系统平台安全保障

任务1　系统平台安全保障

任务介绍

防火墙是介于内部网络和外部网络之间一系列部件的组合，是不同网络和网络安全域之间信息的惟一出入口，也是提供信息安全服务和实现网络与系统信息安全的保障。

IIS作为应用较多的服务器之一，提供了强大的Internet和Intranet服务功能。与此同时，加强IIS安全机制，建立高安全性能的Web服务器，是IIS设置中不可忽视的重要组成部分。

本任务以如何规划网络防火墙与IIS安全配置作为重点，教会学生保障系统平台安全的具体方法。

任务分析

某企业的网络规划之初，主要应用集中于局域网内，包括科技部局域网、财务部局域网、办公室局域网等。随着电子商务的迅猛发展，越来越多的子系统已接入网络，行业系统数据、监测监控系统数据等都通过网络传输。网络规模的不断扩大、接入点的增多，使内部网络的安全隐患问题日益突出，成为影响网路效能的重要因素。

为扩大企业宣传和产品销售，该企业建立了Web服务器，在网络规划的基础上，进一步提升网络安全，确保内部网络及Web服务器的安全性。

以小组为单位根据上述企业需求进行防火墙的规划设置，撰写规划报告，应用IIS将规划的系统平台设置高性能服务器。

任务实施

子任务1　防火墙的设置

为什么设置防火墙？主要原因有：基于软件的企业网站安全性解决方案，如个人防火墙与防病毒扫描程序等，因其功能都不够强大，无法满足企业网络的整体安全需求。因为，即使是一个通过电子邮件传送过来的恶意脚本程序，都能轻松地将这些防护措施屏蔽掉，甚至那些运行在主机上的“友好”应用程序都可能为避免驱动程序的冲突而无意中关掉这些安全性防护软件。一旦这些软件系统失效，网络系统极易遭受攻击。更为可怕的是，网络中其他部分也将处在攻击威胁之下。所以，对企业网络而言，使用普通安全软件抵挡日益猖獗的攻击威胁已明显力不从心——选择一款正确而有效的防火墙是防范网络攻击的关键。

防火墙的设置有多种形式，故应根据实际需求选择不同的拓扑结构，分别为以下类型：

第一步，基本过滤路由器设计。

该拓扑结构是内部网与外部网之间仅有的一个过滤点，如图3.1所示。

该结构的优点是容易实现，不会影响周边网络。但也存在以下缺点：

一是，公共服务器位于路由器内端，如若公共服务器被攻克，它将不经过路由器的过滤而攻击内部系统。

二是，单过滤路由器是访问控制故障的惟一因素。

三是，状态过滤的缺乏需要开放大量端口，才能让大部分应用工作正常。

图3.1　基本过滤路由器示意图

第二步，经典双路由器DMZ设计。

相对于单路由器这种设计的优点是使公共服务器与内部网的其余部分分开。DMZ中一台服务器被入侵后，如要攻击内部服务器须经过第二台路由器，如图3.2所示。

图3.2　双路由器示意图

第三步，状态防火墙设计。

当状态防火墙越来越普及时，企业开始利用状态防火墙取代双路由器DMZ设计中的第二台路由器，此结构如图3.3所示。

图3.3　状态防火墙示意图

此种结构通过允许内部网和公共服务器及Internet之间的强过滤改进了双路由器DMZ设计，当其防火墙的性能与公共服务器吞吐量需求不匹配时，倾向使用此种结构。

第四步，三接口防火墙设计。

此种结构是安全、成本和管理的最佳结合，已成为当前防火墙边缘部署中的标准，其优点是需要所有的流量都经过防火墙，包括从Internet流向公共服务器的流量。即使攻击者发现了公共服务器的漏洞（在攻击者首次通过防火墙后），仍须使用不同的过滤策略返回防火墙才能攻击内部系统。其结构如图3.4所示。

