Presentation is loading. Please wait.

Presentation is loading. Please wait.

第 16 章 Internet架構.

Similar presentations


Presentation on theme: "第 16 章 Internet架構."— Presentation transcript:

1 第 16 章 Internet架構

2 第 16 章 Internet架構 在新的商業型態、降低銷售成本、提升客戶服務方面,Internet具有極大的潛力。
在組織的資訊和系統方面,也可能會增加極大的風險。 只要具有適當的安全架構,也可以賦予Internet極大的效用,且可用來管理資訊和系統的風險。

3 本章的內容如下: 16-1 提供哪些服務 16-2 不提供哪些服務 16-3 發展通訊架構 16-4 設計DMZ 16-5 認識網路位址轉譯
16-6 設計合作夥伴網路

4 16-1 提供哪些服務 關於Internet架構首先需要回答的問題是 - 組織希望透過Internet提供哪些服務?
希望提供哪些服務、服務的對象是誰,這些問題會大大地影響到整體架構,甚至也可能架設主機提供服務。

5 本節的內容如下: 16-1-1 郵件 16-1-2 電子郵件加密 16-1-3 Web站台 16-1-4 內部存取Internet
組織外部存取內部系統 控制服務

6 16-1-1 郵件 如果提供郵件服務時,一般提供的對象都是提供內部員工收送訊息。 這項服務至少需要架設一部接收類送郵件的伺服器。
如果要求更高的可用性,那麼至少需要兩部郵件伺服器。 外送郵件可以移到同一部伺服器進行處理,或是組織也可以允許桌上型電腦直接郵件發送到目標系統。

7 list Server可以和一般郵件伺服器架在同一不設備上,這些系統接收外部使用者的郵件,接著將訊息轉送給list server的訂閱用戶。
組織也許會因為電子郵件討論群組之類的需求,而選擇架設公用郵件轉送(public mail relay),這類伺服器又稱為list server。 list Server可以和一般郵件伺服器架在同一不設備上,這些系統接收外部使用者的郵件,接著將訊息轉送給list server的訂閱用戶。 在Internet整體架構的考量上,可能會產生更大的流量需求。 不建議組織允許桌上型系統,直接將郵件發送到目標系統。不過,如果組織的郵件系統是架在Internet上,每部桌上型電腦都是透過該郵件伺服器收發電子郵件。在這種情況下,限制桌上型電腦只能透過該部郵件伺服器送出電子郵件,這是較為聰明的作法。

8 16-1-2 電子郵件加密 通常都不會利用電子郵件傳送機密資訊。
基於省時、節省成本和擴充Internet用途的考量來說,還是會利用電子郵件寄送機密資訊。 最好是利用電子郵件加密來保護機密資訊的內容。 某些系統可以提供電子郵件加密的功能,這些系統類型從桌面型軟體(例如PGP),到電子郵件串流(例如Tovaris)的網路設備都有。

9 系統的選用不僅僅是依據傳送和接收加密電子郵件的數量,還需要依據組織的復原政策和金鑰管理(詳見第12章)等其他需求而定。
某些企業(例如財稅機關和健保組織)會將客戶、患者相關的機密資訊加密。

10 Web站台 如果組織選擇透過全球資訊網(World Wide Web)對客戶或夥伴發佈資訊,組織就會需要在內部或其他處所架設Web伺服器,並放置某些供大眾閱覽的內容。 Web伺服器可以是簡單、靜態的內容,或是鏈結到提供動態內容和接受訂單的電子商務系統(詳見第17章)。 Web站台的存取方式,可以是任何人皆可瀏覽或透過某些認證機制(通常是使用者ID和密碼)加以限制。

11 如果含有某些限制性的內容時,站台應該要使用HTTPS(安全基座層,Secure Socket Layer,SSL)保護機密資訊。
除了提供Web伺服器之外,可能也會提供檔案傳輸協定(File Transfer Protocol,FTP)。 FTP允許組織外部的使用者,透過Web瀏覽器或FTP用戶端的協助,傳送或取得檔案。 在使用者認證方面,可以採用匿名登入或要求輸入使用者ID和密碼登入認證。

