摘要

安全事故的数量每一年都在以惊人的速度增加。安全威胁的复杂程度越来越高，因此，必须采取安全措施来保护网络。如今，为了安全地部署和管理网络，数据中心工作人员、网络管理人员以及其他数据中心专家都需要掌握基本的安全知识。本白皮书阐述了网络系统的基本安全知识，包括防火墙、网络拓扑和安全协议等。此外，还给出了佳方案，向读者介绍了在保护网络安全中某些比较关键的方面。

简介

要保护现代商业网络和 IT 基础设施的安全，不仅需要端对端的方法，还必须充分了解网络中所存在的弱点以及相关的保护措施。虽然这些知识并不足以阻挡住所有网络入侵或系统攻击企图，但可以使网络工程师排除某些常见问题，大量减少潜在的危害并迅速检测出安全性漏洞。随着攻击数量的日益增加以及复杂程度的不断提高，无论是大企业还是小公司，都必须采取谨慎的步骤来确保安全性。图 1 显示了历年来安全事故次数的显著上升趋势，数据取自 CERT® Coordination Center（一家互联网安全专业技术中心）。

人的问题

在任何安全方案中，人确实都是薄弱的环节。很多人都不认真对待保密的问题，譬如，不重视对密码和访问代码的保密，而这些正是大多数安全系统的基础。所有安全系统均依赖于一套控制访问、验证身份并防止泄漏敏感信息的方法。这些方法通常涉及一个或多个“秘密”。如果这些秘密被泄漏或偷窃，那么由这些秘密所保护的系统将受到威胁。这看起来似乎是再明显不过的事实，但可惜大多数系统都是以这种非常低级的方式被攻击的。譬如，将写有系统密码的便笺粘在计算机显示器的一侧，这种行为看起来十分的愚蠢，但事实上，很多人都有过这样的举动。另一个类似的例子，某些网络设备仍保留着出厂时的默认密码。此类设备可能包括UPS 的网络管理接口。在安全方案中，无论是小型 UPS 还是足以为 100 台服务器供电的大型 UPS，都往往是被忽略的环节。如果此类设备仍沿用默认的用户名和密码，那么，即使是除设备类型及发布的默认凭据之外一无所知的人，要获得访问权限也只是时间问题。如果服务器群集中的每台 Web 服务器和邮件服务器的安全协议都坚不可摧，整个系统却因为一个无保护的 UPS 的简单关机操作被击垮，该是多么令人震惊！

安全性，进入正题

一家安全的公司，无论大小，都应当采取适当步骤保护安全性，步骤必须全面而完整才能保证其有效性。但大多数公司机构的安全性策略及其实施都未达到此标准。造成这种情况有多种原因，比如实施安全性保护需要花费成本。这里的成本不仅是资金，还包括复杂性、时间和效率成本。为确保安全，必须花费金钱、执行更多的程序并等待这些程序完成（或者还可能涉及其他人）。事实是，真正的安全性计划很难实现。通常的做法是选择一个具有一定“成本”并实现一定安全性功能的方案。（这种安全性涵盖的范围几乎总是比“全面、完整的”方案所涵盖的范围要窄。）关键是要为整个系统的每个方面做出明智的决策，并按照预计的方式有意识地或多或少地实施这些决策。如果知道某个区域缺乏保护，那么至少可以监控此区域以确定问题或漏洞所在。 

安全性基础知识

了解网络

如果连要保护的对象都未清楚地了解，那么要保护好它是不可能的。任何规模的组织都应当有一套记录在案的资源、资产和系统。其中每个元素都应当具备相对价值，该价值是根据其对组织的重要性以某种方式指定的。应予以考虑的设备包括服务器、工作站、存储系统、路由器、交换机、集线器、网络与电信链路以及其他任何网络元素，如打印机、UPS 系统和 HVAC 系统等。此外，还有一些重要方面，如记录设备位置以及它们之间的相关性。例如，大多数计算机都依赖于 UPS 等备用电源，如果这些系统受网络管理，则它们可能也是网络的一部分。环境设备，如 HVAC 设备和空气净化器可能也包括在内。 