图3.4　三接口防火墙示意图

第五步，多防火墙设计。

此种结构主要用于电子商务，通常需要多重信任级别，而不仅是内部、外部和服务器。如图3.5所示。

图3.5　多防火墙示意图

子任务2　用IIS建立高安全性的服务器

Windows 2000系统中IIS的设置方法是：

第一步，取消匿名用户连接。单击“开始”→“程序”→“管理工具”→“Internet服务管理器”选项，在Internet信息服务窗口的左面双击服务器名字，选择要设置的Web站点；在管理控制树中需要禁止匿名访问的Web站点图标上单击鼠标右键；在弹出式菜单中选择“属性”选项；在Web站点属性窗口中选择“目录安全性”选项卡；在此选项卡上部的“匿名访问和验证控制”栏中单击“编辑”按钮，即出现图3.6所示对话框。在对话框中取消“匿名访问”复选框，单击“确定”按钮。

第二步，访问权限控制。IIS的访问权限控制主要包括文件夹和文件访问权限。安放在NTFS文件系统上的文件夹和文件，一方面要对其权限加以控制，对不同用户组和用户进行不同的权限设置；另一方面，利用NTFS的审核功能对某些特定用户组成员在读取文件的企图等方面进行审核，有效通过监视如文件访问、用户对象的使用等操作，发现非法用户进行非法活动的前兆，及时加以预防制止。

图3.6　“验证方法”对话框

设置审核的具体方法：在需要设置审核的目录名或文件名上单击鼠标右键；在菜单上选择“属性”；选择“安全”选项卡；单击“高级”按钮；选择“审核”选项卡；单击“添加”按钮；弹出选择用户和组的窗口；选择要审核的用户；单击“确定”按钮；弹出“审核项目”对话框。如图3.7所示，从中选择需要进行审核的项目。

第三步，IP地址和域名的访问控制。IIS可以设置允许或拒绝从特定IP或特定域名发来的服务请求，有选择地允许特定节点的用户访问Web服务，管理员可通过设置参数阻止除指定IP地址或域名外的整个网络用户访问Web服务器。

具体设置如下：单击“开始”→“程序”→“管理工具”→“Internet服务管理器”；在Internet服务管理器窗口的左面双击服务器名字；在管理控制树中选择需要配置IP地址限制Web站点图标上单击鼠标右键；在弹出式菜单中选择“属性”选项，弹出如图3.8所示的对话框；在该对话框中选择“目录安全性”选项卡；在“IP地址及域名限制”栏中单击“编辑”按钮，弹出“IP地址及域名限制”对话框，如图3.9所示。

图3.9中IP地址限制的方式有两种：授权访问和拒绝访问。如需限制来自某些地址的用户对网站进行访问，就使用前者；如仅允许某些用户能访问网站内容，则使用后者。

图3.7　“审核项目”对话框

图3.8　“IP地址及域名限制”对话框

图3.9　“IP地址及域名限制”对话框

知识拓展

一、防火墙的概念

防火墙犹如森林里的隔离带或防止外敌入侵的护城河，原为建在大楼内用于防火的一道墙，在计算机网络中则为设置在被保护网络与外部网络之间的—道屏障，以防止发生不可预测的、潜在的破坏性的入侵，保护内部网络安全。

防火墙是指设置在不同网络（如可信任的内部网和不可信的公共网）或网络安全域之间的一系列部件组合。它是不同网络或网络安全域之间信息的惟一出入口，能根据企业的安全政策控制（允许、拒绝、监测）出入网络的信息流，且本身具有较强的抗攻击能力。它是提供信息安全服务，实现网络和信息安全的基础设施。防火墙可通过监测、限制、更改跨越防火墙的数据流，尽可能地对外部屏蔽网络内部的信息、结构和运行状况，以此实现网络安全保护。它通常采用两种设计原则：一是，除非明确允许，否则将禁止某种服务；二是，除非明确禁止，否则将允许某种服务。前者在默认情况下禁止所有的服务，后者在默认情况下允许所有的服务，除非被管理员进行某种改变。

二、网络安全平台规划原则

基于实际情况与安全策略所定义的安全系统需求规划安全架构，通常考虑以下两点：

（一）安全的网络平台设备

大部分网络中，设备应该是安全系统的源泉。这种利用设备实现的安全技术多为VPN网关和状态防火墙。

（二）通用操作系统安全设备

操作系统安全是安全架构不可缺少的一部分，新的安全技术通常首先出现在PC平台上，这使PC成为实现安全特性的首选。利用PC平台可实现的功能包括代理服务器、防病毒和URL过滤等。通用操作系统主要包括商业和开源操作系统，其中商业操作系统的优点为：（1）支持所有的商业软件；（2）界面非常能够吸引用户，安装十分简单；（3）受到认证机构认证的产品。