12 16-1-4 內部存取Internet 員工如何存取Internet應該依據政策加以規範(詳見第6章)。
某些組織只允許員工使用瀏覽器,且只能瀏覽特定的網站。 這些決策都會影響到網路的流量。

13 較常允許員工存取的服務如下: 服務 說明 HTTP(連接埠80)和HTTPS(連接埠443) 允許員工存取Web。 FTP(連接埠21和20) 允許員工傳輸檔案。 Telnet(連接埠23)和SSH(連接埠22) 允許員工和遠端系統建立互動式交談。 POP-3(連接埠110)和IMAP(連接埠143) 允許員工存取遠端電子郵件帳戶。 NNTP(連接埠119) 允許員工存取遠端的新聞伺服器(news server)網路。 不論組織是否允許使用串流影音,許多站台目前也可透過HTTP提供這方面的服務;因此,這些流量和一般性的Web流量完全相同。同樣的,Internet目前也有許多點對點(peer-to-peer)服務,這些服務也是透過連接埠80運作。這些類型的服務,也會提高未獲授權取得內部系統存取權的風險。

14 16-1-5 組織外部存取內部系統 從組織外部存取內部敏感性系統,一直都是安全和網路人員非常棘手的問題。
內部系統是指組織內部主要的作業系統。 在本質上這些系統的架設目地,和Web伺服器或郵件伺服器的服務有所不同。 員工存取(通常是從遠地執行工作)或非員工存取,是從組織外部存取組織內部系統的兩種可能類型。

15 從遠地存取組織內部系統的員工,一般都是透過Internet使用VPN(virtual private network)、某些遠端存取伺服器(remote access server)的撥接線路,或是專線等方式。 是否允許這些存取方式,也都會影響組織的Internet架構。 如果是其他組織要求存取組織的內部系統,那麼影響就會非常嚴重。

16 即使是商業夥伴利用可信任的存取,也會間接地影響風險管理。
至於透過VPN、撥接線路或數據專線、透過未加密的Internet存取(例如telnet)等方式,端賴連線的目地而定。 在實務上,並不建議採用透過未加密Internet的存取方式;然而,某些企業卻會允許這種類型的存取方式。如果是在這樣的情況下,必須盡力將這些系統移到內部網路的範圍之外,且將系統放在受到限制的網段(例如稍後介紹的DMZ)。

17 16-1-6 控制服務 為了讓網路和Internet連線非常順暢,會需要建置某些服務。 是否建置這些服務,仍須依據組織的政策而定。 DNS
ICMP NTP

18 DNS 網域名稱服務(Domain Name Service,DNS),這是一種提供主機名稱和IP位址解析的服務。若
是少了這項服務,內部使用者會難以解析Web站台的位址,而且也會難以存取Internet。 內部系統會向內部DNS查詢所有的位址,內部DNS也可以向ISP的DNS查詢、解析外部位址。 組織內部的系統不需要直接查詢外部DNS系統。

19 內部DNS也必須對外開放,組織外部的使用者才能存取組織的Web站台。
為了完成這項目標,組織可以選擇自行架設DNS或由ISP的DNS代轉,這項決策也會影響到組織的Internet架構。 如果決定自行架設、管理DNS,這部系統必須和內部DNS有所區分,且外部DNS也不應該架設在內部系統的網段中(也稱為DNS切割)。

20 ICMP Internet控制訊息協定(Internet Control Message Protocol,ICMP),用來提供ping(系統架設之後就可以找到)這類服務。 除了ping之外,ICMP也提供『network and host unreachable』和『packet time to live expired』等訊息。這些訊息都有助於提高網路運作的效率。 由於這項服務會嚴重影響網路的運作,所以也可以拒絕或阻斷ICMP服務。舉例來說,如果內部使用者嘗試尋找卻找不到遠端Web伺服器時,ICMP即可回送『ICMP host unreachable』告知使用者。如果阻斷內部網路ICMP服務時,使用者會一直等候直到連線逾時為止,然後就會看到『找不到網頁』的訊息。

21 NTP 網路校時協定(Network Time Protocol,NTP),這是一種可以讓許多系統時間同步的服務。
目前在Internet上,已有許多提供這類校時資源的站台。 如果組織選擇提供這項服務,就應該將一部系統設定成地區時間,且只有這部系統才可以和Internet的NTP溝通。 所有的內部系統,都應該和這部系統溝通並完成校時動作。

