1、關於設成DMZ主機的安全問題
這個當然是設成DMZ主機好了!!!
在實際的運用中,某些主機需要對外提供服務,為了更好地提供服務,同時又要有效地保護內部網路的安全,將這些需要對外開放的主機與內部的眾多網路設備分隔開來,根據不同的需要,有針對性地採取相應的隔離措施,這樣便能在對外提供友好的服務的同時最大限度地保護了內部網路。針對不同資源提供不同安全級別的保護,可以構建一個DMZ區域,DMZ可以為主機環境提供網路級的保護,能減少為不信任客戶提供服務而引發的危險,是放置公共信息的最佳位置。在一個非DMZ系統中,內部網路和主機的安全通常並不如人們想像的那樣堅固,提供給Internet的服務產生了許多漏洞,使其他主機極易受到攻擊。但是,通過配置DMZ,我們可以將需要保護的Web應用程序伺服器和資料庫系統放在內網中,把沒有包含敏感數據、擔當代理數據訪問職責的主機放置於DMZ中,這樣就為應用系統安全提供了保障。DMZ使包含重要數據的內部系統免於直接暴露給外部網路而受到攻擊,攻擊者即使初步入侵成功,還要面臨DMZ設置的新的障礙。
三:DMZ網路訪問控制策略
當規劃一個擁有DMZ的網路時候,我們可以明確各個網路之間的訪問關系,可以確定以下六條訪問控制策略。
1.內網可以訪問外網
內網的用戶顯然需要自由地訪問外網。在這一策略中,防火牆需要進行源地址轉換。
2.內網可以訪問DMZ
此策略是為了方便內網用戶使用和管理DMZ中的伺服器。
3.外網不能訪問內網
很顯然,內網中存放的是公司內部數據,這些數據不允許外網的用戶進行訪問。
4.外網可以訪問DMZ
DMZ中的伺服器本身就是要給外界提供服務的,所以外網必須可以訪問DMZ。同時,外網訪問DMZ需要由防火牆完成對外地址到伺服器實際地址的轉換。
5.DMZ不能訪問內網
很明顯,如果違背此策略,則當入侵者攻陷DMZ時,就可以進一步進攻到內網的重要數據。
6.DMZ不能訪問外網
此條策略也有例外,比如DMZ中放置郵件伺服器時,就需要訪問外網,否則將不能正常工作。在網路中,非軍事區(DMZ)是指為不信任系統提供服務的孤立網段,其目的是把敏感的內部網路和其他提供訪問服務的網路分開,阻止內網和外網直接通信,以保證內網安全。
四:DMZ服務配置
DMZ提供的服務是經過了地址轉換(NAT)和受安全規則限制的,以達到隱蔽真實地址、控制訪問的功能。首先要根據將要提供的服務和安全策略建立一個清晰的網路拓撲,確定DMZ區應用伺服器的IP和埠號以及數據流向。通常網路通信流向為禁止外網區與內網區直接通信,DMZ區既可與外網區進行通信,也可以與內網區進行通信,受安全規則限制。
1 地址轉換
DMZ區伺服器與內網區、外網區的通信是經過網路地址轉換(NAT)實現的。網路地址轉換用於將一個地址域(如專用Intranet)映射到另一個地址域(如Internet),以達到隱藏專用網路的目的。DMZ區伺服器對內服務時映射成內網地址,對外服務時映射成外網地址。採用靜態映射配置網路地址轉換時,服務用IP和真實IP要一一映射,源地址轉換和目的地址轉換都必須要有。
2 DMZ安全規則制定
安全規則集是安全策略的技術實現,一個可靠、高效的安全規則集是實現一個成功、安全的防火牆的非常關鍵的一步。如果防火牆規則集配置錯誤,再好的防火牆也只是擺設。在建立規則集時必須注意規則次序,因為防火牆大多以順序方式檢查信息包,同樣的規則,以不同的次序放置,可能會完全改變防火牆的運轉情況。如果信息包經過每一條規則而沒有發現匹配,這個信息包便會被拒絕。一般來說,通常的順序是,較特殊的規則在前,較普通的規則在後,防止在找到一個特殊規則之前一個普通規則便被匹配,避免防火牆被配置錯誤。