三、网络安全的系统构成

（一）防火墙技术

防火墙不仅是一个过滤器、限制器，还是一个智能分析器。在安全策略的指导和保证网络畅通前提下，应有效隔离内部网络和外部网络之间的活动，尽可能保证内部网络的安全。

在考虑企业内部网络安全时，首先要考虑企业边界网的安全。防火墙并非有形的墙，而是一类安全防范措施的总称，是一种有效的网络安全模型，是机构总体安全策略的一部分。防火墙根据企业的安全策略控制出入网络的信息流，提供信息安全服务。

这些服务包括默认禁止策略即拒绝所有的流量，特殊指定能够进入和出去的流量的一些类型；默认允许策略即允许所有的流量，特殊指定要拒绝的流量的类型。从安全性角度分析，一般采用默认禁止策略，但也要根据企业自身的网络状况决定。

防火墙是可以在两个网络间提供单点防御以保护网络的设备，是一个系统或一套系统，用于强制实现两个或多个网络间的访问控制策略，如图3.10所示。

图3.10　防火墙拓扑图

防火墙是一个网络网关，用于加强网络中的安全规则，根据网络安全策略对每个网络数据包进行检测，其中网络安全策略是管理有关网络内外通信的安全规则、协定和过程的集合。防火墙可以监视所有的网络流量并且当有任何试图危害安全或任何不恰当的使用时，防火墙可以对管理者发出警报。

（二）防火墙功能

防火墙可通过监测、限制、更改跨越防火墙的数据流，尽可能地屏蔽网络内部信息、结构和运行状况，以此实现网络安全保护。其具体功能如下：

（1） 网络安全的屏障。一个防火墙（作为阻塞点、控制点）能极大地提高内部网络安全性，并通过过滤不安全的服务降低风险。由于只有经过精心选择的应用协议才能通过防火墙，外部攻击者就不可能利用脆弱协议攻击内部网络。防火墙同时保护网络免受基于路由的攻击，如IP选项中的源路由攻击和ICMP重定向中的重定向路径攻击。

（2） 强化网络安全策略。通过以防火墙为中心的安全方案配置，能将所有安全软件（如口令、加密、身份认证和审计等）配置在防火墙上。与将网络安全问题分散到各个主机策略相比，防火墙的集中安全管理策略更经济。例如在网络访问时，一次一密口令系统和其他的身份认证系统完全可以集中在一个防火墙上，不必分散到各个主机。

（3） 监控审计网络存取和访问。如所有访问都经过防火墙，则防火墙就能记录下这些访问并做出日志记录，同时也能提供网络使用情况的统计数据。当发生可疑动作时，防火墙能进行适当报警，并提供网络是否受到监测和攻击的详细信息。

（4） 防止内部信息外泄。通过利用防火墙对内部网络的划分，可实现内部网重点网段的隔离，以便限制局部重点或敏感网络安全问题对全局网络造成的影响。再者，隐私是内部网络非常关心的问题，内部网络某一不引人注意的细节就可能包含有关安全的线索，甚至因此泄露内部网络的某些安全漏洞。使用防火墙可隐蔽那些可能透露或泄露内部细节的服务如Finger、DNS等。防火墙能阻塞有关内部网络的DNS信息，使主机域名和IP地址不被外界了解。

（5） 自身抗攻击能力强。作为一种安全防护设备，防火墙成为网络中众多攻击者的目标，故抗攻击能力是防火墙的必备功能。网络攻击手段包括IP地址假冒攻击、病毒攻击、口令字探询攻击、网络安全性分析攻击和邮件诈骗攻击等。

（三）防火墙分类

1. 基于软件的防火墙

基于软件的防火墙叫基于服务器的防火墙，是安装在现有操作系统上的软件应用程序，例如在Unix或Windows服务器平台上，如图3.11所示。其优点为：最初的成本比较低，且能将其他应用（例如Web或FTP服务器）与防火墙相结合。基于软件的防火墙非常适用于小型办公室、家庭办公环境和企业环境。其中Check Point Firewall-1、ISA服务器、Novell Border Manager、Linux ipfwadm是典型的软件防火墙。