22 16-2 不提供哪些服務 在設計Internet架構時,應該要包含滿足需求的服務,但是也不要提供不必要的服務。
會造成重大風險的服務如下:

23 服務 說明 NetBIOS服務(連接埠135、137、138和139) Windows系統用於檔案共享和遠端命令的服務。 Unix RPC(連接埠111) Unix系統用於遠端程序呼叫的服務。 NFS(連接埠2049) 提供網路檔案系統(Network File System,NFS)的服務。 X(連接埠6000到6100) 提供X Window系統交談的服務。 『r』服務(rlogin連接埠513,rsh連接埠514,rexec連接埠512) 允許遠端不需要輸入密碼即可執行互動式交談的服務。 telnet(連接埠23) 由於使用者ID和密碼會清楚地透過Internet傳送,且可能被擷取所以不建議使用。如果需要接受內送的互動式交談時,建議透過SSH使用telnet。 FTP(連接埠21和20) 不建議提供的原因和telnet一樣。如果需要提供這種服務時,建議透過SSH傳送檔案。 TFTP(一般性檔案傳輸協定,Trivial File Transfer Protocol)(連接埠21) 類似FTP但不需要使用者ID和密碼即可存取檔案。

24 NetMeeting需要編號較高的連接埠才能正常運作,因此具有潛在的危險性。
若要必須使用這些連接埠,使用H.323 proxy會比較安全些。 遠端控制協定(Remote Control Protocols),例如PC Anywhere和VNC都是屬於這種類型的服務。 如果遠端使用者必須使用這類協定控制內部系統,也應該要透過VPN連線。

25 簡單網路管理協定(Simple Network Management Protocol,SNMP)(連接埠169),可用來管理組織內部網路的網路管理,不過遠地不應該使用這項服務來管理組織的內部系統。

26 16-3 發展通訊架構 在逐步規劃組織Internet連線的通訊架構時,最重要的就是流量處理能力和可用性問題。
在某些情況下,必須和組織的ISP(Internett service provider)討論流量處理能力的問題。 ISP應該建議提供適當服務所需的通訊線路。 可用性需求應該由組織自行設定。 如果Internet只是提供員工業務範圍之外的功能時,因為網路中斷並不會影響正常的工作,所以可用性的需求應該會非常低。

27 如果組織計畫建置電子商務站台,且Internet是組織營運的重心,那麼可用性就是組織成敗的關鍵。
本節的內容如下: 單一通訊線路 多條通訊線路連接到單一ISP 多條線路連接到多個ISP

28 16-3-1 單一通訊線路 利用單一通訊線路連接Internet,這是目前最常見的Internet架構。
ISP透過單一通訊線路提供組織適當的頻寬,詳見圖16-1。 一般而言,ISP也會提供連線所需的路由器和通道服務單元(Channel Server Unit,CSU)。 組織也同樣可以選購並安裝這些設備。

29 本地迴路(local loop)是組織設施連線到電話公司機房(central office,CO)的線路或光纖,在ISP附近也會有一個出線點(point of presence,POP)。
連線到ISP的線路,實際上是最接近POP的端末線路。 雖然不是最近POP,但本地迴路仍然需要經過最近的CO。從POP開始算起,連線才會透過ISP的網路進入Internet。

30 圖16-1 標準單一通訊線路架構

31 在圖16-1的連線架構之中,只要一個環節故障,就會導致整個連結中斷。 故障的範例如下:
路由器可能會故障 CSU可能會故障 本地迴路可能會斷線 CO可能遭到破壞 ISP的POP可能會故障

32 只要發生單一環節故障,也就等於整個連結線路故障。
路由器故障的機率比CO遭到破壞的機率來得高出許多。 施工單位也可能不慎挖斷纜線,這樣會造成長時間斷線。 上述可能的原因還不包含ISP本身發生故障在內。

33 因為氣候、挖斷纜線、或阻斷服務攻擊等,這些非特定因素也會造成連線中斷。
這種架構僅僅適合用在非商業性質的Internet連線。

34 16-3-2 多條通訊線路連接到單一ISP 為克服單一環節故障而導致整個連線中斷,可以採用佈設多條和ISP連接的線路。
例如:某些ISP會稱為非正式鏈結(shadow link),有些ISP會稱為備援電路(redundant circuit,台灣多半使用這個名稱)。 不論如何稱呼,都是希望提供避免線路中斷而導致停止服務的第二條線路。

