第五章 深度防禦體係的構建

隨著計算機係統軟件、硬件的不斷升級，產品多樣化的出現，網絡的擴充，病毒的泛濫，黑客活動的無目的、無組織性，使得網絡安全變的越來越複雜。曾經為科研人員服務的小型網絡現在發展為覆蓋全球的互聯網絡。對於許多組織來說，網絡用戶已經打破傳統的網絡界限，不僅指企業內部人員，還包括企業的顧客、商業夥伴等。維護企業網絡資源的完整性、一致性和可靠性成為一件艱巨的任務，實現這個目標的首要步驟是使用網絡段和訪問控製機製。

1、建立深度防禦

深度防禦的含義就是在層防禦的基礎上提供更深一層的保護，增加網絡的安全性。它在攻擊者和企業的信息資源之間建立多層屏障，攻擊者欲想深入係統，他麵臨的困難越大。這些屏障阻止了攻擊者對係統重要資源的攻擊，同時也防止了攻擊者對網絡係統的偵察。此外，深度防禦策略為入侵檢測係統（IDS）的實施提供自然的區域。

在許多環境中，深度防禦的實施僅需增加很少的設備費用。大部分的路由器和交換機廠商在他們的產品中都提供了訪問控製機製。雖然許多安全專業人不會純粹的依靠VLANs和路由器訪問控製列表，但是這些方法作為內部控製來講還是有價值的。關鍵問題是要根據企業的實際情況來實施這些機製。

2、劃分網絡安全域

為了實施網絡訪問控製（例如：防火牆），你必須定義企業安全區域的界限，每個網絡安全域共享一樣的安全策略。大部分公司僅僅在他們接入Internet時才開始定義網絡安全域。這樣做是遠遠不夠的。因為現在的商業模式需要在物理上和邏輯上具有連通性。你的企業和你的商業夥伴的網絡之間，信息提供者和顧客之間等等，這些關係千絲萬縷，十分複雜。

如果簡單的把網絡分成兩域的網絡安全模式（如圖1所示），就不能滿足上述具有複雜關係的網絡的安全需求。從安全性的視角來看，網絡之間的不同比"內部"和"非內部"要複雜的多。因此，不同的網絡有不同的安全需求，特別是那些服務對象多的網絡，更是增加了安全的複雜性。例如，一個HR（人力資源）網絡需要建立員工自我服務的內部網，要讓員工看的到工作計劃、薪金的變更等。

當你為企業定義網絡安全域時，檢查域之間的相互作用是必要的，這包括交通和數據流還有訪問需求。訪問控製技術用於在網絡安全域之間的邊界管理安全策略的實施，網絡入侵檢測技術用於監測攻擊和其它的侵犯。然後你就要尋找方法來保護那些提供給授權用戶訪問的數據。

3、DMZ

DMZ術語來自於軍事方麵，這個區域禁止任何軍事行為。在技術領域，DMZ最初被定義為防火牆的外部接口和外部路由器的內部接口之間的網絡段。後來DMZ的定義進一步演化，是指為不信任係統提供服務的孤立網絡段。現在IT人員用這個術語來指兩個防火牆之間的網段，或是連接防火牆的"死端"的網絡。

不管DMZ的種種定義，它的目的就是把敏感的內部網絡和其它提供訪問服務的網絡分離開，為網絡層提供深度的防禦。防火牆上的策略和訪問控製係統定義限製了通過DMZ的全部通信數據。相反，在Internet和企業內部網之間的通信數據通常是不受限製的。

4、DMZ的主要作用