了解各种威胁

接下来是确定以上每个元素的潜在“威胁”，如表 1 所示。威胁既可能来自内部，也可能来自外部。它们可能是人为操作的，或自动执行的，甚至还可能是无意的自然现象所导致的。后一种情况更适合归类到安全威胁的反面 — 系统健康威胁中，不过这两种威胁有可能互相转换。以防盗警报器断电为例。断电可能是有人故意为之，也可能是某些自然现象（如闪电）而造成的。无论是哪种原因，安全性都降低了。

表 1 – 各种威胁及后果一览

物理安全性，从内部进行保护

大多数专家都认同，物理安全是一切安全性的起点。控制对计算机和网络附加设备的物理访问，或许要比其他任何安全方面都更为重要。对内部站点的任何类型的物理访问都将使站点暴露在危险之中。如果能够进行物理访问，那么要获得安全文件、密码、证书和所有其他类型的数据并非难事。幸好有各种各样的访问控制设备与安全柜可以帮助解决该问题。有关数据中心和网络机房物理安全的详细信息，请参阅 APC 第 82 号白皮书“任务关键设备的物理安全”。采用防火墙划分和保护网络边界

对于站点而言，除了基本的物理安全之外，另一个重要的方面便是对出入组织网络的数字访问进行控制。大多数情况下，控制数字访问即意味着控制与外部世界（通常为互联网）的连接点。几乎每家媒体和每个大公司在互联网上都有自己的网站，并且有一个组织网络与之相连。事实是，与互联网时刻保持连通的小公司和家庭的数量在与日俱增。因此，确保安全的当务之急是在外部互联网与内部企业网之间建立分界线。通常，内部企业网被当作“受信任”端，而外部互联网则被当作“不受信任”端。一般情况下这样理解并没有错，但不够具体和全面，下文将对此进行阐述。防火墙机制就像是一个受控的堡垒，用于控制进出组织机构的企业网的通信。从本质上而言，防火墙其实就是特殊用途的路由器。它们运行于专用的嵌入式系统（如网络外设）上，或者，它们也可以是运行于常见服务器平台上的软件程序。大多数情况下，这些系统都有两个网络接口，分别连接外部网络（如互联网）和内部企业网。防火墙进程可以严格控制允许哪些服务可以通过防火墙。防火墙结构既可以相当简单，也可以非常复杂。对于安全的大多数方面而言，决定采用哪种类型的防火墙取决于多个因素，譬如，通信级别、需要保护的服务、所需规则的复杂程度，等等。需要穿过防火墙的服务数量越多，所需的防火墙也越复杂。防火墙的难点在于区分合法通信与非法通信。

防火墙可以提供哪方面的保护，以及无法提供哪方面的保护？防火墙与其他很多事物一样，如果配置正确，则是防卫外部威胁，包括某些拒绝服务 (DOS) 攻击的利器。相反，如果配置不正确，则会成为组织内主要的安全漏洞。防火墙所提供的基本的保护便是可以阻止网络通信到达某个目的地，包括 IP 地址和特定的网络服务端口。如果站点希望 Web 服务器供外部访问，可以将所有通信限定在端口 80（标准 HTTP 端口）。通常，此限制限定来自不受信任端的通信，受信任端的通信则不受限制。其他所有通信，如邮件通信、FTP、SNMP 等，都不允许通过防火墙进入企业网。图 2 显示了一个简单的防火墙。

图 2 – 简单的网络防火墙

还有一个更简单的例子，使用家庭或小型企业用电缆/DSL 路由器的用户使用的防火墙。通常，这种防火墙均设置为限制所有外部访问，只允许来自内部的服务。认真的读者可能会意识到，在以上两种情况中，防火墙实际上阻止了来自外部的所有通信。如果是这样，那么如何能在网上冲浪并检索网页呢？防火墙所做的是限制来自外部的连接请求。在第1种情况中，来自内部的所有连接请求都被传递至外部，随后，所有数据通过该连接进行传输。对于外部网络而言，只有对 Web 服务器的连接请求以及数据被允许通过，所有其他请求均被阻止。第二种情况则更加严格，干脆只允许从内部到外部的连接。

