网络安全部署探讨
******ISP******
|------------------------|
******Gateway******
| | |
| | ------------------ADMIN
------------------- |
| |
DNS | |
BBS | |
======DMZ====== |
FTP |
WEB |
======Kernel======
| ||
| ||
| ||----------------------DHCP
| ||-------Database
| |
| |
======EDIT====== |
| | |
| | |
| | ======COMPUTE======
C1 C2 | | |
| | |
| | |
C3 C4 C5
一小型公司企业网结构如图。该公司对外提供BBS、FTP、WEB三种服务。员工工作站只允许通过网关访问外网。
如何设计一种安全策略,既能满足正常服务的提供,又能从网内、外保障网络安全?
一、概念
先介绍在我所设计的安全部署中用到的几个概念。
数据流——在网络中为完成一种网络行为、依赖协议传输的系列化数据。按照数据流的用途,可分为管理流——管理网络的数据流,在本网中有DNS流,DHCP流;通信流——管理流之外的通信的数据流。
网络路径——以通信双方为端点、通信双方间数据流依次经过的交换机、路由器系列。
连通——若A与B连通,则A、B间存在一条网络路径,并有单一数据流。
二、部署(列出的规则为允许,其它一律禁止)
(1)全局部署
数据流级规则:
C1~C5与DHCP连通,管理流。
C1~C5与ISP(外网)连通,通信流。
C1与C2连通,通信流。
C3、C4、C5互相连通,通信流。
BBS、WEB与DataBase连通,通信流。
DNS与BBS、FTP、WEB、ISP连通,管理流。(工作站通过外部DNS访问本网对外服务)
BBS、FTP、WEB与ISP连通,通信流。
ADMIN与Gateway连通,通信流(监控)、管理流(开/关一指定网络路径上的特殊数据流)。
ADMIN与BBS、FTP、WEB、DNS、DHCP、DabatBase连通,通信流、管理流。
网络路径级规则:
从C1~C5至ISP,双向。
从C1~C5至DHCP,双向。
从C1至C2,双向。
从C3至C4、C5,双向。
从WEB、BBS至DataBase,双向。
从WEB、BBS、FTP、DNS至ISP,双向。
从DNS至WEB、BBS、FTP,双向。
从ADMIN至Gateway,双向。
从ADMIN至BBS、FTP、WEB、DNS、DHCP、DabatBase,单向。
应用程序级别规则:
能捕获一切因操作而产生的错误,且指向同一出错页面。
严格权限控制。
防火墙级别规则:
在Gateway上拒绝来自ISP方向ping、扫描及其它试探性的非正常通信流。
(2)特殊调整
在从WEB、BBS至DataBase网络路径上只存在应用程序级别通信流。DataBase上对应用级别权限、数据库系统级别权限进行过滤。
对于管理流,有严格方向限制。
本部署也正在改进中,有想法的朋友可留言,一起探讨、学习。