1、关于设成DMZ主机的安全问题
这个当然是设成DMZ主机好了!!!
在实际的运用中,某些主机需要对外提供服务,为了更好地提供服务,同时又要有效地保护内部网络的安全,将这些需要对外开放的主机与内部的众多网络设备分隔开来,根据不同的需要,有针对性地采取相应的隔离措施,这样便能在对外提供友好的服务的同时最大限度地保护了内部网络。针对不同资源提供不同安全级别的保护,可以构建一个DMZ区域,DMZ可以为主机环境提供网络级的保护,能减少为不信任客户提供服务而引发的危险,是放置公共信息的最佳位置。在一个非DMZ系统中,内部网络和主机的安全通常并不如人们想象的那样坚固,提供给Internet的服务产生了许多漏洞,使其他主机极易受到攻击。但是,通过配置DMZ,我们可以将需要保护的Web应用程序服务器和数据库系统放在内网中,把没有包含敏感数据、担当代理数据访问职责的主机放置于DMZ中,这样就为应用系统安全提供了保障。DMZ使包含重要数据的内部系统免于直接暴露给外部网络而受到攻击,攻击者即使初步入侵成功,还要面临DMZ设置的新的障碍。
三:DMZ网络访问控制策略
当规划一个拥有DMZ的网络时候,我们可以明确各个网络之间的访问关系,可以确定以下六条访问控制策略。
1.内网可以访问外网
内网的用户显然需要自由地访问外网。在这一策略中,防火墙需要进行源地址转换。
2.内网可以访问DMZ
此策略是为了方便内网用户使用和管理DMZ中的服务器。
3.外网不能访问内网
很显然,内网中存放的是公司内部数据,这些数据不允许外网的用户进行访问。
4.外网可以访问DMZ
DMZ中的服务器本身就是要给外界提供服务的,所以外网必须可以访问DMZ。同时,外网访问DMZ需要由防火墙完成对外地址到服务器实际地址的转换。
5.DMZ不能访问内网
很明显,如果违背此策略,则当入侵者攻陷DMZ时,就可以进一步进攻到内网的重要数据。
6.DMZ不能访问外网
此条策略也有例外,比如DMZ中放置邮件服务器时,就需要访问外网,否则将不能正常工作。在网络中,非军事区(DMZ)是指为不信任系统提供服务的孤立网段,其目的是把敏感的内部网络和其他提供访问服务的网络分开,阻止内网和外网直接通信,以保证内网安全。
四:DMZ服务配置
DMZ提供的服务是经过了地址转换(NAT)和受安全规则限制的,以达到隐蔽真实地址、控制访问的功能。首先要根据将要提供的服务和安全策略建立一个清晰的网络拓扑,确定DMZ区应用服务器的IP和端口号以及数据流向。通常网络通信流向为禁止外网区与内网区直接通信,DMZ区既可与外网区进行通信,也可以与内网区进行通信,受安全规则限制。
1 地址转换
DMZ区服务器与内网区、外网区的通信是经过网络地址转换(NAT)实现的。网络地址转换用于将一个地址域(如专用Intranet)映射到另一个地址域(如Internet),以达到隐藏专用网络的目的。DMZ区服务器对内服务时映射成内网地址,对外服务时映射成外网地址。采用静态映射配置网络地址转换时,服务用IP和真实IP要一一映射,源地址转换和目的地址转换都必须要有。
2 DMZ安全规则制定
安全规则集是安全策略的技术实现,一个可靠、高效的安全规则集是实现一个成功、安全的防火墙的非常关键的一步。如果防火墙规则集配置错误,再好的防火墙也只是摆设。在建立规则集时必须注意规则次序,因为防火墙大多以顺序方式检查信息包,同样的规则,以不同的次序放置,可能会完全改变防火墙的运转情况。如果信息包经过每一条规则而没有发现匹配,这个信息包便会被拒绝。一般来说,通常的顺序是,较特殊的规则在前,较普通的规则在后,防止在找到一个特殊规则之前一个普通规则便被匹配,避免防火墙被配置错误。