比较复杂的防火墙规则可采用被称为“状态监测”的技术。该方法对通信状态与顺序逐一进行查看，以检测欺骗攻击和拒绝服务攻击，从而增加了基本的端口阻止方法。规则越复杂，所需的防火墙计算能力也越强。大多数组织都会面临这样一个问题：如何才能既使外部用户能合法访问 Web、FTP 和电子邮件等的“公共”服务，同时又严密保护企业网的安全。典型的做法是设置一个所谓的隔离区 (DMZ)，这个来自冷战时期的术语，如今用到了网络上。该结构存在两个防火墙：一个位于外部网络与 DMZ 之间，另一个位于 DMZ 与内部网络之间。所有的公共服务器都放置在 DMZ 中。采用该结构之后，防火墙规则可以设置为允许公众访问公共服务器，但内部防火墙仍可以限制所有进入的连接。比起仅仅处于单个防火墙之外，公共服务器在 DMZ 中仍受到了更多的保护。图 3 显示了 DMZ 的作用。

图 3 – 双防火墙及 DMZ

在各企业网的边界使用内部防火墙也有助于减少内部威胁以及已通过边界防火墙的威胁（如蠕虫）。内部防火墙甚至可运行于待机模式，不阻止正常的通信模式，而只是在出现问题时启用严格的规则。

工作站防火墙

有一个重要的网络安全因素直到现在才为大多数人所认知，那便是网络上的每一个节点或工作站都可能是潜在的安全漏洞。过去，在考虑网络安全时注意力基本上都集中在防火墙和服务器上，随着 Web 的出现以及新的节点等级（如网络外设）的不断扩张，保护网络安全产生了新的问题。各种蠕虫病毒程序攻击计算机，并通过这些计算机进一步扩散及危害系统。如果组织的内部系统能更有效地进行“封锁”，那么大部分蠕虫都可以被成功阻止或拦截。工作站防火墙产品即可以阻止不属于主机正常需求的、出入各个主机的所有端口访问，此外，用以阻止来自组织外可疑连接的内部网络防火墙规则也有助于防止蠕虫扩散回组织外部。在这两个防火墙的共同作用下，蠕虫的内部复制和外部复制机会都减少了。在绝大多数情况下，所有系统都应当能阻止无需使用的所有端口。

基本的网络主机安全

端口防范并尽量减少运行的服务默认情况下，许多网络设备和计算机主机都会启动网络服务，而每一个服务对攻击者、蠕虫和木马而言都是攻击机会。所有这些默认服务往往并不是必需的。通过关闭服务来执行端口防范可以减少攻击的机会。以下的防火墙部分中将提到，与网络防火墙一样，台式机和服务器也可以运行基本的防火墙软件来阻止对主机上不需要的 IP 端口的访问，或者限制来自某些主机的访问。当外层防御已经被突破或存在其他内部威胁时，该方案对于内部保护非常重要。可供选择的台式机防火墙软件包有很多种，都可以执行保护主机的大量工作，例如，如Windows XP Service Pack 2 的功能，Microsoft 实际上构建了一个基本的防火墙。

用户名和密码管理

如上文中所提到的，在大多数公司网络中，用户名和密码管理不善是一个很常见的问题。虽然可以采用复杂的集中式身份验证系统（后文将对此进行讨论）来帮助减少该问题，但是，如果能遵照一些基本原则，也可以带来很大的帮助。以下提供了用户名和密码应当遵从的四条基本规则：

1.不要使用太过明显的密码，如配偶的姓名、喜欢的体育团队等

2.采用数字与符号混合的较长的密码

3.定期更改密码

4.网络设备切勿沿用默认凭据

如果计算机或设备无内置策略来强制实施以上内容，那么用户应当约束自己遵从这些规则。至少可以通过采用网络探测器来检测设备凭据是否为默认设置，以对规则 (4) 进行检查。

访问控制列表

许多类型的设备或主机都可以配置访问列表。这些列表定义了有权访问该设备的主机名或 IP 地址。一个典型的例子，便是可以限制组织网络内部对网络设备的访问。这可以防止任何类型的访问突破外部防火墙。作为后一道重要的防线，访问列表对于某些具有不同访问协议的不同规则的设备而言相当有效。保护对设备与系统的访问的安全性

