网络接入点(NAP,network access point)是几个主要的因特网互联的点中的一个,它把所有的网络接入提供商都捆绑在一起,这样在AT&T的波兰用户就能够访问位于弗罗里达迈阿密的Bell South用户的网站了。
背景
开始国家科学基金发起并支持的只有四个NAP,纽约、华盛顿特区、芝加哥和旧金山,它们由最初美国政府财政支持的因特网转变成为商业运作的因特网。从那以后许多NAP陆陆续续组建起来,其中包括WorldCom的“MAE West”网站所在地圣何塞,加利福尼亚和ICS网络系统的“Big East”。
网络接入点(NAP)提供通常为公众服务的主要交换设备。公司利用NAP设备构建他们公司内部的对等网络。多数因特网的流量是不通过NAP的,而是用对等排列和内部交换。vBNS网络是一个国家科学基金支持的一研究为目的的独立网络,它也利用NAP技术。
安全
一个内部局域网络同外部网络建立连接有 2 种典型的情况:1.Internet接入,将局域网络与Internet互通,实现访问互联网、电子邮件、信息发布、企业网站等功能;2.同其他局域网络互通,实现相关业务的电子化和网络化,如银行代收业务等。这 2 种比较典型的网络接入点对网络安全产生的威胁程度以及应采取的防范措施各有特点,下面分别进行说明。
Internet接入点的安全
Internet接入点是对内部网络安全产生威胁最大的一点,其威胁主要有 2 种,非法入侵和计算机病毒。
面对这些威胁,我们不可能放弃Internet应用,而是要在保证正常应用的前提下,采取得当的措施进行防范。在防范非法入侵方面,采取的措施是设置防火墙。
防火墙在内部网和外部网的交界处构造一个保护层,通过地址映射,可以有效地屏蔽内部局域网的真实主机地址,使外部所看到的地址是虚假的地址;同时设定合理的外部访问内部资源的策略,对外部的访问进行限制,滤掉不符合访问策略的数据包。另一方面,通过设置内部访问外部策略,防火墙也可以限制内部对外部网络资源的访问,在一定程度上降低安全风险。
在预防计算机病毒方面,内部网络中可能已经部署了网络防病毒系统,但这个系统是在计算机病毒进入到内部局域网络以后才能启动防范功能,如果该系统的管理不完善,或是存在着病毒码升级不同步产生的“木桶效应”,系统同样可能会受到破坏。因此,在Internet接入点处,还要设置一个防毒墙或具有类似功能的防范机制,通常部署在防火墙的后面。防毒墙是防毒软件和高性能硬件有机的结合体,它支持
HTTP、FTP、POP3 和SMTP 等标准协议,可以对出入内部局域网络的电子邮件、HTTP 或FTP 数据进行检查扫描,并根据病毒特征码判断流经的数据包中是否带有病毒,从而将病毒清除或隔离在内部网之外,减少内部网感染病毒的几率。作为
强制访问控制的设备,防火墙不具备实时入侵监测的能力,不能感知、记录入侵的进入和后果,同时也存在可以绕过防火墙的入侵行为。针对防火墙的局限性,在 Internet 接入点处,我们还应该采取第三个安全措施——部署NIDS(基于网络的入侵检测系统)。NIDS 由检测代理和控制台构成,检测代理完成对流入内部网的数据包进行检查和分析,控制台实现对检测代理的管理、向网络管理员提交检测报告等功能。NIDS不会直接对内部网起保护作用,但是它可以通过监听流经指定端口的所有数据包,并与入侵行为特征信息库进行对比分析,进而发现可能的入侵企图和异常现象,实时地向网络管理员发出报警,同时将入侵的行为和过程进行记录,并中断该连接或调用相应的进程进行处理。网络管理员通过控制台提交的检测报告就可以及时地采取措施进行补救。在基于交换的局域网中,NIDS 只能检测某一个网段的数据包,因此在Internet接入点处设置NIDS,需要将交换机中用于连接外网的端口镜像到用于连接 N I D S 的端口,这样 N I D S 就可以对所有流入连接外网端口的数据包进行监测。大多数的NIDS都可以和主流的防火墙进行联动,当NIDS监测到入侵行为时,就会通知防火墙动态地调整访问策略,以后再出现类似的入侵行为,防火墙就可以将其阻断在内部网络之外。NIDS 可以设置在防火墙的前面或后面,由于防火墙和防毒墙可以过滤掉绝大部分的不安全数据包,因此通常将NIDS设置在内部网的最近点,减少NIDS的工作负载,保证NIDS 具有比较高的效率。