35 單一POP接線 ISP可以利用連接到相同POP的備援電路(詳見圖16-2),提供線路容錯(fail-over)能力。
備援電路可能包含備援路由器和CSU,也有可能只有一部路由器而已。 如果主要電路發生故障時,第二組電路會立即替補故障的線路。 此種架構可以避免路由器、CSU、電話公司到CO的迴路,以及ISP連線端末的設備發生故障。

36 圖16-2 單一POP接線的備援電路

37 雖然這些都是常見的線路故障原因,但是卻無法降低設備故障的機率。
可預防任何一組設備故障而導致整個連線中斷。 這種架構的另一種效益 - 備援電路的成本較低。 ISP提供備援電路的費用會比完整線路的費用低廉。

38 多條POP接線 添購另一組連接到POP的連線,可以增加可用性和可靠度(詳見圖16-3)。在這樣的情況下,第二組做為備援線路或持續運作的線路(稱為熱備援線路,hot redundant)。 為了讓這種架構運作順暢,ISP通常都會執行邊境閘道器協定(Border Getway Protocol,BGP)。 BGP是一種路由協定(routing protocol),這是在雙連線類型的兩個實體之間,用來指定路由的一種協定。

39 圖16-3 多條線路連接到多個POP

40 在使用BGP協定的時候,必須非常審慎地設定路由。
在這種架構下仍然可能造成通訊故障的單一環節 - 本地迴路和CO。 除非該組織擁有兩組本地迴路和CO,否則仍舊無法克服這兩種因素。 如果該組織真的採用兩組本地迴路和CO,整體架構就會變成圖16-4的架構。

41 圖16-4 透過多條本地迴路的連線方式

42 16-3-3 多條線路連接到多個ISP 這種Internet架構不見得能夠解決所有的問題和風險。

43 選擇ISP 採用多ISP的Internet架構,確實是一項非常複雜的工程,而且也需要多方的知識和瞭解ISP的實務經驗。
BGP是一種最需要瞭解的知識。 由於將會使用BGP來路由組織的流量,所以組織和ISP必須非常謹慎、妥善地設定BGP。 連線的實際路由問題,是影響選擇ISP的另一個問題。

44 圖16-5 採用多個ISP的Internet架構

45 如果組織的設施並沒有連接多組本地迴路時,本地迴路可能會持續造成單一環節失效的問題。
如果只有單一本地迴路時,選擇使用無線通訊替代末端線路(last mile)的ISP(詳見圖16-6),也可達成電路備援的目地。 由於無線通訊可能受到天候狀況、暴風雨的侵襲,或是飛行物的影響等,而造成資料遺漏或效能降低的問題。

46 圖16-6利用無線網路ISP提高可用性

47 採用無線通訊並不能完全解決可用性的問題。 雖說無線通訊也具有諸多的問題,不過卻也不至於造成通訊完全中斷的情況。
選用無線網路ISP和傳統式ISP的需求都一樣。任何ISP都應該提供服務等級的同意書,而且都應該出具完整的管理實務同意書。

48 定址 採用多ISP架構運作模式的另一項問題,就是 - 定址問題。 在一般的情況下,採用單一ISP連線時,ISP會分配一段位址空間。
ISP會將組織的位址廣播給其他ISP,因此所有透過Internet的流量最後都會傳送給組織的系統。

49 在採用多ISP架構時,每一個ISP分配的位址範圍都不一樣,因此組織必須選擇將要使用的位址範圍。
可能會發生一家ISP的路由可以正常運作,而其他ISP必須同意、廣播分配給組織的位址空間,都是屬於前面那家ISP管轄的位址。 這種組態設定方式需要非常專業的BGP運作知識,這樣才不會造成路由發生錯誤。

50 另一種選擇就是組織購置自己的位址空間。 雖然這樣可以解決部分的問題,但是和組織連線的ISP卻必須廣播不屬於自己的位址空間,而且也會帶來新的問題。 最後一種選擇就是同時使用兩家ISP提供的位址。在這種情況下,某些系統會使用第一家ISP的位址,某些系統卻使用第二家ISP的位址。