由于数据网络无法保证始终能够抵御入侵或数据“窃听”，可以提高相连网络设备安全性的协议便应运而生。总体而言，安全问题涉及两个独立的问题：身份验证和防止泄密（加密）。有多种方案和协议能够满足安全系统与通信中的这两个需求。我们将首先介绍

身份验证的基础知识，然后再介绍加密。

网络设备的用户身份验证

当有人想要控制对网络元素，尤其是网络基础设施设备的访问时，必须提供身份验证信息。身份验证包含两个概念：一般访问身份验证以及功能授权。一般访问用于控制特定用户是否对特定网络元素具有任意类型的访问权限。这些权限通常以“用户帐户”的形式体现。授权则指各个用户的“权限”。例如，用户通过身份验证后能进行哪些操作？用户是能配置设备，还是只能查看数据？表 2 总结了各种主要的身份验证协议、其功能及其相关的应用。

表 2 – 主要身份验证协议一览

限制对设备的访问是确保网络安全重要的一点。由于基础设施设备是网络和计算设备的基础，因此，倘若基础设施受到危及，则可能导致整个网络及其资源崩溃。很可笑的是，许多 IT 部门花费了很大精力来保护服务器、设置防火墙并保护访问机制，但是对某些基础设备却只采用了很低级的安全措施。

起码，所有设备都应当设置比较严谨的用户名密码身份验证（10 个字符，字母、数字和符号混用）。并且，应当从数量和授权类型上对用户进行限制。在使用并不安全（即用户名和密码以明文形式在网络上传输）的远程访问方法时，应当格外小心。密码还应当定期进行更改，譬如每三个月更改一次，如果使用工作组密码，当有员工离职时也应当进行更改。

集中式身份验证方法

选用合适的身份验证方法作为基本的安全手段非常重要，不过，在以下情况中集中式身份验证方法可能更好：a) 设备的用户数量很多；b) 网络中的设备数量很大。过去，集中式身份验证通常用来解决情况 (a) 中存在的问题，常用的是在远程网络访问中。在远程访问系统（如拨号 RAS）中，要靠 RAS 网络设备自身来管理用户简直是不可能的。网络中的任何用户都可能试图使用现有的任何RAS 访问点。如果将所有用户信息都放在每个 RAS 设备中并一直保持这些信息的更新，这将超出任何大公司中的 RAS 设备的能力，并将是管理的梦魇。

RADIUS 和 Kerberos 等集中式身份验证系统使用 RAS 设备，使用 RAS 设备或其他类型的设备都能安全访问的集中式用户帐户信息，从而解决了该问题。这些集中式方案将信息集中存放在一个位置，而不是很多个不同的位置。因此，无需再在多个设备上管理用户，而是通过一个位置进行用户管理。如果用户信息需要更改，如更改密码，只需一个简单的任务即可完成该操作。如果有用户离开，则可以删除其帐户以防该用户使用集中式身份验证访问所有设备。在大型网络中，若采用非集中式身份验证方法，一个典型问题便是需要删除位于各个地方的帐户。RADIUS 等的集中式身份验证系统通常可以与其他用户帐户管理方案（如 Microsoft 的 ActiveDirectory 或 LDAP 目录）无缝集成。虽然这两个目录系统本身并非身份验证系统，但它们可以用作集中式帐户存储机制。大多数RADIUS 服务器都可以通过普通的 RADIUS 协议与 RAS 或其他网络设备通信，然后安全地访问存储在目录中的帐户信息。icrosoftIAS Server 便通过这种方式在 RADIUS 与 Active Directory 之间建立起沟通的渠道。采用此方法后，不仅可以为 RAS 用户和设备用户提供集中式身份验证，而且帐户信息也可以与 Microsoft 域帐户统一。图 4 显示了一个同时作为 Active Directory 服务器和RADIUS 服务器的Windows 域控制器，它供网络元素通过身份验证进入 Active Directory 域。