DMZ安全規則指定了非軍事區內的某一主機(IP地址)對應的安全策略。由於DMZ區內放置的伺服器主機將提供公共服務,其地址是公開的,可以被外部網的用戶訪問,所以正確設置DMZ區安全規則對保證網路安全是十分重要的。
FireGate可以根據數據包的地址、協議和埠進行訪問控制。它將每個連接作為一個數據流,通過規則表與連接表共同配合,對網路連接和會話的當前狀態進行分析和監控。其用於過濾和監控的IP包信息主要有:源IP地址、目的IP地址、協議類型(IP、ICMP、TCP、UDP)、源TCP/UDP埠、目的TCP/UDP埠、ICMP報文類型域和代碼域、碎片包和其他標志位(如SYN、ACK位)等。
為了讓DMZ區的應用伺服器能與內網中DB伺服器(服務埠4004、使用TCP協議)通信,需增加DMZ區安全規則, 這樣一個基於DMZ的安全應用服務便配置好了。其他的應用服務可根據安全策略逐個配置。
DMZ無疑是網路安全防禦體系中重要組成部分,再加上入侵檢測和基於主機的其他安全措施,將極大地提高公共服務及整個系統的安全性。
2、dmz主機怎麼安全起來
DMZ是英文「demilitarized zone」的縮寫,中文名稱為「隔離區」,網路設備開發商,利用這一技術,開發出了相應的防火牆解決方案。稱「非軍事區結構模式」。DMZ通常是一個過濾的子網,DMZ在內部網路和外部網路之間構造了一個安全地帶。網路結構如下圖所示。
DMZ防火牆方案為要保護的內部網路增加了一道安全防線,通常認為是非常安全的。同時它提供了一個區域放置公共伺服器,從而又能有效地避免一些互聯應用需要公開,而與內部安全策略相矛盾的情況發生。在DMZ區域中通常包括堡壘主機、Modem池,以及所有的公共伺服器,但要注意的是電子商務伺服器只能用作用戶連接,真正的電子商務後台數據需要放在內部網路中。
在這個防火牆方案中,包括兩個防火牆,外部防火牆抵擋外部網路的攻擊,並管理所有內部網路對DMZ的訪問。內部防火牆管理DMZ對於內部網路的訪問。內部防火牆是內部網路的第三道安全防線(前面有了外部防火牆和堡壘主機),當外部防火牆失效的時候,它還可以起到保護內部網路的功能。而區域網內部,對於Internet的訪問由內部防火牆和位於DMZ的堡壘主機控制。在這樣的結構里,一個黑客必須通過三個獨立的區域(外部防火牆、內部防火牆和堡壘主機)才能夠到達區域網。攻擊難度大大加強,相應內部網路的安全性也就大大加強,但投資成本也是最高的。
3、雲主機的安全性怎麼樣?
雲主機是什麼?
一、共享主機和雲主機
從互聯網誕生至今,大部分站長都是從"共享主機"(shared hosting)開始學習建站的。所謂"共享主機",就是一台伺服器上有許多網站,大家共享這台伺服器的硬體和帶寬。如果它發生故障,那麼上面的所有網站都無法訪問。
"雲主機"(Cloud hosting)可以看成是新一代的共享主機。
首先,主機公司將它的硬體和網路線路,做成一朵"雲",然後提供一些通向這朵"雲"的網路介面API,供客戶使用。這時,每個客戶共享的不再是某一台特定的伺服器,而是雲里的所有伺服器。
比如,假設你要把本機的文件備份到網上,你可以使用共享主機,把文件傳到某一台伺服器上;也可以使用雲主機,通過某種形式的介面,把它們傳到雲里。也就是說,共享主機用戶直接面對特定的伺服器,而雲主機用戶直接面對網路介面,看不到伺服器內部。
一個通俗的比喻是,你可以向銀行租一個編號為"8888"的保險箱(共享主機),也可以把貴重物品直接交給保管公司(雲主機),聽任他們保管。
諸如Gmail、FaceBook、Twitter、Flickr這樣的產品,都可以看作是基於"雲主機"的服務。
二、雲主機的優點