DMZ安全规则指定了非军事区内的某一主机(IP地址)对应的安全策略。由于DMZ区内放置的服务器主机将提供公共服务,其地址是公开的,可以被外部网的用户访问,所以正确设置DMZ区安全规则对保证网络安全是十分重要的。
FireGate可以根据数据包的地址、协议和端口进行访问控制。它将每个连接作为一个数据流,通过规则表与连接表共同配合,对网络连接和会话的当前状态进行分析和监控。其用于过滤和监控的IP包信息主要有:源IP地址、目的IP地址、协议类型(IP、ICMP、TCP、UDP)、源TCP/UDP端口、目的TCP/UDP端口、ICMP报文类型域和代码域、碎片包和其他标志位(如SYN、ACK位)等。
为了让DMZ区的应用服务器能与内网中DB服务器(服务端口4004、使用TCP协议)通信,需增加DMZ区安全规则, 这样一个基于DMZ的安全应用服务便配置好了。其他的应用服务可根据安全策略逐个配置。
DMZ无疑是网络安全防御体系中重要组成部分,再加上入侵检测和基于主机的其他安全措施,将极大地提高公共服务及整个系统的安全性。
2、dmz主机怎么安全起来
DMZ是英文“demilitarized zone”的缩写,中文名称为“隔离区”,网络设备开发商,利用这一技术,开发出了相应的防火墙解决方案。称“非军事区结构模式”。DMZ通常是一个过滤的子网,DMZ在内部网络和外部网络之间构造了一个安全地带。网络结构如下图所示。
DMZ防火墙方案为要保护的内部网络增加了一道安全防线,通常认为是非常安全的。同时它提供了一个区域放置公共服务器,从而又能有效地避免一些互联应用需要公开,而与内部安全策略相矛盾的情况发生。在DMZ区域中通常包括堡垒主机、Modem池,以及所有的公共服务器,但要注意的是电子商务服务器只能用作用户连接,真正的电子商务后台数据需要放在内部网络中。
在这个防火墙方案中,包括两个防火墙,外部防火墙抵挡外部网络的攻击,并管理所有内部网络对DMZ的访问。内部防火墙管理DMZ对于内部网络的访问。内部防火墙是内部网络的第三道安全防线(前面有了外部防火墙和堡垒主机),当外部防火墙失效的时候,它还可以起到保护内部网络的功能。而局域网内部,对于Internet的访问由内部防火墙和位于DMZ的堡垒主机控制。在这样的结构里,一个黑客必须通过三个独立的区域(外部防火墙、内部防火墙和堡垒主机)才能够到达局域网。攻击难度大大加强,相应内部网络的安全性也就大大加强,但投资成本也是最高的。
3、云主机的安全性怎么样?
云主机是什么?
一、共享主机和云主机
从互联网诞生至今,大部分站长都是从"共享主机"(shared hosting)开始学习建站的。所谓"共享主机",就是一台服务器上有许多网站,大家共享这台服务器的硬件和带宽。如果它发生故障,那么上面的所有网站都无法访问。
"云主机"(Cloud hosting)可以看成是新一代的共享主机。
首先,主机公司将它的硬件和网络线路,做成一朵"云",然后提供一些通向这朵"云"的网络接口API,供客户使用。这时,每个客户共享的不再是某一台特定的服务器,而是云里的所有服务器。
比如,假设你要把本机的文件备份到网上,你可以使用共享主机,把文件传到某一台服务器上;也可以使用云主机,通过某种形式的接口,把它们传到云里。也就是说,共享主机用户直接面对特定的服务器,而云主机用户直接面对网络接口,看不到服务器内部。
一个通俗的比喻是,你可以向银行租一个编号为"8888"的保险箱(共享主机),也可以把贵重物品直接交给保管公司(云主机),听任他们保管。
诸如Gmail、FaceBook、Twitter、Flickr这样的产品,都可以看作是基于"云主机"的服务。
二、云主机的优点