51 這種架構無法真正地解決可用性的問題。 除非組織可以解決這種問題,否則請不要採用這種架構。

52 16-4 設計DMZ DMZ是『demilitarized zone』,通常是指不能完全信任的網段。
DMZ提供『可供Internet存取』和『只有內部員工才能存取』的網段劃分方式。 如果是與商業夥伴或其他外部實體建立專屬連線時,DMZ也是一種不錯的選擇。 本節的內容如下: DMZ的定義 架設在DMZ的系統 合適的DMZ架構

53 16-4-1 DMZ的定義 DMZ是一種部分保護的網段。 這個區段一般都是利用如防火牆,或路由器大量過濾網路存取控制的方式來區分網段。

54 圖16-7 一般性DMZ政策規則

55 外部系統或使用者可以直接接觸到的系統,通常都是最先遭到攻擊或侵害的系統。
不能完全信任這些系統的原因,主要是因為它們隨時都可能會遭到侵害。 DMZ系統若要存取內部網路的高敏感性系統時,存取能力多半都會受到限制。 DMZ系統的存取規則,都是開放外部使用者存取DMZ系統適當的服務。 DMZ系統對內部系統的存取能力都會受到限制。

56 應該內部系統對DMZ系統發起連線的要求。
組織的政策或許可以允許內部系統存取DMZ或Internet系統,但嚴禁外部使用者存取內部系統。

57 16-4-2 架設在DMZ的系統 哪些系統應該架設在DMZ網段? 應該架設在DMZ的系統如下: 郵件系統 Web 站台 允許外部存取的系統
控制系統

58 郵件系統 圖16-8是DMZ網段可能提供的服務。 內部網路和外部網路都架設了郵件系統。 外部網路的郵件系統是用來收發郵件。
新送到的郵件是由外部系統接收,然後才傳送到內部郵件系統。 內部郵件系統會將外送的郵件送到外部郵件系統。 某些防火牆會提供郵件伺服器。

59 如果啟用了防火牆郵件系統,那麼也就具有外部郵件系統的功能。 可以移除多餘的外部郵件系統。
如果郵件系統對於營運非常重要的話,不論是內部郵件系統或外部郵件系統,都應該建置備援系統。

60 圖16-8 DMZ系統和內部網路系統的規劃圖

61 Web 站台 允許公眾存取的Web伺服器,也是架設在DMZ網段內。 從圖16-8之中可以看到,架設在DMZ網段的應用程式伺服器。
許多Wen站台依據使用者輸入的資料提供適當的網頁內容。這些使用者輸入的資訊,是透過呼叫資料庫加以處理。 資料庫可能內含敏感性資料,所以也不適合放在DMZ網段中。

62 Web伺服器可以和資料庫伺服器溝通,但Web伺服器卻允許外部使用者存取,因此也不能完全信任Web伺服器。
利用應用程式伺服器做為居間的系統,並實際和後端資料庫伺服器溝通。 當We伺服器接受使用者輸入的資料,並將資料傳送給應用程式伺服器加以處理。

63 應用程式將接收的資料傳送給後端資料庫系統處理,再將取回處理過的資料回傳給Web伺服器,最後再由Web伺服器對使用者提供結果。
一旦資料庫系統含有組織某些相當重要的敏感資訊時,或許也可以架設在其他防火牆的後端。在這種情況下,防火牆將會區隔敏感性資料庫和內部網路,因此也會提高某些存取限制。

64 允許外部存取的系統 所有允許外部存取的系統,都應該架設在DMZ網段中。
如果允許透過互動式交談而存取的系統(例如telnet或SSH),使用者也將具有攻擊其他DMZ系統的能力。 這類系統應該架設在第二個DMZ網段中,以免其他DMZ系統遭到攻擊。

65 控制系統 外部DNS伺服器也應該架設在DMZ網段中。 如果組織計畫擁有自己的DNS,這部DNS伺服器也必須接受外部使用者的查詢。
或許組織會選用DNS備援系統或是由ISP代管的DNS。如果組織選擇後者,那麼ISP的DNS將會需要組織內部的DNS執行分區轉送(zone transfer)。而且,這個動作也不應該由其他系統執行。