同其他局域网接入点的安全
局域网之间实现互联,意味着双方可以访问对方网络的所有资源,同时不能对对方人员的操作行为进行有效的管理。因此,安全措施的采取必须从这些方面入手,本着屏蔽内部网真实情况和满足最低资源需求的原则,对可访问网络资源及可执行的操作进行控制。联网双方进行数据交换,不像网络内部的应用,可以直接访问数据库,它的应用模式通常利用中间程序来响应客户端的操作请求,并由中间程序完成对后台数据库中数据的操作。运行中间程序的计算机称为数据前置机。因此,只要对方能够访问到数据前置机就能够满足应用的需求。作为内部网络中的一台计算机,数据前置机的IP地址为私有地址,这个地址带有内部网络子网划分等信息,不应该提供给外部,同时,要根据业务的需求对数据前置机的可访问类型及服务进行限制,如HTTP、FTP等,对于只是数据往来的情况,允许的访问类型可以设定为 UDP,并指定双方预先约定的端口号。
鉴于这些访问限制,用户需要在网络接入点处配置一台防火墙,并设置合理的访问策略,主要操作如下:
1.在防火墙中插入一个屏蔽子网。这个屏蔽子网与内部网没有任何关联,防火墙的外网端口的 IP 地址包含在这个屏蔽子网中。通过防火墙的地址映射功能将数据前置机的 IP 地址映射为一个虚假的 IP 地址,这个 IP 地址包含在屏蔽子网中。外部网络用户对前置机的访问全部通过这个映射的 IP 地址实现。如数据前置机的真实 IP为10.100.100.1,映射后的地址为192.168.1.1,当外部网用 户 访 问 1 9 2 . 1 6 8 . 1 . 1 时 ,防 火 墙 自 动 完 成 I P 的路由。这个过程对于外部用户来说是透明的,可以有效地屏蔽内部网络的真实情况。
2.在防火墙中设置一条外部用户访问内部网络的策略。即只允许对映射数据前置机的IP 地址进行访问,防火墙收到来自外部网的数据包,会检查数据包中包含的目的地址信息,如果符合则允许数据包通过,否则,将其过滤掉。这个策略的设置对于外部网络可访问资源进行了最大程度的限制。
3.设置防火墙允许的访问类型和端口号。
联网双方的业务具有很强的针对性,类型很单一,针对应用的需求,在防火墙中开启需要的服务类型,并指定双方约定好的端口号,同时禁用其他端口号,这个设置可以有效限制外部用户对数据前置机的访问。
除了采取防火墙措施外,为了加强两个网络间接入点的安全,可以在防火墙后面部署一台 NIDS,在连接防火墙的交换机中,将连接防火墙的端口镜像到连接NIDS 的端口来监测是否存在入侵行为。由于出入这个接入点的数据流量相对较小,涉及到的网络资源很有限,同时双方在内部网络中一般都部署了网络防毒系统,通过这个接入点流入病毒的可能性较小,病毒的预防依靠内部局域网络中的网络防毒系统就可以了。
为了便于内部员工的工作和生活,有些内部网络能存在远程拨号访问接入点和小区网络接入点,这些内部用户对网络资源的需求比较大,对于这些接入点的安全,不太适合采用防火墙等强制访问控制措施,我们可以利用网络设备本身的一些访问控制功能进行限制。如利用远程拨号访问服务器的电话绑定、身份认证等功能对远程访问用户进行限制;利用
VLAN技术将小区网络划归到一个独立的子网中,并设置IP过滤将超出访问权限的数据包过滤掉等等。这样既可以满足小区用户对网络资源的需求,又可以对其访问行为进行一定的限制。如果条件允许的话,还可以在这些接入点处设置NIDS。
现在,我们给出一个典型的内部局域网络接入点的安全模型,以供用户参考。其中1代表 Internet 接入点的安全设置,2 代表 2 个局域网络接入点的安全设置,3 代表远程拨号访问和小区网络接入的安全设置。
综上所述,在对待内部网安全的问题上,首先要针对网络接入点存在的安全隐患采取最有效的安全措施进行防范,建立一套全面的安全体系。只有加强接入点的安全,才能为内部网的安全稳定运行奠定基础。