资讯安全入门手册.ppt

《资讯安全入门手册.ppt》由会员分享，可在线阅读，更多相关《资讯安全入门手册.ppt（111页珍藏版）》请在三一办公上搜索。

1、資訊安全入門手冊,第 16 章 Internet架構,第 16 章 Internet架構,在新的商業型態、降低銷售成本、提升客戶服務方面，Internet具有極大的潛力。在組織的資訊和系統方面，也可能會增加極大的風險。只要具有適當的安全架構，也可以賦予Internet極大的效用，且可用來管理資訊和系統的風險。,本章的內容如下：16-1 提供哪些服務16-2 不提供哪些服務16-3 發展通訊架構16-4 設計DMZ16-5 認識網路位址轉譯16-6 設計合作夥伴網路,16-1 提供哪些服務,關於Internet架構首先需要回答的問題是 組織希望透過Internet提供哪些服務？希望提供哪些服務、

2、服務的對象是誰，這些問題會大大地影響到整體架構，甚至也可能架設主機提供服務。,本節的內容如下：16-1-1 郵件16-1-2 電子郵件加密16-1-3 Web站台16-1-4 內部存取Internet16-1-5 組織外部存取內部系統16-1-6 控制服務,16-1-1 郵件,如果提供郵件服務時，一般提供的對象都是提供內部員工收送訊息。這項服務至少需要架設一部接收類送郵件的伺服器。如果要求更高的可用性，那麼至少需要兩部郵件伺服器。外送郵件可以移到同一部伺服器進行處理，或是組織也可以允許桌上型電腦直接郵件發送到目標系統。,組織也許會因為電子郵件討論群組之類的需求，而選擇架設公用郵件轉送（publ

3、ic mail relay），這類伺服器又稱為list server。list Server可以和一般郵件伺服器架在同一不設備上，這些系統接收外部使用者的郵件，接著將訊息轉送給list server的訂閱用戶。在Internet整體架構的考量上，可能會產生更大的流量需求。,不建議組織允許桌上型系統，直接將郵件發送到目標系統。不過，如果組織的郵件系統是架在Internet上，每部桌上型電腦都是透過該郵件伺服器收發電子郵件。在這種情況下，限制桌上型電腦只能透過該部郵件伺服器送出電子郵件，這是較為聰明的作法。,16-1-2 電子郵件加密,通常都不會利用電子郵件傳送機密資訊。基於省時、節省成本和擴充I

4、nternet用途的考量來說，還是會利用電子郵件寄送機密資訊。最好是利用電子郵件加密來保護機密資訊的內容。某些系統可以提供電子郵件加密的功能，這些系統類型從桌面型軟體（例如PGP），到電子郵件串流（例如Tovaris）的網路設備都有。,系統的選用不僅僅是依據傳送和接收加密電子郵件的數量，還需要依據組織的復原政策和金鑰管理（詳見第12章）等其他需求而定。,某些企業（例如財稅機關和健保組織）會將客戶、患者相關的機密資訊加密。,16-1-3 Web站台,如果組織選擇透過全球資訊網（World Wide Web）對客戶或夥伴發佈資訊，組織就會需要在內部或其他處所架設Web伺服器，並放置某些供大眾閱覽的

5、內容。Web伺服器可以是簡單、靜態的內容，或是鏈結到提供動態內容和接受訂單的電子商務系統（詳見第17章）。Web站台的存取方式，可以是任何人皆可瀏覽或透過某些認證機制（通常是使用者ID和密碼）加以限制。,如果含有某些限制性的內容時，站台應該要使用HTTPS（安全基座層，Secure Socket Layer，SSL）保護機密資訊。除了提供Web伺服器之外，可能也會提供檔案傳輸協定（File Transfer Protocol，FTP）。FTP允許組織外部的使用者，透過Web瀏覽器或FTP用戶端的協助，傳送或取得檔案。在使用者認證方面，可以採用匿名登入或要求輸入使用者ID和密碼登入認證。,16-