雲主機主要有三大優點。
(1)便宜。
因為服務可以分散到多台伺服器,因此能夠充分利用資源,這樣就降低了硬體、電力和維護成本。而且,雲主機是根據使用量計費的,多用多付,少用少付,所以對小網站特別有利。
(2)可靠。
因為服務分布在多台伺服器、甚至多個機房,所以不容易徹底宕機,抗災容錯能力強,可以保證長時間在線。
(3)可擴展性好(scalability)。
雲主機的基本特點就是分布式架構,所以可以輕而易舉地增加伺服器,成倍擴展服務能力。
三、雲主機的缺點
一些客戶擔心雲主機的安全問題,感到對服務缺乏控制。
因為雲主機只是提供網路介面,所以客戶的數據必然全部服從雲服務公司的安排,完全在後者控制之下。數據是否安全保密,取決於後者的職業道德和保護能力。
但是,這其實是一個"偽問題",因為絕大多數情況下,雲服務公司會比客戶更在乎、也更善於保護數據。Paul Graham在《黑客與畫家》一書中,就談過這一點:
"反對者往往覺得我們的產品不安全,如果員工可以很容易地登錄,那麼壞人也可以很容易地登錄。一些大公司覺得不能把客戶的信用卡資料交給我們,而是放在自己的伺服器上更安全。......但是事實上,他們的伺服器就是沒我們的安全,我們對數據的保護幾乎肯定比他們好。
想想看,誰能僱到更高水平的網路安全專家,是一個所有業務就是管理伺服器的技術型創業公司,還是一家服裝零售商?......而且我們比他們更關心數據的安全。如果一家服裝零售商的伺服器被入侵,最多隻影響到這家公司本身,這件事也很可能在公司內部被掩蓋起來,最嚴重的情況下可能還會有一個員工被解僱。但是,如果我們的伺服器被入侵,就有成千上萬家公司可能受到影響,這件事也許還會被當作新聞,發表在業內網站上面,使得我們生意做不下去,不得不關門歇業。
如果你想把錢藏在安全的地方,請問你是選擇家中床墊下面,還是選擇銀行?這個比喻對伺服器管理的方方面面都適用,不僅是安全性,還包括正常運行時間、帶寬、負載管理、備份等等,都是我們占優。"
四、如何選擇雲主機
一般來說,知名公司總是優先的選擇。目前主要有三家:Amazon Web Services、NetDepot和Rackspace。但是,小公司也有自己的優勢,比如滿足個性化需求和更低的價格。
你可以根據客戶服務、機房分布、可靠性、API的強大程度、安全措施、價格等因素,進行綜合考慮。
作者: 阮一峰
(完)
4、主機安全包括哪些方面
主要功能
防護功能
強制訪問控制
在操作系統內核層實現文件、注冊表、進程、服務、網路等對象的強制訪問控制,可配置針對以上對象不同的訪問策略來保護系統和應用資源,即使是系統管理員也不能破壞被保護的資源。
防格式化保護機制
保護功能開啟時,可防止病毒和入侵者惡意格式化磁碟,同時降低管理員意外格式化磁碟的風險。
完整性檢測
對文件和服務進行完整性檢測,並可設置定期檢測項目,當發現文件或者服務篡改時進行報警並發現哪些文件發生改變。
系統資源監控與報警
對系統的CPU、內存、磁碟、網路資源進行監控,當這些資源的使用狀況超過設置的閥值時將進行報警,以提前發現資源不足、濫用等問題。
雙因子認證和組合式密碼認證
不僅提供SSR安全管理員和SSR審計官員的USB KEY+密碼的雙因子認證功能,還可對系統用戶配發USB KEY實現雙因子認證。對於遠程登陸和虛擬化系統而無法識別USB KEY的伺服器,SSR提供可配置兩個密碼組合的登陸認證方式,只有掌握密碼的兩個人同時存在才能登陸系統,以此確保自然人的可信。
審計功能
違規日誌審計
記錄系統內的所有違反強制訪問控制策略的事件,並提供日誌的查詢、刪除、備份、導出、日誌分析和syslog轉發功能。
5、用虛擬主機還是用伺服器安全?
