《網路安全原理與實踐》一2.1安全區介紹

本節書摘來自非同步社群《網路安全原理與實踐》一書中的第2章，第2.1節，作者 【美】Saadat Malik, CCIE #4955，更多章節內容可以訪問雲棲社群“非同步社群”公眾號檢視

2.1 安全區介紹

網路安全原理與實踐
雖然不同網路裝置中可用的安全特性在抵制網路攻擊中起到了重要的作用，但事實上對網路攻擊最好的防禦方法之一是網路的安全拓撲設計。關注安全的網路拓撲設計對阻止網路攻擊大有幫助，並且能使不同裝置的安全特性得到最有效的使用。

在現代安全網路設計中用到的最關鍵的思想之一是用區去隔離開網路上的不同區域。置於不同區中的裝置具有不同的安全需求，而區基於這些需求提供保護。況且，一些裝置（例如Web伺服器）所擔負的任務使它們特別容易受到網路攻擊，並且更難於保護。因而，用安全性較低的區將這些裝置與包含更敏感和不易受攻擊裝置的區隔離開來，這在整體的網路安全方案中佔有關鍵的地位。

分割槽也使得網路更具擴充套件性，從而使其更加穩定。穩定性（stability）是安全的基石之一。一個比其他網路更穩定的網路，在遭受針對網路頻寬等資源的攻擊的時候也會更加安全。

建立區域的基本策略如下。

具有最大安全需求（私有網路）的裝置在網路的最安全區中。通常這個區只允許很少或者不允許來自公共網路和其他網路的訪問。訪問通常使用防火牆或者其他安全部件控制，比如安全遠端訪問（SRA）。這個區中經常需要有嚴格的認證和授權。
僅需在內部訪問的伺服器要置於一個單獨的專用安全區中。使用防火牆控制對這些裝置的訪問。對這些伺服器的訪問經常是受到嚴密監控和記錄的。
需要從公共網路上訪問的伺服器，置於一個不允許訪問網路中更安全的區的隔離區之中。萬一這些伺服器中的一個被攻陷1，這樣做可以避免危及其他區域的網路。另外，如果可能，這些伺服器中的每一個也同其他伺服器隔離開來，這樣如果其中的一個伺服器被攻陷時，其他的伺服器也不會受到攻擊。每個伺服器或者每種型別伺服器的隔離區按照最安全的型別配置。這意味著一個Web伺服器，通過將其置入一個同FTP伺服器完全隔離的區中，從而與FTP伺服器完全隔離開來。用這種方法，如果這個Web伺服器被攻陷，FTP伺服器被攻擊者訪問的機會和攻擊者利用從該Web伺服器獲得許可權而對FTP伺服器造成危害的可能性都有限（這種隔離也可以在Cisco 6509交換機中使用私有VLAN來完成）。這種區被稱作DMZ，使用防火牆來控制對它們的進出訪問。
用這種方法分割槽，分層的防火牆可以置於通向網路中最敏感或者最易受攻擊部分的路徑中。這可以避免因在一個防火牆中的配置錯誤而導致私有網路遭受攻擊。許多有安全需求的大型網路在網路層中使用不同型別的防火牆，以阻止因防火牆軟體中的漏洞（bug）而使網路受損。一前一後使用一個PIX防火牆和一個代理伺服器就是這樣的一個例子。這有時也叫做深層防禦原則。
1譯者注：這裡被攻陷是指某臺伺服器被攻擊者控制。劃分安全區域可以避免攻擊者將被遠端控制的伺服器當作跳板去入侵網路中的其他裝置。