6、1-4 內部存取Internet,員工如何存取Internet應該依據政策加以規範（詳見第6章）。某些組織允許員工存取Internet任何服務，包括傳訊、聊天室、影音串流等。某些組織只允許員工使用瀏覽器，且只能瀏覽特定的網站。這些決策都會影響到網路的流量。,較常允許員工存取的服務如下：,不論組織是否允許使用串流影音，許多站台目前也可透過HTTP提供這方面的服務；因此，這些流量和一般性的Web流量完全相同。同樣的，Internet目前也有許多點對點（peer-to-peer）服務，這些服務也是透過連接埠80運作。這些類型的服務，也會提高未獲授權取得內部系統存取權的風險。,16-1-5 組織外部存

7、取內部系統,從組織外部存取內部敏感性系統，一直都是安全和網路人員非常棘手的問題。內部系統是指組織內部主要的作業系統。在本質上這些系統的架設目地，和Web伺服器或郵件伺服器的服務有所不同。員工存取（通常是從遠地執行工作）或非員工存取，是從組織外部存取組織內部系統的兩種可能類型。,從遠地存取組織內部系統的員工，一般都是透過Internet使用VPN（virtual private network）、某些遠端存取伺服器（remote access server）的撥接線路，或是專線等方式。是否允許這些存取方式，也都會影響組織的Internet架構。如果是其他組織要求存取組織的內部系統，那麼影響就會非

8、常嚴重。,即使是商業夥伴利用可信任的存取，也會間接地影響風險管理。至於透過VPN、撥接線路或數據專線、透過未加密的Internet存取（例如telnet）等方式，端賴連線的目地而定。,在實務上，並不建議採用透過未加密Internet的存取方式；然而，某些企業卻會允許這種類型的存取方式。如果是在這樣的情況下，必須盡力將這些系統移到內部網路的範圍之外，且將系統放在受到限制的網段（例如稍後介紹的DMZ）。,16-1-6 控制服務,為了讓網路和Internet連線非常順暢，會需要建置某些服務。是否建置這些服務，仍須依據組織的政策而定。DNSICMPNTP,DNS,網域名稱服務（Domain Name

9、Service，DNS），這是一種提供主機名稱和IP位址解析的服務。若是少了這項服務，內部使用者會難以解析Web站台的位址，而且也會難以存取Internet。內部系統會向內部DNS查詢所有的位址，內部DNS也可以向ISP的DNS查詢、解析外部位址。組織內部的系統不需要直接查詢外部DNS系統。,內部DNS也必須對外開放，組織外部的使用者才能存取組織的Web站台。為了完成這項目標，組織可以選擇自行架設DNS或由ISP的DNS代轉，這項決策也會影響到組織的Internet架構。如果決定自行架設、管理DNS，這部系統必須和內部DNS有所區分，且外部DNS也不應該架設在內部系統的網段中（也稱為DNS切割

10、）。,ICMP,Internet控制訊息協定（Internet Control Message Protocol，ICMP），用來提供ping（系統架設之後就可以找到）這類服務。除了ping之外，ICMP也提供network and host unreachable和packet time to live expired等訊息。這些訊息都有助於提高網路運作的效率。,由於這項服務會嚴重影響網路的運作，所以也可以拒絕或阻斷ICMP服務。舉例來說，如果內部使用者嘗試尋找卻找不到遠端Web伺服器時，ICMP即可回送ICMP host unreachable告知使用者。如果阻斷內部網路ICMP服務時，使

11、用者會一直等候直到連線逾時為止，然後就會看到找不到網頁的訊息。,NTP,網路校時協定（Network Time Protocol，NTP），這是一種可以讓許多系統時間同步的服務。目前在Internet上，已有許多提供這類校時資源的站台。如果組織選擇提供這項服務，就應該將一部系統設定成地區時間，且只有這部系統才可以和Internet的NTP溝通。所有的內部系統，都應該和這部系統溝通並完成校時動作。,16-2 不提供哪些服務,在設計Internet架構時，應該要包含滿足需求的服務，但是也不要提供不必要的服務。採用這種設計法則設計Internet架構時，將會排除絕大部分的重大風險。會造成重大風險的服

12、務如下：,NetMeeting需要編號較高的連接埠才能正常運作，因此具有潛在的危險性。若要必須使用這些連接埠，使用H.323 proxy會比較安全些。遠端控制協定（Remote Control Protocols）,例如PC Anywhere和VNC都是屬於這種類型的服務。如果遠端使用者必須使用這類協定控制內部系統，也應該要透過VPN連線。,簡單網路管理協定（Simple Network Management Protocol,SNMP）（連接埠169），可用來管理組織內部網路的網路管理，不過遠地不應該使用這項服務來管理組織的內部系統。,16-3 發展通訊架構,在逐步規劃組織Internet連