云主机主要有三大优点。
(1)便宜。
因为服务可以分散到多台服务器,因此能够充分利用资源,这样就降低了硬件、电力和维护成本。而且,云主机是根据使用量计费的,多用多付,少用少付,所以对小网站特别有利。
(2)可靠。
因为服务分布在多台服务器、甚至多个机房,所以不容易彻底宕机,抗灾容错能力强,可以保证长时间在线。
(3)可扩展性好(scalability)。
云主机的基本特点就是分布式架构,所以可以轻而易举地增加服务器,成倍扩展服务能力。
三、云主机的缺点
一些客户担心云主机的安全问题,感到对服务缺乏控制。
因为云主机只是提供网络接口,所以客户的数据必然全部服从云服务公司的安排,完全在后者控制之下。数据是否安全保密,取决于后者的职业道德和保护能力。
但是,这其实是一个"伪问题",因为绝大多数情况下,云服务公司会比客户更在乎、也更善于保护数据。Paul Graham在《黑客与画家》一书中,就谈过这一点:
"反对者往往觉得我们的产品不安全,如果员工可以很容易地登录,那么坏人也可以很容易地登录。一些大公司觉得不能把客户的信用卡资料交给我们,而是放在自己的服务器上更安全。......但是事实上,他们的服务器就是没我们的安全,我们对数据的保护几乎肯定比他们好。
想想看,谁能雇到更高水平的网络安全专家,是一个所有业务就是管理服务器的技术型创业公司,还是一家服装零售商?......而且我们比他们更关心数据的安全。如果一家服装零售商的服务器被入侵,最多只影响到这家公司本身,这件事也很可能在公司内部被掩盖起来,最严重的情况下可能还会有一个员工被解雇。但是,如果我们的服务器被入侵,就有成千上万家公司可能受到影响,这件事也许还会被当作新闻,发表在业内网站上面,使得我们生意做不下去,不得不关门歇业。
如果你想把钱藏在安全的地方,请问你是选择家中床垫下面,还是选择银行?这个比喻对服务器管理的方方面面都适用,不仅是安全性,还包括正常运行时间、带宽、负载管理、备份等等,都是我们占优。"
四、如何选择云主机
一般来说,知名公司总是优先的选择。目前主要有三家:Amazon Web Services、NetDepot和Rackspace。但是,小公司也有自己的优势,比如满足个性化需求和更低的价格。
你可以根据客户服务、机房分布、可靠性、API的强大程度、安全措施、价格等因素,进行综合考虑。
作者: 阮一峰
(完)
4、主机安全包括哪些方面
主要功能
防护功能
强制访问控制
在操作系统内核层实现文件、注册表、进程、服务、网络等对象的强制访问控制,可配置针对以上对象不同的访问策略来保护系统和应用资源,即使是系统管理员也不能破坏被保护的资源。
防格式化保护机制
保护功能开启时,可防止病毒和入侵者恶意格式化磁盘,同时降低管理员意外格式化磁盘的风险。
完整性检测
对文件和服务进行完整性检测,并可设置定期检测项目,当发现文件或者服务篡改时进行报警并发现哪些文件发生改变。
系统资源监控与报警
对系统的CPU、内存、磁盘、网络资源进行监控,当这些资源的使用状况超过设置的阀值时将进行报警,以提前发现资源不足、滥用等问题。
双因子认证和组合式密码认证
不仅提供SSR安全管理员和SSR审计官员的USB KEY+密码的双因子认证功能,还可对系统用户配发USB KEY实现双因子认证。对于远程登陆和虚拟化系统而无法识别USB KEY的服务器,SSR提供可配置两个密码组合的登陆认证方式,只有掌握密码的两个人同时存在才能登陆系统,以此确保自然人的可信。
审计功能
违规日志审计
记录系统内的所有违反强制访问控制策略的事件,并提供日志的查询、删除、备份、导出、日志分析和syslog转发功能。
5、用虚拟主机还是用服务器安全?
