参考答案:
【问题1】(6分)
整个网络分为三个不同级别的安全区域:
(1)内部网络:安全级别最高,是可信的、重点保护的区域。包括所有内部办公计算机,内部数据库服务器和内部FTP服务器。
(2)外部网络:安全级别最低,是不可信的、要防备的区域。包括外部因特网用户主机和设备。
(3)DMZ区域(非军事化区):安全级别中等,因为需要对外开放某些特定的服务和应用,受一定的保护,是安全级别较低的区域。包括对外提供WWW访问和邮件服务的Web服务器和邮件服务器。
[【问题2】(6分)
方案说明中包括DMZ区,外部防火墙、内部防火墙两个防火墙(屏蔽路由器)。
配置策略:
外部防火墙(屏蔽路由器)的访问策略:允许外部网络客户访问DMZ区的WWW服务器提供的WWW服务和邮件服务器提供的邮件服务,其他禁止。
内部防火墙(屏蔽路由器)的访问策略:允许内部网客户访问外部网络,不允许外部网络客户访问内部网;
允许内部网客户访问DMZ区,不允许DMZ区网络客户访问内部网。
【问题3】(3分)
1、应配置IDS(入侵检测系统)
2、应接在交换机端口上,并在交换上配置镜像端口,以获取内网数据包信息。
详细解析:
本题涉及网络安全区域的划分、防火墙和入侵检测等的内容。【问题 1】
要保障一个网络系统的安全,首先应该分析该网络系统的特点和安全需求,分析对外需要提供的服务,评估需要保护的数据的安全级别和面临的风险,划分不同的安全区域,然后再制定系统安全策略,决定实现时采用何种方式和手段。
本题所述机构的网络中有内部数据库服务和内部文件传输(FTP) 服务器各一台, 内部办公计算机若干台。服务器上存储的数据信息量大,且是内部数据,安全级别要求最高,内部办公计算机处理的数据也是内部数据,不对外公开,其安全级别也可定位最高。因此这些机器应该统一划分在同一个安全区域,以便采用统一的安全策略来实施重点保护。
本题所述机构的网络中有网页 (Web) 服务器和邮件服务器各一台。由于要求能对外提供万维网 (WWW) 访问服务和邮件服务,则这两台服务器对本机构网络外部的设 备是可见的,外部设备会访问这两台服务器,可能会受到外网不安全因素的威胁,其安 全级别会降低。因此不能同内部服务器等放在同一区域,以免在遭受攻击时影响内部网 络。因此这两台服务器应该统一划分在同一个安全区域,以便采用统一的安全策略来统一实施保护,以保证能对外提供正常的服务。
本机构网络之外的因特网设备和主机,能访问该机构网络中的网页 (Web) 服务器 和邮件服务器,这部分设备和主机是不可信的、要防备的区域,安全级别最低,可划分为同一个安全区域。
【问题 2 】
防火墙的双重宿主主机体系结构是指以一台双重宿主主机作为防火墙系统的主体,执行分离外部网络和内部网络的任务。一个典型的双宿主主机防火墙如图3-1 所示,它 使用一个双宿主主机完成防火墙功能。该主机至少有两个网络接口,一个是内部网络接口,一个是因特网接口,故称为双宿主主机。
堡垒主机通常是安全管理员标识的作为网络安全中关键点的系统,这类系统健壮安全,能抗攻击,故称为堡垒主机。在屏蔽主机防火墙中,堡垒主机用于对外提供一定的 服务,如 www 服务,而且任何外部的主机只有通过这台主机才能得到内部系统的服务(在外部主机看来,没有内部网络,只有堡垒主机)。由于堡垒主机暴露在因特网中,故堡垒主机需保持较高的安全等级,具有一定的抗攻击能力。
防火墙的屏蔽子网体系结构的最简单形式如图3-3 所示,防火墙由外部屏蔽路由器、内部屏蔽路由器和堡垒主机共同组成。与前两种防火墙体系结构有明显区别的是,在外/ 内部屏蔽路由器间有一个称为非军事化区的子网,进一步将内部网络同因特网隔离开来, 起到屏蔽内部网络的作用,提供更进一步的安全性,故称为屏蔽子网防火墙。
图3-2 屏蔽主机体系结构防火墙
屏蔽子网防火墙使用了两个屏蔽路由器,消除了内部网络的单一侵入点,增强了网络的安全性。但两个屏蔽路由器的规则设置的侧重点不同。
配置防火墙的访问策略时,一般按服务来配置规则。首先要分析网络的特点及网络对外提供的服务,弄清各服务的工作原理及正常的工作流程,然后再分析各服务在防火墙环境下如何工作,并对服务配置。
【问题 3】
防火墙和操作系统加固技术等传统安全技术都是静态安全防御技术,不能提供足够的安全性;入侵检测系统能使系统对入侵事件和过程做出实时响应 ,提供系统的动态安全性。
入侵检测系统是通过从计算机网络和系统的若干关键点收集信息并对其进行分析, 从中发现网络或系统中是否有违反安全策略的行为或遭到入侵的迹象,并依据既定的策 略采取一定措施的技术。
入侵检测系统包括三部分内容:信息收集、信息分析和响应。其中收集信息的可靠性和正确性在很大程度上决定了入侵检测系统的有效性和准确性。需要在合适的位置上放置,以保证采集信息的准确性和充足性。