2. 基于硬件的防火墙

基于硬件的防火墙叫专用防火墙，是在专门的硬件平台上预装有专门软件的设备，如图3.12所示。

图3.11　基于软件的防火墙

图3.12　基于硬件的防火墙

由于用户数量不同，用户安全要求不同，功能要求不同，因此防火墙的价格也不尽相同。市场上的防火墙售价极为悬殊，从几万元到数十万元，甚至数百万元。总的看，防火墙以用户数量作为大的分界线。一些单位具备自己组装防火墙的能力，能够使用相应的软件组件和设备构建防火墙。单位自己构筑防火墙的优势是内部人员了解防火墙设计的细节从而方便应用。但是，防火墙的技术含量高，对技术人员的水平要求高，加上自制防火墙需长时间的修建、记录文档和维护，造成防火墙的研发费用也很高。相比之下，直接购买防火墙较为经济。

一个单位决定是否自己构筑一个防火墙需要考虑如下问题：

一是，防火墙应该怎样被测试？

二是，如何证明防火墙按需工作？

三是，谁能胜任防火墙的日常管理工作，如备份和修复？

四是，谁能对防火墙升级更新？如何安装新的代理服务器、补丁程序和其他升级程序？

五是，安全漏洞可以定期被更正吗？

六是，谁能对用户提供技术支持和培训？

许多销售商不仅提供防火墙的安装服务，而且还能提供日常维护。因此，如果企业没有能力做好上述工作，就应考虑使用销售商提供的服务。无论采用何种方法，企业都应积极重视防火墙的维护，使之发挥应有作用。

当企业决定采用防火墙保卫内部网络之后，需要做的事情是选购一个安全、实惠、合适的防火墙。面对市场上种类繁多的防火墙产品，用户除须考虑防火墙基本功能，还应考虑企业的特殊要求，因为企业的安全策略中有些特殊需求并非任何防火墙都能提供。用户常见的需求如下：

四、防火墙的选择

（一）网络地址转换功能（NAT）

用户进行地址转换有两个好处：一是，隐藏内部网络真正的IP，既使黑客无法直接攻击内部网络，又是加强防火墙自身安全性的需要；二是，让内部使用没有注册的IP，这有益于IP不足的企业。

（二）双重DNS

当内部网络使用没有注册的IP地址，或是防火墙进行IP转换时，DNS也须经过转换。因为，在同样的一个主机上，内部的IP不同于给予外界的IP。有的防火墙能提供双重DNS，有的则须在不同主机上各安装一个DNS。

（三）虚拟专用网络（VPN）

VPN能在防火墙与防火墙或移动的客户端之间对所有网络传输的内容加密，建立—个虚拟通道，让两者感觉是在同一个网络上，能够安全且不受拘束地互相存取。

（四）扫毒功能

大部分防火墙都可与防病毒软件搭配实现扫毒功能，有的防火墙则能直接集成扫毒功能，差别只是扫毒工作是由防火墙完成还是由另—台专用的计算机完成。

（五）特殊控制需求

企业有时会有特别的安全控制需求，如限制特定使用者才能发送E-mail，FTP只能下载文件不能上传文件，限制同时上网人数，限制使用时间或阻塞Java、ActiveX控件等，这些均依据不同需求而定。

五、防火墙的缺陷

（一）会限制有用的网络服务

为了提高被保护网络的安全性，防火墙限制或关闭了很多有用但存在安全缺陷的网络服务。由于绝大多数网络服务在设计之初未考虑安全性，只考虑使用的方便性和资源共享，所以一般都存在安全问题。安装防火墙之后自然会限制一些有用的网络服务，等于从一个极端走到另外一个极端。

（二）无法抵御内部网络用户的攻击

目前防火墙只提供对外部网络攻击的防护，对来自内部网络用户的攻击则只能依靠内部网络主机系统的安全性。防火墙无法禁止企业内部间谍将敏感数据拷贝到软盘或PcMCIA卡上，并将其带出公司；防火墙也不能抵御如下的攻击：攻击者伪装成超级用户或诈称新员工，劝说没有防范心理的用户公开口令或授予其临时网络访问权限。因而，企业必须教育员工，使员工了解网络攻击的类型，自觉保护自己的用户口令和周期性变换口令的必要件。在某种程度上说，防火墙对内部网络用户无法设防，必要时应该采用多层防火墙系统。