安全性上面两者如果设置是一样的话,基本上没什么差别。
稳定性上云服务器会比虚拟主机更稳定些。
建议使用云服务器,并且自己进行设置管理会更方便些。对于黑客入侵的问题,可以安装服务器安全狗之类的服务器安全狗软件来进行防护,开启远程桌面登陆保护,限制能进行远程登陆的ip名单,以及修改掉默认的远程端口号。
6、作为普通用户,如何保障电脑主机的商务应用安全
平时保证电脑的安全主要从以下三个大方面注意,主要包括:
一、【版更换系统】
1、首先从最权基本的系统来说,不再使用XP系统,其他系统都可以自由选择,因为XP系统已经停止安全更新服务,所以不要去使用。
2、使用其他系统时,不要用一些自动激活好的GHOST版系统,因为大多这种系统自身带了后门程序,黑客查看用户电脑资料如同探囊取物。
二、【修复漏洞】
1、系统本身都存在漏洞,XP系统不安全就是因为停止了漏洞维护功能,所以当用户的电脑不修复漏洞,那么就是不安全的。
2、借助第三方软件来对电脑漏洞进行修复,比如用腾讯电脑管家——工具箱——漏洞修复这个功能。
3、修复漏洞后重启开机可能会速度比较慢,需要耐心等待。
三、【定期杀毒】
1、除了修复漏洞外,病毒还可能通过下载的软件U盘等进入电脑,所以用户需要懂得定期对病毒进行查杀,打开腾讯电脑管家——使用病毒查杀功能。
2、打开这个功能后,先对电脑病毒进行检测,然后等待检测结束后,再去对电脑病毒进行彻底的查杀就好,如果检测无毒就说明系统暂时是安全的。
3、杀毒的时候要根据不同的情况选择不同的杀毒模式,避免有些病毒检测不到。
7、如何实现网络应用安全
怎样实现网络应用安全防范网页链接
8、可信应用安全架构
可信应用安全架构主要包括三个技术层次,即基础设施层、安全支撑层及安全应用层(图4-1)。
图4-1 可信应用安全架构示意图
1.基础设施层
基础设施层是一切可信应用、可信因素的源头,主要负责为所有上层的服务及应用提供基础的、可信的身份、属性和时间因素服务,同时也可提供API开发接口。该层主要包括PKI、PMI及可信时间戳三个主要基础设施。
(1)PKI系统(公共密钥基础设施 Public Key Infrastructure)。取代了传统的用户名/口令模式,其通过公钥密码体制中用户私钥的机密性来提供用户身份的唯一性验证,并通过公钥数字证书的方式为每个合法用户的公钥提供一个合法性的证明,建立用户公钥到证书ID号之间的唯一映射关系。在实践中,PKI系统是整个安全架构的基础,把用户的公钥和用户的其他属性信息(如姓名、身份证号等)捆绑在一起,通过身份认证系统进行身份识别为整个图书馆信息化体系提供身份管理,保证身份的管理强度。PKI系统一般包括证书签发机构(CA)、证书注册机构(RA)、证书库、密钥备份及恢复系统、证书废除处理系统、应用系统接口等部分。
(2)PMI系统(授权管理基础设施Privilege Management Infrastructure)。它依赖于公共密钥基础设施PKI(Public Key Infrastructure)的支持,旨在提供访问控制和权限管理,提供用户身份到应用授权的映射功能,实现与实际应用处理模式相对应的,与具体应用系统和管理无关的访问控制机制。PKI和PMI之间类似于护照和签证的关系,PKI证明旅客身份(用户是谁),而PMI证明旅客准备去哪(用户有什么权限)?
(3)可信时间戳。首先可以为系统各个环节提供准确的系统时间,准确记录数据信息产生、传输的各个时间节点;其次它是一个能证明数据信息在一个时间点是已经存在的、完整的、可验证的、具备法律效力的电子凭证。一般与权威时间源(如中国科学院国家授时中心)绑定,在此基础上通过时间戳服务中心数字签名,产生不可伪造的时间戳文件。
2.安全支撑层
安全支撑层是基于基础设施,面向应用提供各项安全服务。其主要功能应用包括身份认证系统、授权管理系统、监控审计系统、用户管理系统及数字签名等。安全支撑层的各项服务开发定制应满足模块化、标准化的要求,为上层应用提供丰富的、灵活的、标准化的技术支持。身份认证系统基于PKI系统对用户和证书的合法性和有效性进行判别;授权管理系统首先依据用户管理和系统应用需要建立角色权限对应体系,然后基于用户证书相关属性信息进行权限分配。类似于用户的“工作证”,即可以通过属性证书作为依据判断用户在指定的应用系统可以做什么,不可以做什么;监控审计系统可以提供证书基础信息、访问信息的统计查询功能和系统运行环境的监控管理功能;用户管理系统包含了详细的用户信息列表,为授权管理系统和审计监控系统提供基础数据和属性支持;数字签名则是通过加密技术对流转信息的真实性提供有效证明。
3.安全应用层
安全应用层则是由安全防护和应用安全共同组成的。安全防护包括主机防护,以及文件、数据防护等应用。而应用安全则是指我们传统的WEB、Portal、MIS、BI、ERP、GIS等各类应用系统,这些应用需要进行一定的应用改造,通过调用基础设施层的各种算法及接口和安全支持层的各种服务接口,而使其成为具有高强度的认证、授权、责任认定及数据防护能力的安全应用。
通过上述三个层次的系统建设,使图书馆信息系统真正做到从用户到网络到服务、从人到系统到数据、从数据的产生到传递到存储,全过程、端对端的可信、可控。