安全性上面兩者如果設置是一樣的話,基本上沒什麼差別。
穩定性上雲伺服器會比虛擬主機更穩定些。
建議使用雲伺服器,並且自己進行設置管理會更方便些。對於黑客入侵的問題,可以安裝伺服器安全狗之類的伺服器安全狗軟體來進行防護,開啟遠程桌面登陸保護,限制能進行遠程登陸的ip名單,以及修改掉默認的遠程埠號。
6、作為普通用戶,如何保障電腦主機的商務應用安全
平時保證電腦的安全主要從以下三個大方面注意,主要包括:
一、【版更換系統】
1、首先從最權基本的系統來說,不再使用XP系統,其他系統都可以自由選擇,因為XP系統已經停止安全更新服務,所以不要去使用。
2、使用其他系統時,不要用一些自動激活好的GHOST版系統,因為大多這種系統自身帶了後門程序,黑客查看用戶電腦資料如同探囊取物。
二、【修復漏洞】
1、系統本身都存在漏洞,XP系統不安全就是因為停止了漏洞維護功能,所以當用戶的電腦不修復漏洞,那麼就是不安全的。
2、藉助第三方軟體來對電腦漏洞進行修復,比如用騰訊電腦管家——工具箱——漏洞修復這個功能。
3、修復漏洞後重啟開機可能會速度比較慢,需要耐心等待。
三、【定期殺毒】
1、除了修復漏洞外,病毒還可能通過下載的軟體U盤等進入電腦,所以用戶需要懂得定期對病毒進行查殺,打開騰訊電腦管家——使用病毒查殺功能。
2、打開這個功能後,先對電腦病毒進行檢測,然後等待檢測結束後,再去對電腦病毒進行徹底的查殺就好,如果檢測無毒就說明系統暫時是安全的。
3、殺毒的時候要根據不同的情況選擇不同的殺毒模式,避免有些病毒檢測不到。
7、如何實現網路應用安全
怎樣實現網路應用安全防範網頁鏈接
8、可信應用安全架構
可信應用安全架構主要包括三個技術層次,即基礎設施層、安全支撐層及安全應用層(圖4-1)。
圖4-1 可信應用安全架構示意圖
1.基礎設施層
基礎設施層是一切可信應用、可信因素的源頭,主要負責為所有上層的服務及應用提供基礎的、可信的身份、屬性和時間因素服務,同時也可提供API開發介面。該層主要包括PKI、PMI及可信時間戳三個主要基礎設施。
(1)PKI系統(公共密鑰基礎設施 Public Key Infrastructure)。取代了傳統的用戶名/口令模式,其通過公鑰密碼體制中用戶私鑰的機密性來提供用戶身份的唯一性驗證,並通過公鑰數字證書的方式為每個合法用戶的公鑰提供一個合法性的證明,建立用戶公鑰到證書ID號之間的唯一映射關系。在實踐中,PKI系統是整個安全架構的基礎,把用戶的公鑰和用戶的其他屬性信息(如姓名、身份證號等)捆綁在一起,通過身份認證系統進行身份識別為整個圖書館信息化體系提供身份管理,保證身份的管理強度。PKI系統一般包括證書簽發機構(CA)、證書注冊機構(RA)、證書庫、密鑰備份及恢復系統、證書廢除處理系統、應用系統介面等部分。
(2)PMI系統(授權管理基礎設施Privilege Management Infrastructure)。它依賴於公共密鑰基礎設施PKI(Public Key Infrastructure)的支持,旨在提供訪問控制和許可權管理,提供用戶身份到應用授權的映射功能,實現與實際應用處理模式相對應的,與具體應用系統和管理無關的訪問控制機制。PKI和PMI之間類似於護照和簽證的關系,PKI證明旅客身份(用戶是誰),而PMI證明旅客准備去哪(用戶有什麼許可權)?
(3)可信時間戳。首先可以為系統各個環節提供准確的系統時間,准確記錄數據信息產生、傳輸的各個時間節點;其次它是一個能證明數據信息在一個時間點是已經存在的、完整的、可驗證的、具備法律效力的電子憑證。一般與權威時間源(如中國科學院國家授時中心)綁定,在此基礎上通過時間戳服務中心數字簽名,產生不可偽造的時間戳文件。
2.安全支撐層
安全支撐層是基於基礎設施,面向應用提供各項安全服務。其主要功能應用包括身份認證系統、授權管理系統、監控審計系統、用戶管理系統及數字簽名等。安全支撐層的各項服務開發定製應滿足模塊化、標准化的要求,為上層應用提供豐富的、靈活的、標准化的技術支持。身份認證系統基於PKI系統對用戶和證書的合法性和有效性進行判別;授權管理系統首先依據用戶管理和系統應用需要建立角色許可權對應體系,然後基於用戶證書相關屬性信息進行許可權分配。類似於用戶的「工作證」,即可以通過屬性證書作為依據判斷用戶在指定的應用系統可以做什麼,不可以做什麼;監控審計系統可以提供證書基礎信息、訪問信息的統計查詢功能和系統運行環境的監控管理功能;用戶管理系統包含了詳細的用戶信息列表,為授權管理系統和審計監控系統提供基礎數據和屬性支持;數字簽名則是通過加密技術對流轉信息的真實性提供有效證明。
3.安全應用層
安全應用層則是由安全防護和應用安全共同組成的。安全防護包括主機防護,以及文件、數據防護等應用。而應用安全則是指我們傳統的WEB、Portal、MIS、BI、ERP、GIS等各類應用系統,這些應用需要進行一定的應用改造,通過調用基礎設施層的各種演算法及介面和安全支持層的各種服務介面,而使其成為具有高強度的認證、授權、責任認定及數據防護能力的安全應用。
通過上述三個層次的系統建設,使圖書館信息系統真正做到從用戶到網路到服務、從人到系統到數據、從數據的產生到傳遞到存儲,全過程、端對端的可信、可控。