13、線的通訊架構時，最重要的就是流量處理能力和可用性問題。在某些情況下，必須和組織的ISP（Internett service provider）討論流量處理能力的問題。ISP應該建議提供適當服務所需的通訊線路。可用性需求應該由組織自行設定。如果Internet只是提供員工業務範圍之外的功能時，因為網路中斷並不會影響正常的工作，所以可用性的需求應該會非常低。,如果組織計畫建置電子商務站台，且Internet是組織營運的重心，那麼可用性就是組織成敗的關鍵。在設計Internet連線的時候，應該一併考量容錯和復原的能力。本節的內容如下：16-3-1 單一通訊線路16-3-2 多條通訊線路連接到單一IS

14、P16-3-3 多條線路連接到多個ISP,16-3-1 單一通訊線路,利用單一通訊線路連接Internet，這是目前最常見的Internet架構。ISP透過單一通訊線路提供組織適當的頻寬，詳見圖16-1。一般而言，ISP也會提供連線所需的路由器和通道服務單元（Channel Server Unit，CSU）。組織也同樣可以選購並安裝這些設備。,本地迴路（local loop）是組織設施連線到電話公司機房（central office，CO）的線路或光纖，在ISP附近也會有一個出線點（point of presence，POP）。連線到ISP的線路，實際上是最接近POP的端末線路。雖然不是最近P

15、OP，但本地迴路仍然需要經過最近的CO。從POP開始算起，連線才會透過ISP的網路進入Internet。,圖16-1 標準單一通訊線路架構,在圖16-1的連線架構之中，只要一個環節故障，就會導致整個連結中斷。故障的範例如下：路由器可能會故障CSU可能會故障本地迴路可能會斷線CO可能遭到破壞ISP的POP可能會故障,只要發生單一環節故障，也就等於整個連結線路故障。路由器故障的機率比CO遭到破壞的機率來得高出許多。施工單位也可能不慎挖斷纜線，這樣會造成長時間斷線。上述可能的原因還不包含ISP本身發生故障在內。,因為氣候、挖斷纜線、或阻斷服務攻擊等，這些非特定因素也會造成連線中斷。這種架構僅僅適合用

16、在非商業性質的Internet連線。,16-3-2 多條通訊線路連接到單一ISP,為克服單一環節故障而導致整個連線中斷，可以採用佈設多條和ISP連接的線路。不同的ISP會提供不同的服務。例如：某些ISP會稱為非正式鏈結（shadow link），有些ISP會稱為備援電路（redundant circuit，台灣多半使用這個名稱）。不論如何稱呼，都是希望提供避免線路中斷而導致停止服務的第二條線路。,單一POP接線,ISP可以利用連接到相同POP的備援電路（詳見圖16-2），提供線路容錯（fail-over）能力。備援電路可能包含備援路由器和CSU，也有可能只有一部路由器而已。如果主要電路發生故障

17、時，第二組電路會立即替補故障的線路。此種架構可以避免路由器、CSU、電話公司到CO的迴路，以及ISP連線端末的設備發生故障。,圖16-2 單一POP接線的備援電路,雖然這些都是常見的線路故障原因，但是卻無法降低設備故障的機率。可預防任何一組設備故障而導致整個連線中斷。這種架構的另一種效益 備援電路的成本較低。ISP提供備援電路的費用會比完整線路的費用低廉。,多條POP接線,添購另一組連接到POP的連線，可以增加可用性和可靠度（詳見圖16-3）。在這樣的情況下，第二組做為備援線路或持續運作的線路（稱為熱備援線路，hot redundant）。為了讓這種架構運作順暢，ISP通常都會執行邊境閘道器協

18、定（Border Getway Protocol，BGP）。BGP是一種路由協定（routing protocol），這是在雙連線類型的兩個實體之間，用來指定路由的一種協定。,圖16-3 多條線路連接到多個POP,在使用BGP協定的時候，必須非常審慎地設定路由。在這種架構下仍然可能造成通訊故障的單一環節 本地迴路和CO。除非該組織擁有兩組本地迴路和CO，否則仍舊無法克服這兩種因素。如果該組織真的採用兩組本地迴路和CO，整體架構就會變成圖16-4的架構。,圖16-4 透過多條本地迴路的連線方式,16-3-3 多條線路連接到多個ISP,這種Internet架構不見得能夠解決所有的問題和風險。如果妥