66 如果組織選擇架設NTP,應該將主要的NTP地區伺服器架設在DMZ網段中。

67 16-4-3 合適的DMZ架構 DMZ架構的種類非常多。 若是以安全為前提,那麼每一種類型各有優缺點,而且每一個組織也需要判斷最合適的架構。
最常見的三種架構如下: 路由器和防火牆 單一防火牆 雙防火牆 後續探討的每一種架構都含有防火牆,有關防火牆的詳細說明請參考第10章的內容。

68 路由器和防火牆 圖16-9是簡單的路由器和防火牆架構。 路由器連結ISP和組織的外部網路,防火牆則做為內部系統的存取控管。
在這種架構之下DMZ成了外部網路,而且變成了可以從Internet存取的系統。 因為系統架設在外部網段中,因此也無法抵禦來自Internet的攻擊。 為求降低遭到侵害的風險,可以利用路由器的封包過濾器,所以也只有允許存取DMZ系統的流量才能進入DMZ網段。

69 另一種降低風險的方法,就是DMZ的每一部系統專門提供特定的服務類型。
例如:Web伺服器只能提供各種網頁內容,同時也應該關閉telnet、FTP和其他服務。 Web伺服器也應該修補到最近的等級並嚴密監視。

70 圖16-9 防火牆和路由器的DMZ架構

71 在許多情況下,ISP擁有路由器並負責管理、維護。
如果是這樣的情況,組織就無法更換路由器也不能執行正確的組態設定。 千萬記得,通常都是採用命令的控制方式設定路由器,因此也必須依照正確的順序妥善設定過濾規則。

72 單一防火牆 一部防火牆就可以建立DMZ。 採用單一防火牆的架構時,就會產生圖16-10區隔DMZ和外部網路的架構。
外部網路是由ISP的路由器和防火牆提供防護,且由防火牆的第三組網路介面建立DMZ網段。 在這種架構下,防火牆擔負起存取DMZ的控管工作。

73 採用單一防火牆的架構時,所有的流量被迫必須更過防火牆。
防火牆必須設定成 - 只能允許存取每一部DMZ系統提供服務的流量才能通過。 防火牆也可以提供允許/不允許通過的流量記錄。 防火牆成了單一故障環節,也可能成為流量的瓶頸。

74 如果可用性是整個架構最重要的安全問題,那麼防火牆也應該具有容錯的措施。
如果預料會產生大量的DMZ流量時,防火牆不但需要承受這些流量,也要處理通往內部網路的Internet流量。 只有單一防火牆的設計,且僅需設定允許/不允許通過的流量,所以在管理上會比前一種架構來得容易。

75 在這種架構下的路由器,可以不需要執行封包過濾的工作。
如果可以執行某些過濾動作時,會讓防火牆的負擔減輕並因而提高效率。 DMZ系統也會受到防火牆的保護,因此也會降低安全的需求。 雖然並不是說DMZ系統一定會發生安全問題,只是建議DMZ可以受到防火牆的保護,而防火牆可以受到路由器的保護,並因而排除其他不必要的服務。

76 圖16-10 單一防火牆DMZ架構

77 雙防火牆 這種架構是在內部網路和外部網路之間,架設一部用來保護DMZ區段的防火牆。
外部網路仍然定義由ISP路由器和第一部防火牆組成的,DMZ則是移到兩部防火牆之間。 防火牆1設定成允許DMZ和內部網路所有的流量通過。 防火牆2的設定更為嚴謹,所以只能允許將流量外送到Internet。

78 圖16-11 DMZ第三種架構

79 如果DMZ預期會有大量的流量時,防火牆1需要具有處理大量流量的能力。
防火牆2可以是一部處理能力較差的系統,這是因為只有處理內部流量而已。 這兩部防火牆可以是不同類型的防火牆。 這種設計方式可能可以增進整體系統的安全性,主要是因為兩部防火牆不太可能同時遭受到單一攻擊的侵害。