图 4 – Windows 域控制器

采用加密和身份验证保护网络数据的安全

在某些情况中，网络元素、计算机或系统之间的信息交换是否足够安全关系重大。无疑，某人能进入并不属于自己的银行账户或截获网络上所传输的个人信息，都是令人堪忧的事情。如果不希望数据在网络上泄漏，那么必须对传输的数据采取加密的方法，这样，即使有人在数据通过网络时采用某种方式截获了数据，也无法辨认这些数据。“加密”数据的方法有很多种，本白皮书将介绍其中几种主要的方法。对于如同 UPS 系统的网络设备而言，我们并不关注传统意义上保护数据所付出的代价，如 UPS 电压和电源插板的电源，我们关注的是对这些网络元素的访问的控制。

对于通过不安全的网络（如互联网）进行访问的任何系统而言，身份验证凭据（如用户名和密码）的保密非常关键。即使是在组织的专用网络中，好也对这些凭据采取保护措施。虽然还未普及，不过很多组织都逐渐开始对所有管理通信，而不仅仅是身份验证凭据进行保护。不管是哪种情况，都必须采用某些形式的加密方法。

通常，数据的加密是通过使用特定的加密算法（如 3DES、AES 等）将明文数据（输入）与一个密钥相组合来实现的。其结果（输出）为密文。如果某人（或计算机）没有密钥，则无法将密文转换回明文。该基本方法是所有安全协议（后文将对此进行介绍）的核心。加密系统的另一个基本构成部分是“哈希散列”。散列法即对一些明文输入以及可能的密钥输入进行计算，然后得到一个称为散列的大数。无论输入的大小如何，其结果值都是固定长度（位数）。加密方法是可逆的，可以用密钥将密文恢复为明文，散列则不同。从数学的角度而言，要将散列恢复为明文是不可能的。散列被用作各种协议系统中的特殊 ID，因为它提供了类似于磁盘文件上的 CRC（循环冗余检测）的数据检测机制，可以检测数据是否发生改变。散列还可用作数据身份验证方法（不同于用户身份验证）。如果有人试图在数据通过网络时秘密篡改数据，则数据的散列值也将改变，因而可以检测出数据的变化。表 3 对各种加密算法及其用途进行了简单比较。

表 3 – 主要加密算法一览

安全访问协议

各种协议（如 SSH 和 SSL）采用各种加密机制，通过身份验证方法和加密方法来提供安全性。所提供的安全级别取决于很多因素，譬如，所用的加密算法、对所传输数据的访问、算法密钥长度、服务器与客户端的执行情况，还有重要的一点，人为因素。如果用户的访问凭据（如密码或证书）被第三方获得，那么，即使是精巧的加密方案也是徒劳无效的。一个经典的例子便是上文曾提到的将写有密码的便笺贴在显示器上。

SSH 协议

Secure Shell (SSH) 客户端-服务器协议产生于 20 世纪 90 年代中期，旨在为通过未保护的或“不安全的”网络远程访问计算机控制台或 Shell 提供安全机制。该协议通过对用户和服务器进行身份验证，以及对客户端与服务器之间交换的所有通信进行完全加密来提供确保安全的方法。协议有两个版本：V1 和 V2，这两个版本在提供的加密机制上略有区别。此外，V2 在防止某些类型的攻击上要稍胜一筹。（未参与的第三方试图拦截、伪造或以其他方式更改交换的数据均被视为攻击。）

虽然 SSH 多年来一直作为计算机控制台的安全访问协议，但过去很少将其用在辅助的基础设施设备（如 UPS和 HVAC 设备中）。不过，随着网络及为其提供支持的网络基础设施对于公司商务行为的重要性日渐提高，对所有设备均采用此类安全访问方法的做法正日趋流行。