19、善設定，使用多個ISP確實可以降低服務中斷的風險（詳見圖16-5）。除了如何選擇ISP是需要考量的重點之外，組織採用的定址計畫也有極大的關聯性。,選擇ISP,採用多ISP的Internet架構，確實是一項非常複雜的工程，而且也需要多方的知識和瞭解ISP的實務經驗。BGP是一種最需要瞭解的知識。由於將會使用BGP來路由組織的流量，所以組織和ISP必須非常謹慎、妥善地設定BGP。連線的實際路由問題，是影響選擇ISP的另一個問題。,圖16-5 採用多個ISP的Internet架構,如果組織的設施並沒有連接多組本地迴路時，本地迴路可能會持續造成單一環節失效的問題。如果只有單一本地迴路時，選擇使用無線通

20、訊替代末端線路（last mile）的ISP（詳見圖16-6），也可達成電路備援的目地。由於無線通訊可能受到天候狀況、暴風雨的侵襲，或是飛行物的影響等，而造成資料遺漏或效能降低的問題。,圖16-6利用無線網路ISP提高可用性,採用無線通訊並不能完全解決可用性的問題。雖說無線通訊也具有諸多的問題，不過卻也不至於造成通訊完全中斷的情況。,選用無線網路ISP和傳統式ISP的需求都一樣。任何ISP都應該提供服務等級的同意書，而且都應該出具完整的管理實務同意書。,定址,採用多ISP架構運作模式的另一項問題，就是 定址問題。在一般的情況下，採用單一ISP連線時，ISP會分配一段位址空間。ISP會妥善地設定

21、路由器，並確保屬於組織的流量最後都會找到送達組織的路徑。ISP會將組織的位址廣播給其他ISP，因此所有透過Internet的流量最後都會傳送給組織的系統。,在採用多ISP架構時，每一個ISP分配的位址範圍都不一樣，因此組織必須選擇將要使用的位址範圍。可能會發生一家ISP的路由可以正常運作，而其他ISP必須同意、廣播分配給組織的位址空間，都是屬於前面那家ISP管轄的位址。這種組態設定方式需要非常專業的BGP運作知識，這樣才不會造成路由發生錯誤。,另一種選擇就是組織購置自己的位址空間。雖然這樣可以解決部分的問題，但是和組織連線的ISP卻必須廣播不屬於自己的位址空間，而且也會帶來新的問題。最後一種選

22、擇就是同時使用兩家ISP提供的位址。在這種情況下，某些系統會使用第一家ISP的位址，某些系統卻使用第二家ISP的位址。,這種架構無法真正地解決可用性的問題。除非組織可以解決這種問題，否則請不要採用這種架構。,16-4 設計DMZ,DMZ是demilitarized zone，通常是指不能完全信任的網段。DMZ提供可供Internet存取和只有內部員工才能存取的網段劃分方式。如果是與商業夥伴或其他外部實體建立專屬連線時，DMZ也是一種不錯的選擇。本節的內容如下：16-4-1 DMZ的定義16-4-2 架設在DMZ的系統16-4-3 合適的DMZ架構,16-4-1 DMZ的定義,DMZ是一種部分保

23、護的網段。這個區段一般都是利用如防火牆，或路由器大量過濾網路存取控制的方式來區分網段。網路存取控制接著會設定一套用來判斷允許進入DMZ的流量，以及允許哪些流量送出DMZ的規則（詳見圖16-7）。只要外部使用者可以直接接觸到的系統，都應該架設在DMZ區段內。,圖16-7 一般性DMZ政策規則,外部系統或使用者可以直接接觸到的系統，通常都是最先遭到攻擊或侵害的系統。不能完全信任這些系統的原因，主要是因為它們隨時都可能會遭到侵害。DMZ系統若要存取內部網路的高敏感性系統時，存取能力多半都會受到限制。DMZ系統的存取規則，都是開放外部使用者存取DMZ系統適當的服務。DMZ系統對內部系統的存取能力都會受