（三）无法抵御防火墙以外的其他途径攻击

假如在一个被保护的网络上有一个没有限制的拨出存在，内部网络上的用户就能直接通过SLIP或PPP连接进入Internet。聪明的用户可能会厌烦需要附加认证的代理服务器，因而向ISP购买直接的SLIP或PPP连接，试图绕过防火墙提供的安全系统。这种行为极有可能构成从后门对网络的攻击。网络用户必须了解，在一个有全面安全保护的系统内部绝对不允许此种连接操作。

（四）不能完全防止已感染病毒的软件或文件传送

因为病毒类型太多，操作系统也有多种，编码与压缩二进制文件的方法各不相同。故而，不能期望Internet防火墙对每个文件进行扫描，查找出潜在的病毒。对病毒特别关心的机构应在每个桌面部署防病毒软件，防止病毒从软盘或其他来源进入网络系统。

（五）无法防范数据驱动型攻击

表面上看，数据驱动型攻击是黑客将无害的数据邮寄或拷贝到Internet主机上，但这个数据—旦执行就会进行攻击。例如，一个数据型攻击可能导致主机修改与安全相关的文件，使入侵者极易获得对系统的访问权。

（六）不能防备新的网络安全问题

防火墙属于被动式防护手段，只能对现在已知的网络威胁发挥作用。随着网络攻击手段不断更新和新的网络应用出现，不可能靠一次性防火墙设置解决永远的网络安全问题。

设计Internet防火墙时，网络管理部门须做出如下几个决定：即防火墙的姿态（Stance）、机构的整体安全策略、防火墙的经济费用与防火墙系统的组成或构件。Internet防火墙并非孤立存在，它是企业总体安全策略的重要组成部分。企业总体安全策略定义了安全防御的诸多方面，为确保安全防范的成功实现，企业必须知道安全防护的具体事项。安全策略必须建立在精准的安全分析、风险评估与商业需求分析的基础之上。如若企业没有周密的安全策略，再精心建设的防火墙也无济于事，甚至会导致整个内部网络暴露在攻击面下。

确定了防火墙姿态、安全策略与预算问题之后，就能确定防火墙系统的特定组成部分。企业可根据其网络规模和安全策略选择适合自身的防火墙体系结构，不同防火墙体系结构所需的代价与费用均有不同。

六、安装IIS时应注意的安全问题

（一）避免把IIS安装在主域控制器上

在计算机服务器上安装IIS之后，该服务器将自动生成IUSER_Computername域名账户，该账户被添加到域用户组中，从而把应用于域用户组的访问权限提供给访问Web服务器的每个匿名用户。这不仅给IIS带来巨大潜在危险，还可能牵连整个域资源安全。因此，应尽可能避免把IIS安装在域控制器上，尤其是主域控制器上。

（二）避免把IIS安装在系统分区上

这是因为，把IIS安放在系统分区上，会使系统文件与IIS同样面临非法访问，引发非法用户侵入系统分区。

七、登录认证的安全性

IIS5.0服务器对用户提供如下形式的身份认证：

一是匿名访问。不需要与用户之间进行交互，允许任何人匿名访问站点。这种身份认证的安全性最低；

二是基本验证（密码用明文送出）。该方式下用户输入的用户名和口令以明文方式在网络上传输，没有任何加密。非法用户可通过网上监听拦截数据包，并从中获取用户名及密码，故安全性能一般；

三是Windows域服务器简要验证。Windows域服务器的简要验证和集成Windows验证均属于加密验证方式。其中简要验证方法IIS5.0服务器中新引入的验证方法，它通过网络发送经过混编的密码值而不是密码本身。此方法的安全性高于基本验证，但低于集成Windows验证方式。

任务总结

随着电子商务的发展，电子商务服务器基本上已成为Web服务器，即任何人都可以从Internet访问这种服务器，因此它对攻击呈开放状态。通过上述任务的学习与训练，使学生能基本掌握保护电子商务服务器不受攻击的防火墙设置与基于IIS安全性的Web服务器配置。

任务评价

一、评价方法

本任务采用学生自我评价、小组评价和教师评价的方法，对学习目标进行检验。学生本人首先对自己的规划设计情况进行自查，找出成绩分析不足；小组根据每位同学所做的工作和对调查报告结论的贡献给出综合评价；最后教师针对每个小组的规划报告结合每一位同学给出评价结论，指出改进和努力的方向。

二、评价指标