網絡接入點

開始國家科學基金髮起並支持的只有四個NAP，紐約、華盛頓特區、芝加哥和舊金山，它們由最初美國政府財政支持的因特網轉變成為商業運作的因特網。從那以後許多NAP陸陸續續組建起來，其中包括WorldCom的“MAE West”網站所在地聖何塞，加利福尼亞和ICS網絡系統的“Big East”。

網絡接入點（NAP）提供通常為公眾服務的主要交換設備。公司利用NAP設備構建他們公司內部的對等網絡。多數因特網的流量是不通過NAP的，而是用對等排列和內部交換。vBNS網絡是一個國家科學基金支持的一研究為目的的獨立網絡，它也利用NAP技術。 ^[1] 

一個內部局域網絡同外部網絡建立連接有 2 種典型的情況:1.Internet接入，將局域網絡與Internet互通，實現訪問互聯網、電子郵件、信息發佈、企業網站等功能;2.同其他局域網絡互通，實現相關業務的電子化和網絡化，如銀行代收業務等。這 2 種比較典型的網絡接入點對網絡安全產生的威脅程度以及應採取的防範措施各有特點，下面分別進行説明。 ^[2] 

Internet接入點是對內部網絡安全產生威脅最大的一點，其威脅主要有 2 種，非法入侵和計算機病毒。

面對這些威脅，我們不可能放棄Internet應用，而是要在保證正常應用的前提下，採取得當的措施進行防範。在防範非法入侵方面，採取的措施是設置防火牆。防火牆在內部網和外部網的交界處構造一個保護層，通過地址映射，可以有效地屏蔽內部局域網的真實主機地址，使外部所看到的地址是虛假的地址;同時設定合理的外部訪問內部資源的策略，對外部的訪問進行限制，濾掉不符合訪問策略的數據包。另一方面，通過設置內部訪問外部策略，防火牆也可以限制內部對外部網絡資源的訪問，在一定程度上降低安全風險。 ^[2] 

在預防計算機病毒方面，內部網絡中可能已經部署了網絡防病毒系統，但這個系統是在計算機病毒進入到內部局域網絡以後才能啓動防範功能，如果該系統的管理不完善，或是存在着病毒碼升級不同步產生的“木桶效應”，系統同樣可能會受到破壞。因此，在Internet接入點處，還要設置一個防毒牆或具有類似功能的防範機制，通常部署在防火牆的後面。防毒牆是防毒軟件和高性能硬件有機的結合體，它支持HTTP、FTP、POP3 和SMTP 等標準協議，可以對出入內部局域網絡的電子郵件、HTTP 或FTP 數據進行檢查掃描，並根據病毒特徵碼判斷流經的數據包中是否帶有病毒，從而將病毒清除或隔離在內部網之外，減少內部網感染病毒的幾率。作為強制訪問控制的設備，防火牆不具備實時入侵監測的能力，不能感知、記錄入侵的進入和後果，同時也存在可以繞過防火牆的入侵行為。針對防火牆的侷限性，在 Internet 接入點處，我們還應該採取第三個安全措施——部署NIDS(基於網絡的入侵檢測系統)。NIDS 由檢測代理和控制枱構成，檢測代理完成對流入內部網的數據包進行檢查和分析，控制枱實現對檢測代理的管理、向網絡管理員提交檢測報告等功能。NIDS不會直接對內部網起保護作用，但是它可以通過監聽流經指定端口的所有數據包，並與入侵行為特徵信息庫進行對比分析，進而發現可能的入侵企圖和異常現象，實時地向網絡管理員發出報警，同時將入侵的行為和過程進行記錄，並中斷該連接或調用相應的進程進行處理。網絡管理員通過控制枱提交的檢測報告就可以及時地採取措施進行補救。在基於交換的局域網中，NIDS 只能檢測某一個網段的數據包，因此在Internet接入點處設置NIDS，需要將交換機中用於連接外網的端口鏡像到用於連接 N I D S 的端口，這樣 N I D S 就可以對所有流入連接外網端口的數據包進行監測。大多數的NIDS都可以和主流的防火牆進行聯動，當NIDS監測到入侵行為時，就會通知防火牆動態地調整訪問策略，以後再出現類似的入侵行為，防火牆就可以將其阻斷在內部網絡之外。NIDS 可以設置在防火牆的前面或後面，由於防火牆和防毒牆可以過濾掉絕大部分的不安全數據包，因此通常將NIDS設置在內部網的最近點，減少NIDS的工作負載，保證NIDS 具有比較高的效率。 ^[2] 

