返回
防火墙技术堡垒主机

防火墙技术堡垒主机

ID:20107720

大小:983.50 KB

页数:42页

时间:2018-10-09

防火墙技术堡垒主机_第1页
防火墙技术堡垒主机_第2页
防火墙技术堡垒主机_第3页
防火墙技术堡垒主机_第4页
防火墙技术堡垒主机_第5页
资源描述:

《防火墙技术堡垒主机》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、5.堡垒主机(BastionHost)1堡垒主机的配置特殊类型的堡垒主机设计和构筑堡垒主机的原则建设堡垒主机需要考虑的因素建立堡垒主机的步骤运行堡垒主机堡垒主机的保护与备份25.1堡垒主机的配置防火墙系统中,配置堡垒主机的数量:一台多台配置数量由具体情况决定3使用多台堡垒主机原因性能冗余分离数据或者服务器4性能:例1:一台堡垒主机处理提供给内部网用户的服务一台堡垒主机处理提供给因特网用户的服务内部网用户不会受外部网用户的活动影响例2:多堡垒主机用于同样的服务需要考虑负载平衡问题5冗余:一台失败,另一台提供相

2、同服务分离数据或服务器:保证安全例:多台堡垒主机为不同用户提供同样服务,可以实现针对不同用户提供不同的数据6需要保证堡垒主机安全,原因高度暴露安全核心,坚固75.2特殊类型的堡垒主机无路由双宿主机牺牲品主机内部堡垒主机8无路由双宿主机本身可以作为一个防火墙,也可以作为一个更复杂的防火墙的一部分有两个网络接口,但这些接口间没有信息流9牺牲品主机适用于无论使用代理服务还是数据包过滤都难以保证安全的网络服务,或者一些对其安全性没有把握的服务其上没有任何需要保护的信息不与任何入侵者想要利用的主机相连易于被管理,即使

3、被侵袭也无碍内部网的安全10注意:用户总是希望在牺牲品主机上存有尽可能多的服务与程序但是出于安全性考虑,不可随意满足用户的要求,否则会使用户越来越信任牺牲品主机而违反设置牺牲品主机的初衷11内部堡垒主机与堡垒主机有交互的某些内部主机,例如:内部SMTP服务器内部DNS服务器等是有效的次级堡垒主机,应象保护堡垒主机一样加以保护可以在它上面多放一些服务,但其配置必须遵循与堡垒主机一样的过程125.3设计和构筑堡垒主机原则最简化原则预防原则13最简化原则:尽量简单为什么:堡垒主机越简单,安全越有保证堡垒主机提供的

4、任何服务可能有软件缺陷或者配置错误怎么做:提供服务数量尽可能少特权尽可能小14预防原则:做好堡垒主机被损害的准备让内部机器不再信任堡垒主机具体方法:在堡垒主机与内部主机之间设置包过滤器在内部主机上进行访问控制(口令、认证等)155.4建设堡垒主机需考虑的因素选择机器选择位置选择服务16选择机器选择操作系统对机器速度的要求硬件配置17选择操作系统选择较为熟悉、较为安全的操作系统作为堡垒主机的操作系统要考虑对以后的工作的影响18对机器速度的要求并不要求有很高的速度,只要物尽其用即可当需要较快速度的机器时,也可使

5、用多堡垒主机结构不使用高档堡垒主机的原因低档机器对入侵者的吸引力要小一些,入侵者往往以入侵高档计算机为荣低档堡垒主机不利于入侵者进一步侵入内部网,因为它编译较慢,运行一些有助于入侵的破译密码程序也较慢19硬件配置高兼容性、高可靠性、慎重选择新产品需要大内存以支持同时处理多个网际连接需要较大的磁盘空间作为存储缓冲来运行代理服务20选择位置物理场所网络上的位置21物理场所安全适宜通风良好温度恒定不间断电源22网络上的位置最好放在一个单独的网络上(周边网络),不放在内部网上放置在没有重要或机密信息流的网络上23原

6、因:混合模式下一个网络接口可捕捉到与该接口连接的网络上的所有的数据包,而不仅仅是发给该接口所在机器的地址的数据包大多数以太网和令牌环网的接口都可工作在混合模式一旦堡垒主机被攻破,侵袭者可以利用混合模式获取堡垒主机所在网络的信息周边网络上的堡垒主机无法侦听内部网络的数据包24选择服务服务分为四类:安全的服务:可以通过包过滤提供的服务提供的服务不安全,但可以采取安全措施:在堡垒主机上提供提供的服务不安全,也无法保证它的安全:可以废除这些服务,如果确实需要,可以在牺牲品主机上提供必须废弃的服务255.5建立堡垒主

7、机的步骤1)初步建立安全的运行环境2)关闭所有不必要的服务软件3)安装或修改必须的服务软件4)根据最终需要重新配置机器5)核查机器上的安全保障机制6)将堡垒主机连入网络在进行最后一步工作之前,必须保证机器与因特网是互相隔离的26初步建立安全的运行环境安装最小的、无病毒的、标准的操作系统修复已知的操作系统的缺陷使用安全检查列表Checklist保护系统日志27保护系统日志系统日志的重要性通过检查系统日志,可以知道系统正在做什么、将来要做什么通过检查系统日志,可以判断堡垒主机的运行是否正常,哪些方面发生了问题要

8、确保系统日志的安全28存放系统日志主要考虑:方便性:要将它存放在易于操作的地方安全性:要使非相关用户无法操作到日志文件为此,同时存放日志文件的两个拷贝方便性拷贝:是监视系统日常运行的基础安全性拷贝:在发生事故重建堡垒主机时使用29关闭不必要的服务任何服务都可能有缺陷或配置问题关闭不必提供的任何服务,提供用户需要的服务30关闭路由服务多接口IP主机能自动实现IP转发堡垒主机通过将数据包向上传输至应用层的代理服务程序

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。