24、到限制。,應該內部系統對DMZ系統發起連線的要求。組織的政策或許可以允許內部系統存取DMZ或Internet系統，但嚴禁外部使用者存取內部系統。,16-4-2 架設在DMZ的系統,哪些系統應該架設在DMZ網段？應該架設在DMZ的系統如下：郵件系統Web 站台允許外部存取的系統控制系統,郵件系統,圖16-8是DMZ網段可能提供的服務。內部網路和外部網路都架設了郵件系統。外部網路的郵件系統是用來收發郵件。新送到的郵件是由外部系統接收，然後才傳送到內部郵件系統。內部郵件系統會將外送的郵件送到外部郵件系統。某些防火牆會提供郵件伺服器。,如果啟用了防火牆郵件系統，那麼也就具有外部郵件系統的功能。可以移除

25、多餘的外部郵件系統。,如果郵件系統對於營運非常重要的話，不論是內部郵件系統或外部郵件系統，都應該建置備援系統。,圖16-8 DMZ系統和內部網路系統的規劃圖,Web 站台,允許公眾存取的Web伺服器，也是架設在DMZ網段內。從圖16-8之中可以看到，架設在DMZ網段的應用程式伺服器。許多Wen站台依據使用者輸入的資料提供適當的網頁內容。這些使用者輸入的資訊，是透過呼叫資料庫加以處理。資料庫可能內含敏感性資料，所以也不適合放在DMZ網段中。,Web伺服器可以和資料庫伺服器溝通，但Web伺服器卻允許外部使用者存取，因此也不能完全信任Web伺服器。利用應用程式伺服器做為居間的系統，並實際和後端資料庫

26、伺服器溝通。當We伺服器接受使用者輸入的資料，並將資料傳送給應用程式伺服器加以處理。,應用程式將接收的資料傳送給後端資料庫系統處理，再將取回處理過的資料回傳給Web伺服器，最後再由Web伺服器對使用者提供結果。雖然架構看起來有些複雜，但是可以用來確實保護資料庫伺服器，並減輕Web伺服器的負擔。,一旦資料庫系統含有組織某些相當重要的敏感資訊時，或許也可以架設在其他防火牆的後端。在這種情況下，防火牆將會區隔敏感性資料庫和內部網路，因此也會提高某些存取限制。,允許外部存取的系統,所有允許外部存取的系統，都應該架設在DMZ網段中。如果允許透過互動式交談而存取的系統（例如telnet或SSH），使用者也

27、將具有攻擊其他DMZ系統的能力。這類系統應該架設在第二個DMZ網段中，以免其他DMZ系統遭到攻擊。,控制系統,外部DNS伺服器也應該架設在DMZ網段中。如果組織計畫擁有自己的DNS，這部DNS伺服器也必須接受外部使用者的查詢。在組織的基礎建設之中，DNS也是非常重要的一個環節。或許組織會選用DNS備援系統或是由ISP代管的DNS。如果組織選擇後者，那麼ISP的DNS將會需要組織內部的DNS執行分區轉送（zone transfer）。而且，這個動作也不應該由其他系統執行。,如果組織選擇架設NTP，應該將主要的NTP地區伺服器架設在DMZ網段中。內部系統都應該向主要的本地NTP伺服器查詢、更新系統

28、的時間。NTP伺服器的另外一種解決方案就是 利用防火牆做為主要的NTP地區伺服器。,16-4-3 合適的DMZ架構,DMZ架構的種類非常多。若是以安全為前提，那麼每一種類型各有優缺點，而且每一個組織也需要判斷最合適的架構。最常見的三種架構如下：路由器和防火牆單一防火牆雙防火牆,後續探討的每一種架構都含有防火牆，有關防火牆的詳細說明請參考第10章的內容。,路由器和防火牆,圖16-9是簡單的路由器和防火牆架構。路由器連結ISP和組織的外部網路，防火牆則做為內部系統的存取控管。在這種架構之下DMZ成了外部網路，而且變成了可以從Internet存取的系統。因為系統架設在外部網段中，因此也無法抵禦來自I