80 和單一防火牆的架構一樣,DMZ也會受到防火牆的保護。 雙防火牆的架構除了增加成本上的負擔之外,也會增加額外的管理和組態設定。
為了進一步防護,也可以在每一部DMZ系統上安裝主機型防火牆或入侵偵測系統。如果採用這種作法時,即使一部DMZ系統遭到侵害,不過卻不會危及其他DMZ系統。

81 16-5 認識網路位址轉譯 只要任何組織計畫架設防火牆,就一定會牽涉到定址的問題。
定址並不如想像般地容易,而且如何適當地設定也是一個非常頭痛的問題。 主要問題點在於 - 網路位址已經不夠用。 目前採用『.』標記法(xxx.yyy.zzz.aaa)的32位元網路位址,幾乎已經到了可用位址的上限。 ISP已經不願意給予客戶大量的IP位址。

82 大部分ISP只願意分配16或32個位址(實際可以用位址僅剩下14個或30個,其餘兩個是用來做為廣播位址)。
大多數的組織都擁有超過30部以上的系統,那麼該怎麼辦?這個問題的解決方案就是網路位址轉譯(network address translation,NAT,簡稱轉址)。 本節的內容如下: 什麼是轉址服務? 私人位址空間 靜態NAT 動態NAT

83 16-5-1 什麼是轉址服務? NAT是將一個位址轉譯成另一個位址。為什麼要採用這樣的作法?有什麼好處?
如果必要的話,路由器也會利用這種功能。 在應用層房防火牆的原始設計中(詳見第10章),就已經含有執行NAT的能力。

84 一旦防火牆成了所有連線的末端,外部也只能看到防火牆使用的位址而已。 封包過濾型防火牆也具有這種能力,但是必須適當地設定防火牆。
由於外界無法看到內部系統使用的位址,所以NAT也可以提供部分安全的功能。因為如果看不到特定系統,也就無法定位和攻擊設定目標。 NAT無法提供完整的攻擊防護,因此也不應該犧牲其他安全措施。如果攻擊者位於組織範圍內,或透過如VPN、撥接連線等直接存取內部系統,那麼NAT也無法保護所有的系統。

85 16-5-2 私人位址空間 在瞭解NAT的概念之後,下一個步驟就是內部網路定址問題。
如果沒有適當地設定位址時,內部網路位址也會導致各種類型的路由問題。 RFC(Request for Comment的縮寫,這是Internet標準)1918明確指出 - 什麼是私人網路空間。

86 這些位址僅限使用在具有執行NAT能力的防火牆內部網路。 RFC更具體說明私人位址空間的範圍:
到 ( 使用8位元遮罩) 到 ( 使用12位元遮罩) 到 ( 使用16位元遮罩)

87 使用這些位址可以讓組織在設計內部的定址計畫時,提供更大的彈性空間。
組織使用這些位址做為內部網路的位址時,可依據需求自由搭配完全沒有任何限制。 使用這些位址必須注意一件事情 - 任何位址都無法路由到Internet上。 某些ISP會在內部網路使用私人位址空間。在這種情形下,可能會有某些使用私人位址空間的位址會回應ping命令。如果ISP內部使用私人位址空間的位址,ISP的內部網路路由到這些網路時,也不應該廣播到ISP內部網路以外的區域,因此也不會影響組織內部所使用的位址。

88 如果嘗試『ping』私人位址空間時,將會回傳含有『network unreachable』訊息的封包。

89 16-5-3 靜態NAT 組織使用私人位址空間架構網路,且希望NAT允許Internet存取特定系統時,採用靜態NAT架構即可達成目標。
靜態NAT會將外部網路的真實IP位址對應到DMZ的設備上。 圖16-12顯示轉換的過程。 也可以將真實IP位址對應到內部網路的設備,但是任何Internet可以存取的設備都應該架設在DMZ網段中。

90 為什麼還要使用NAT?直接將真實IP位址分配給DMZ的系統不就行了? 這樣會產生下列兩種問題:
需要兩組位址才能達成這個目標 ISP分配給組織的30個位址再細分成子網路 防火牆使用部分IP位址,內部網路也使用部分IP位址位址。 如果希望在第二個DMZ架設某些系統時,就會需要使用其他的位址。