局域網之間實現互聯，意味着雙方可以訪問對方網絡的所有資源，同時不能對對方人員的操作行為進行有效的管理。因此，安全措施的採取必須從這些方面入手，本着屏蔽內部網真實情況和滿足最低資源需求的原則，對可訪問網絡資源及可執行的操作進行控制。聯網雙方進行數據交換，不像網絡內部的應用，可以直接訪問數據庫，它的應用模式通常利用中間程序來響應客户端的操作請求，並由中間程序完成對後台數據庫中數據的操作。運行中間程序的計算機稱為數據前置機。因此，只要對方能夠訪問到數據前置機就能夠滿足應用的需求。作為內部網絡中的一台計算機，數據前置機的IP地址為私有地址，這個地址帶有內部網絡子網劃分等信息，不應該提供給外部，同時，要根據業務的需求對數據前置機的可訪問類型及服務進行限制，如HTTP、FTP等，對於只是數據往來的情況，允許的訪問類型可以設定為 UDP，並指定雙方預先約定的端口號。 ^[2] 

鑑於這些訪問限制，用户需要在網絡接入點處配置一台防火牆，並設置合理的訪問策略，主要操作如下:

1.在防火牆中插入一個屏蔽子網。這個屏蔽子網與內部網沒有任何關聯，防火牆的外網端口的 IP 地址包含在這個屏蔽子網中。通過防火牆的地址映射功能將數據前置機的 IP 地址映射為一個虛假的 IP 地址，這個 IP 地址包含在屏蔽子網中。外部網絡用户對前置機的訪問全部通過這個映射的 IP 地址實現。如數據前置機的真實 IP為10.100.100.1，映射後的地址為192.168.1.1，當外部網用 户 訪 問 1 9 2 . 1 6 8 . 1 . 1 時 ，防 火 牆 自 動 完 成 I P 的路由。這個過程對於外部用户來説是透明的，可以有效地屏蔽內部網絡的真實情況。

2.在防火牆中設置一條外部用户訪問內部網絡的策略。即只允許對映射數據前置機的IP 地址進行訪問，防火牆收到來自外部網的數據包，會檢查數據包中包含的目的地址信息，如果符合則允許數據包通過，否則，將其過濾掉。這個策略的設置對於外部網絡可訪問資源進行了最大程度的限制。 ^[2] 

3.設置防火牆允許的訪問類型和端口號。

聯網雙方的業務具有很強的針對性，類型很單一，針對應用的需求，在防火牆中開啓需要的服務類型，並指定雙方約定好的端口號，同時禁用其他端口號，這個設置可以有效限制外部用户對數據前置機的訪問。

除了採取防火牆措施外，為了加強兩個網絡間接入點的安全，可以在防火牆後面部署一台 NIDS，在連接防火牆的交換機中，將連接防火牆的端口鏡像到連接NIDS 的端口來監測是否存在入侵行為。由於出入這個接入點的數據流量相對較小，涉及到的網絡資源很有限，同時雙方在內部網絡中一般都部署了網絡防毒系統，通過這個接入點流入病毒的可能性較小，病毒的預防依靠內部局域網絡中的網絡防毒系統就可以了。 ^[2] 

為了便於內部員工的工作和生活，有些內部網絡能存在遠程撥號訪問接入點和小區網絡接入點，這些內部用户對網絡資源的需求比較大，對於這些接入點的安全，不太適合採用防火牆等強制訪問控制措施，我們可以利用網絡設備本身的一些訪問控制功能進行限制。如利用遠程撥號訪問服務器的電話綁定、身份認證等功能對遠程訪問用户進行限制;利用VLAN技術將小區網絡劃歸到一個獨立的子網中，並設置IP過濾將超出訪問權限的數據包過濾掉等等。這樣既可以滿足小區用户對網絡資源的需求，又可以對其訪問行為進行一定的限制。如果條件允許的話，還可以在這些接入點處設置NIDS。 ^[2] 

現在，我們給出一個典型的內部局域網絡接入點的安全模型，以供用户參考。其中1代表 Internet 接入點的安全設置，2 代表 2 個局域網絡接入點的安全設置，3 代表遠程撥號訪問和小區網絡接入的安全設置。

綜上所述，在對待內部網安全的問題上，首先要針對網絡接入點存在的安全隱患採取最有效的安全措施進行防範，建立一套全面的安全體系。只有加強接入點的安全，才能為內部網的安全穩定運行奠定基礎。 ^[2]