29、nternet的攻擊。為求降低遭到侵害的風險，可以利用路由器的封包過濾器，所以也只有允許存取DMZ系統的流量才能進入DMZ網段。,另一種降低風險的方法，就是DMZ的每一部系統專門提供特定的服務類型。例如：Web伺服器只能提供各種網頁內容，同時也應該關閉telnet、FTP和其他服務。Web伺服器也應該修補到最近的等級並嚴密監視。,圖16-9 防火牆和路由器的DMZ架構,在許多情況下，ISP擁有路由器並負責管理、維護。如果是這樣的情況，組織就無法更換路由器也不能執行正確的組態設定。千萬記得，通常都是採用命令的控制方式設定路由器，因此也必須依照正確的順序妥善設定過濾規則。,單一防火牆,一部防火牆就

30、可以建立DMZ。採用單一防火牆的架構時，就會產生圖16-10區隔DMZ和外部網路的架構。外部網路是由ISP的路由器和防火牆提供防護，且由防火牆的第三組網路介面建立DMZ網段。在這種架構下，防火牆擔負起存取DMZ的控管工作。,採用單一防火牆的架構時，所有的流量被迫必須更過防火牆。防火牆必須設定成 只能允許存取每一部DMZ系統提供服務的流量才能通過。防火牆也可以提供允許不允許通過的流量記錄。防火牆成了單一故障環節，也可能成為流量的瓶頸。,如果可用性是整個架構最重要的安全問題，那麼防火牆也應該具有容錯的措施。如果預料會產生大量的DMZ流量時，防火牆不但需要承受這些流量，也要處理通往內部網路的Inte

31、rnet流量。只有單一防火牆的設計，且僅需設定允許不允許通過的流量，所以在管理上會比前一種架構來得容易。,在這種架構下的路由器，可以不需要執行封包過濾的工作。如果可以執行某些過濾動作時，會讓防火牆的負擔減輕並因而提高效率。DMZ系統也會受到防火牆的保護，因此也會降低安全的需求。雖然並不是說DMZ系統一定會發生安全問題，只是建議DMZ可以受到防火牆的保護，而防火牆可以受到路由器的保護，並因而排除其他不必要的服務。,圖16-10 單一防火牆DMZ架構,雙防火牆,這種架構是在內部網路和外部網路之間，架設一部用來保護DMZ區段的防火牆。外部網路仍然定義由ISP路由器和第一部防火牆組成的，DMZ則是移到

32、兩部防火牆之間。防火牆1設定成允許DMZ和內部網路所有的流量通過。防火牆2的設定更為嚴謹，所以只能允許將流量外送到Internet。,圖16-11 DMZ第三種架構,如果DMZ預期會有大量的流量時，防火牆1需要具有處理大量流量的能力。防火牆2可以是一部處理能力較差的系統，這是因為只有處理內部流量而已。這兩部防火牆可以是不同類型的防火牆。這種設計方式可能可以增進整體系統的安全性，主要是因為兩部防火牆不太可能同時遭受到單一攻擊的侵害。,和單一防火牆的架構一樣，DMZ也會受到防火牆的保護。雙防火牆的架構除了增加成本上的負擔之外，也會增加額外的管理和組態設定。,為了進一步防護，也可以在每一部DMZ系統

33、上安裝主機型防火牆或入侵偵測系統。如果採用這種作法時，即使一部DMZ系統遭到侵害，不過卻不會危及其他DMZ系統。,16-5 認識網路位址轉譯,只要任何組織計畫架設防火牆，就一定會牽涉到定址的問題。定址並不如想像般地容易，而且如何適當地設定也是一個非常頭痛的問題。主要問題點在於 網路位址已經不夠用。目前採用.標記法（）的32位元網路位址，幾乎已經到了可用位址的上限。ISP已經不願意給予客戶大量的IP位址。,大部分ISP只願意分配16或32個位址（實際可以用位址僅剩下14個或30個，其餘兩個是用來做為廣播位址）。大多數的組織都擁有超過30部以上的系統，那麼該怎麼辦？這個問題的解決方案就是網路位址轉

34、譯（network address translation，NAT，簡稱轉址）。本節的內容如下：16-5-1 什麼是轉址服務？16-5-2 私人位址空間16-5-3 靜態NAT16-5-4 動態NAT,16-5-1 什麼是轉址服務？,NAT是將一個位址轉譯成另一個位址。為什麼要採用這樣的作法？有什麼好處？在大部分的網路中，防火牆通常都會執行NAT功能。如果必要的話，路由器也會利用這種功能。在應用層房防火牆的原始設計中（詳見第10章），就已經含有執行NAT的能力。,一旦防火牆成了所有連線的末端，外部也只能看到防火牆使用的位址而已。封包過濾型防火牆也具有這種能力，但是必須適當地設定防火牆。由於外界