SSL\TLS 协议

虽然 SSH 安全协议被广泛用于控制台命令行访问（如进行管理）中，但安全套接字层 (SSL) 及后来的传输层安全 (TLS) 协议已成为保护 Web 通信及其他协议（如 SMTP，用于邮件传输）的标准方法。TLS 是 SSL 的新版本，不过一般仍用 SSL 来指代TLS。SSL 与 SSH 在协议内置的客户端与服务器身份验证机制上区别很大。TLS 还被接受作为 IETF（互联网工程任务组）标准 ，而 SSH 尽管被广泛当作标准草案，但从未成为正式的 IETF 标准。SSL 是保护 HTTP Web 通信的安全协议，也称为 HTTPS(HTTP Secure)。Netscape 和Internet Explorer 均支持 SSL 和 TLS。在使用这些协议时，服务器将以服务器证书的形式对客户端执行正式的身份验证。我们随后将介绍证书。客户端也可以采用证书进行身份验证，不过常用的还是用户名与密码。由于 SSL“会话”全部为加密形式，因此，身份验证信息及网页上的任何数据都是安全的。对于安全性要求较高的银行业和其他商务用途而言，由于客户往往通过公共互联网访问网站，因此网站应始终采用 SSL。

随着对网络设备（嵌入式 Web 服务器）基于 Web 的管理方式成为进行基本配置和用户访问常用的方法，保护此管理方式便成了重中之重。如果公司希望所有网络管理能安全进行，但仍采用图形界面（如 HTTP），那么应当使用基于 SSL 的系统。如上文所述，SSL 还可以保护其他非 HTTP 通信。客户端不仅应使用基于非HTTP 的设备，还应当采用 SSL 作为其访问协议以确保系统的安全。全部采用 SSL 还有一个优势，即可使用包含通用身份验证方案和加密方案的标准协议。

网络安全的方案仔细规划的安全策略可以显著提高网络的安全性。策略既可以复杂繁琐，也可以简单直接，但往往简单的却是有用的。请考虑结合使用集中管理的防病毒更新系统与主机扫描程序来检测新系统或过期的系统。虽然该系统需要具备设置、集中管理和软件部署功能，不过如今的操作系统一般都囊括了以上所有功能。通常，策略与理想的自动实施工具有助于减少系统安全中明显的漏洞，因此，网络管理人员可以集中精力应对更为复杂的问题。以下列出了一些具有代表性的公司网络安全策略：

·在公共网络与专用网络的所有交界处设置防火墙

·控制版本并集中部署防火墙规则集

·外部资源放在双层防火墙之间，并保护 DMZ 的安全

·所有网络主机都应对不需要的网络端口采取防范措施，并关闭不需要的服务

·所有网络主机均应安装集中管理的防病毒软件

·所有网络主机均应安装集中的安全更新程序

·保护集中式身份验证的安全，如 RADIUS 和 Windows/Kerberos/Active Directory

·采用含密码策略（例如，必须每三个月更改一次密码，必须采用安全密码）的集中管理的用户管理方式

·主动进行网络扫描，扫描新的主机以及过期的系统

·对可疑行为进行网络监控

·事故响应机制（策略、人力、自动等）

以上各条体现了策略中应当包含的关键之处。但策略中还可能涉及其他更为广泛的方面。当然，在确定策略的类型与幅度时，应始终记住尽量权衡各种因素，如公司规模、风险分析、成本和商业影响等如上所述，通常情况下可以从系统分析入手，然后进行商业分析。无论网络的规模如何，都可能成为攻击的目标，因此即使是非常小的公司也应当具备某些形式的安全策略。

结论

随着网络威胁（如蠕虫、病毒和聪明的黑客）数量的日渐增加，安全性不再是一件可有可无的事情，即使是在专用网络中也不应当被忽视。确保所有设备，包括物理基础设施设备（如 UPS 系统和 HVAC 系统）的安全，对于维持系统正常运行以及服务的无缝访问都至关重要。在整个公司范围内提供并维持安全性通常意味着管理成本的提高。从过去的经验来看，这往往是广泛实现安全性大的障碍。如今，修复仅仅由于一个蠕虫或病毒攻击而损害的网络所需要花费的时间，都会轻易超过前期为充分确保公司安全所付出的时间。幸运的是，有很多既可提高网络安全性又可减少管理费用的系统和软件可供选择。即使是基本的方案，例如，定期更新软件、对所有设备采取防范措施以及使用集中式身份验证与安全访问方法，对降低网络风险也大有帮助。建立适当的安全策略和经常检查网络可以进一步提高网络的整体保护力度。