在最近的項目中碰到了關於內部網絡主機需要訪問互聯網資源的情況,因為內部網絡是業務核心網絡,安全性要求極高,所以,內外網的訪問控制策略需要作深入分析研究,我的方案是防火牆體系中的屏蔽子網策略。屏蔽子網通過兩台路由器和一個周邊網絡將內網與外網隔離。外網到內網之間共設計有四道關卡,分別是外網路由、堡壘主機+周邊網絡、內網路由、內網防火牆。下面就四道關卡的功能做具體介紹。
1.外部路由
外部路由又稱訪問路由器,擁有網絡地址轉換(NAT)功能,將周邊網絡(辦公外網)使用的私有網絡地址(一般為192開頭的C類地址)翻譯成合法的網絡IP地址,是辦公外網可以訪問互聯網的同時,使辦公主機對外網是不可見的,實現屏蔽內部網絡結構的功能,主要執行的安全任務是阻止從外部網絡上偽造源地址發送進來的任何數據包。
2.堡壘主機+周邊網絡
堡壘主機采用雙宿主結構,配有兩塊網卡,一個用於外網通信,另一個用於內網通信。堡壘主機是內外網交互的唯一入口,是整個防御體系的核心,相當與采用代理技術的防火牆,其外部網卡工作在周邊網絡的鏈路層網絡中,周邊網絡的存在可以分散對堡壘主機的攻擊和探測。內部網卡工作在內部網絡的鏈路層網絡中。內網向堡壘主機提出數據請求,堡壘主機在通過外網獲取資源並存入數據庫,內部網絡訪問數據庫得到資源。堡壘主機作為代理使得內網獲取外網資源成為可能,堡壘主機使用雙網卡和獨立數據庫使得兩邊的網絡實現了物理隔絕,攻擊者除非完全控制堡壘主機和數據庫服務器才能實現對內網的探測。
3.內網路由
如果堡壘主機被攻破,則內網會暴露在攻擊者的攻擊范圍內,故數據交互通道中需要內網路由對內部子網進行屏蔽,防止堡壘主機被攻破后發起的源地址欺騙攻擊等網絡層攻擊。
4.內網防火牆
內網路由只能實現簡單的數據包過濾功能,只能在網絡層實現數據的安全訪問控制,為了應對攻擊者來自應用層的攻擊,內網訪問牆最好采用代理技術,相當於內網堡壘主機。
防火牆體系的防御只能阻止外部攻擊,如果要防止來自內部的攻擊,還需要在內網核心數據庫附近加入IDS入侵檢測系統,同理在周邊網絡的堡壘主機附近也可以增加IDS,提高外層網絡的安全性。
下圖為我設計的交互方案,還在學習之中,不足之處請大家指出,謝謝 *_*
