為跳板。這樣做犧牲了使用的方便性,但帶來更強(qiáng)的安全性。當(dāng)然,前提是你必須管理好入口主機(jī)。
有一種電子令牌卡適合這種應(yīng)用,它是一張隨身攜帶的卡,每隔一段時間(這個時間通常很小,幾分鐘或者幾十秒)動態(tài)產(chǎn)生一個口令,你只有使用這個口令才能登陸主機(jī),并且該口令很快就會失效。
不僅是UNIX主機(jī),對Windows主機(jī)的終端管理也可以采用這種跳板的方式。但Windows的終端比UNIX的shell要麻煩得多,如果你不愿犧牲太多的方便性,那么就不要這樣做。
網(wǎng)絡(luò)安全是服務(wù)器安全中重要的部分,希望大家已經(jīng)掌握以上的內(nèi)容,另外,還希望大家多多關(guān)注防火墻的知識,以更明白的了解服務(wù)器網(wǎng)絡(luò)安全。