35、無法看到內部系統使用的位址，所以NAT也可以提供部分安全的功能。因為如果看不到特定系統，也就無法定位和攻擊設定目標。,NAT無法提供完整的攻擊防護，因此也不應該犧牲其他安全措施。如果攻擊者位於組織範圍內，或透過如VPN、撥接連線等直接存取內部系統，那麼NAT也無法保護所有的系統。,16-5-2 私人位址空間,在瞭解NAT的概念之後，下一個步驟就是內部網路定址問題。如果沒有適當地設定位址時，內部網路位址也會導致各種類型的路由問題。RFC（Request for Comment的縮寫，這是Internet標準）1918明確指出 什麼是私人網路空間。,這些位址僅限使用在具有執行NAT能力的防火牆內部

36、網路。RFC更具體說明私人位址空間的範圍：到（使用8位元遮罩）到（使用12位元遮罩）到（使用16位元遮罩）,使用這些位址可以讓組織在設計內部的定址計畫時，提供更大的彈性空間。組織使用這些位址做為內部網路的位址時，可依據需求自由搭配完全沒有任何限制。使用這些位址必須注意一件事情 任何位址都無法路由到Internet上。,某些ISP會在內部網路使用私人位址空間。在這種情形下，可能會有某些使用私人位址空間的位址會回應ping命令。如果ISP內部使用私人位址空間的位址，ISP的內部網路路由到這些網路時，也不應該廣播到ISP內部網路以外的區域，因此也不會影響組織內部所使用的位址。,如果嘗試ping私人位

37、址空間時，將會回傳含有network unreachable訊息的封包。,16-5-3 靜態NAT,組織使用私人位址空間架構網路，且希望NAT允許Internet存取特定系統時，採用靜態NAT架構即可達成目標。靜態NAT會將外部網路的真實IP位址對應到DMZ的設備上。圖16-12顯示轉換的過程。也可以將真實IP位址對應到內部網路的設備，但是任何Internet可以存取的設備都應該架設在DMZ網段中。,為什麼還要使用NAT？直接將真實IP位址分配給DMZ的系統不就行了？這樣會產生下列兩種問題：需要兩組位址才能達成這個目標ISP分配給組織的30個位址再細分成子網路防火牆使用部分IP位址，內部網路也

38、使用部分IP位址位址。如果希望在第二個DMZ架設某些系統時，就會需要使用其他的位址。,圖16-12 靜態NAT架構,並非所有的DMZ系統都需要使用真實的IP位址。圖16-8 的DMZ區段含有應用程式伺服器。這部應用程式伺服器不需要提供Internet存取，這部設備只是要接收並處理Web伺服器傳來的資訊，並和內部資料庫伺服器產生互動即可。靜態NAT是採用一對一單一組態設定。每一部可以從Internet存取的設備來說，也只需要使用一個位址即可。,靜態NAT適合用在DMZ的伺服器，不過卻不適用於桌上型用戶端系統。,16-5-4 動態NAT,動態NAT（著名的隱藏式NAT）有別於靜態NAT，也就是說許

39、多內部IP位址對應到單一真實的IP位址（詳見圖16-13），而不是採用一對一的對應方式。最具代表性的就是 防火牆的外部位址使用真實的IP位址。防火牆會追蹤連線，並為每一個連線開啟一個連接埠。,在實務上會造成一個限制：動態NAT最多只能同時允許大約64000個連線需求。不過每一個桌上型系統在存取網站時，單一內部系統也有可能開啟32個左右的連線需求。如果桌上型用戶端使用動態主機組態設定協定（Dynamic Host Configuration Protocol，DHCP），動態NAT會非常有用。系統使用DHCP之後，系統啟動之後不見得都會使用相同的IP位址，因此靜態NAT也無法運作。,外界無法鎖定