91 圖16-12 靜態NAT架構

92 每一部可以從Internet存取的設備來說,也只需要使用一個位址即可。
並非所有的DMZ系統都需要使用真實的IP位址。 圖16-8 的DMZ區段含有應用程式伺服器。這部應用程式伺服器不需要提供Internet存取,這部設備只是要接收並處理Web伺服器傳來的資訊,並和內部資料庫伺服器產生互動即可。 靜態NAT是採用一對一單一組態設定。 每一部可以從Internet存取的設備來說,也只需要使用一個位址即可。

93 靜態NAT適合用在DMZ的伺服器,不過卻不適用於桌上型用戶端系統。

94 動態NAT 動態NAT(著名的隱藏式NAT)有別於靜態NAT,也就是說許多內部IP位址對應到單一真實的IP位址(詳見圖16-13),而不是採用一對一的對應方式。 最具代表性的就是 - 防火牆的外部位址使用真實的IP位址。 防火牆會追蹤連線,並為每一個連線開啟一個連接埠。

95 系統使用DHCP之後,系統啟動之後不見得都會使用相同的IP位址,因此靜態NAT也無法運作。
在實務上會造成一個限制: 動態NAT最多只能同時允許大約64000個連線需求。 不過每一個桌上型系統在存取網站時,單一內部系統也有可能開啟32個左右的連線需求。 如果桌上型用戶端使用動態主機組態設定協定(Dynamic Host Configuration Protocol,DHCP),動態NAT會非常有用。 系統使用DHCP之後,系統啟動之後不見得都會使用相同的IP位址,因此靜態NAT也無法運作。

96 外界無法鎖定使用動態NAT的系統,這是因為防火牆會維護連接埠和內部系統的對應關係,而且這個對應關係隨時都會發生變動。

97 圖16-13 動態NAT架構

98 16-6 設計合作夥伴網路 設計Internet架構的概念,也可適用於設計合作夥伴之間的網路。
由於合作夥伴的網路連結可以降低組織的成本,也就導致組織之間的網路連結快速地增加。 本節的內容如下: 使用合作夥伴網路 設定 定址問題

99 16-6-1 使用合作夥伴網路 建立合作夥伴網路的目地,通常都是為了交換特定的檔案或部分資料。
組織內部的特定系統,需要和另一個組織的特定系統相互溝通。並不表示組織可以毫無限制地存取另一個組織的網路。 如果兩個組織已經鏈結,並將風險管理套用在合作夥伴的網路上,也將會發現到風險確實存在。

100 當兩個組織連線之後,也就表示另一個組織的員工可以存取您的內部網路。
回想一下第7章談論的內容,也可以發現到客戶和供應商都是威脅起因。

101 16-6-2 設定 合作夥伴的安全需求和Internet連線的安全需求相較之下,兩者之間只有一點些微的差異。
應該確認的連線需求,且提供這些服務的設備應該架設在DMZ網段中。 如果防火牆資源非常充足時(詳見圖16-14),雖然可以從防火牆建置專屬合作夥伴的DMZ,但合作夥伴的DMZ和Internet連線畢竟仍有些不同之處。

102 從圖16-14中可以看到,防火牆增加兩個用來處理合作夥伴的DMZ,以及合作夥伴網路的網路介面。
任何規則都不應該允許組織合作夥伴的系統,可以和內部網路、Internet DMZ或Internet建立連線。

103 在許多情況下,防火牆必須明確地拒絕這些需求。 表16-1顯示如何變更規則。
表16-1 做為合作夥伴網路存取的Internet防火牆規則

104 規則編號 來源IP 目標IP 服務 動作 1 夥伴網路 夥伴DMZ 適用於夥伴關係 允許 2 任何位址 拒絕 3 夥伴網路的DMZ 4 5 Web伺服器 HTTP 6 郵件伺服器 SMTP 7 8 內部網路 HTTP、HTTPS、FTP、telnet、SSH 9 內部DNS DNS 10

105 16-6-3 定址問題 在設計合作夥伴網路的時候,另一個需要注意的就是定址問題。 大部分組織都是使用私人位址空間,做為內部網路的定址計畫。
組織和合作夥伴可能使用相同的位址範圍。 如果沒有特別留意,可能兩個組織都會使用相同的10.x.x.x,做為內部系統使用的IP位址。


Download ppt "第 16 章 Internet架構."

Similar presentations


Ads by Google