40、使用動態NAT的系統，這是因為防火牆會維護連接埠和內部系統的對應關係，而且這個對應關係隨時都會發生變動。,圖16-13 動態NAT架構,16-6 設計合作夥伴網路,設計Internet架構的概念，也可適用於設計合作夥伴之間的網路。由於合作夥伴的網路連結可以降低組織的成本，也就導致組織之間的網路連結快速地增加。本節的內容如下：16-6-1 使用合作夥伴網路16-6-2 設定16-6-3 定址問題,16-6-1 使用合作夥伴網路,建立合作夥伴網路的目地，通常都是為了交換特定的檔案或部分資料。組織內部的特定系統，需要和另一個組織的特定系統相互溝通。並不表示組織可以毫無限制地存取另一個組織的網路。如果

41、兩個組織已經鏈結，並將風險管理套用在合作夥伴的網路上，也將會發現到風險確實存在。,當兩個組織連線之後，也就表示另一個組織的員工可以存取您的內部網路。回想一下第7章談論的內容，也可以發現到客戶和供應商都是威脅起因。,16-6-2 設定,合作夥伴的安全需求和Internet連線的安全需求相較之下，兩者之間只有一點些微的差異。可以利用Internet連線的需求來設計架構和法則。應該確認的連線需求，且提供這些服務的設備應該架設在DMZ網段中。如果防火牆資源非常充足時（詳見圖16-14），雖然可以從防火牆建置專屬合作夥伴的DMZ，但合作夥伴的DMZ和Internet連線畢竟仍有些不同之處。,從圖16-1

42、4中可以看到，防火牆增加兩個用來處理合作夥伴的DMZ，以及合作夥伴網路的網路介面。在防火牆的系統上，除了必須增加允許組織合作夥伴系統的規則，還要增加允許內部系統存取合作夥伴DMZ系統的規則。任何規則都不應該允許組織合作夥伴的系統，可以和內部網路、Internet DMZ或Internet建立連線。,在許多情況下，防火牆必須明確地拒絕這些需求。表16-1顯示如何變更規則。,表16-1 做為合作夥伴網路存取的Internet防火牆規則,16-6-3 定址問題,在設計合作夥伴網路的時候，另一個需要注意的就是定址問題。大部分組織都是使用私人位址空間，做為內部網路的定址計畫。組織和合作夥伴可能使用相同的

43、位址範圍。如果沒有特別留意，可能兩個組織都會使用相同的，做為內部系統使用的IP位址。,若組織和合作夥伴建立連線時，為了避免發生這類問題，最好的方式就是利用NAT。利用定義合作夥伴網路的轉譯原則，也可以將合作夥伴的網路納入組織的定址計畫中。,本節探討的內容，只是提供您避免發生某些問題而已。網路連線的定址問題和正確的路由相關資料非常多，礙於篇幅也只能提供讀者基本的概念。因此在建構互連網路的時候，也需要注意流量的問題，才不會產生新的安全問題。,專案實作16：建立Internet架構,本專案實作主要希望帶領讀者，逐步建立Interent架構。對於此一實例的角色扮演上，您受雇於Widget Makers

44、,Inc.,，發展適合組織的Internet架構。在Internet連線方面，Widget Makers提出下列需求：必須建立可以提供公司商品資訊的Web伺服器。以電子郵件做為客戶和合作夥伴的主要溝通機制。辦公室員工可以使用Internet存取Web。公司架設供零售商訂購商品的Web站台，必須和公司的Web站台區隔。,專案實作16：步驟,1.針對上述需求，確認需要透過Internet提供的服務。2.確認會用來支援這個Internet架構的控制服務。3.確認包含ISP數量在內的通訊架構。4.確認適合用於這家公司的防火牆架構。那麼，需要在防火牆安裝多少個網路介面？5.在設計過程中，定義每一個防火牆

45、所需的規則。,6.確認位址數量以及內部系統的定址計畫。7.在完成設計之後，先假設這家公司無法負擔整個設計所需的設備成本。首先應該移除哪些項目來降低成本？變更之後會如何影響整體的安全設計？而且，也別忘了考慮機密性、完整性、可用性和可說明性。,專案摘要,建立高可用性的需求，會快速地導引設計的方向。其中也會包含備援設備和兩個以上的ISP。Web和郵件伺服器應該架設在DMZ網段中。和合作夥伴溝通的系統應該架設在DMZ網段中，或是架設在獨立的合作夥伴網路中。設計的結果，可能非常需要非常高的建置費用。,如果組織可能無法負擔整個設計架構的成本時，可能可以移除某些備援系統。然而這樣的作法，將會影響整體設計的可用性。,