確保網路的安全:識別 SMB 網路周邊

Overview

發佈日期: 2003 年 5 月 22 日 | 更新日期: 2006 年 4 月 13 日

本頁內容

簡介
開始之前
識別並說明靜態主機與動態主機的特性
列出被視為是周邊裝置的主機
定義網路的周邊
相關資訊

簡介

每個網路均有通往網際網路的周邊 (閘道)。這些周邊有助於改善企業流程與管理網際網路的活動,雖然每一種周邊都不相同,但均需受到謹慎的保護,因為它們都是可以公開操作的重要區域。公司是否設定連結到網際網路的專線,是很明顯的區別點,但多數網路均有其他需要辨識的周邊:例如:網站對網站的 VPN 連線。周邊裝置的基本定義是指:在兩個網路之間執行路由傳送封包的任何裝置,如:防火牆、路由器及交換器等。其他可能的周邊應用裝置的定義是指:可以提供網路存取的任何裝置,如:USB 磁碟機、用戶端及伺服器等,它們並不在網路之間執行路由傳送封包,而是使這些周邊延伸至更多的用戶端。雖然在本文中提及:這些裝置和以網路功能為主的周邊裝置不同,但公司確實需要加以重視。

要設計最佳化的網路,安全性必須是主要的考量。像有不安全周邊裝置這樣無法被辨識的周邊網路暴露事件發生時,可能會危及您的企業網路。完整的網路安全性解決方案,必須具有正式的驗證、授權、機密性、可用性與完整性功能的量值,以降低非法入侵的可能性。這些量值通常包括:加密、憑證、目錄、網路及其他安全性元件。如果無法保護您的網路,將產生財務及法律上的嚴重影響。

周邊的安全性向來是由周邊裝置所提供,例如:防火牆能夠偵測封包及工作階段,決定是否應該允許使用者存取受到保護的網路,或者直接使其結束連線。事實上,防火牆已經成為網路存取的單一點,使用防火牆指令碼可以分析並控制流量,而這些指令碼具有定義應用程式、位址及使用者參數的功能。這些指令碼有助於保護通往外部網路或資料中心的連結路徑。

識別每個網路擁有的周邊,或者是提供網路存取功能的可能周邊,有助於增強網路整體的安全性。定義網路周邊的程序為:先定義網路上的所有主機類型,包括靜態主機與動態 (臨時) 主機在內;辨識完網路上的所有主機之後,接著再各別描述每個主機的特性,決定是否將其視為周邊裝置。將每個周邊裝置的定義視為網路周邊的一部份。本文使用典型的中小型企業 (Small to Medium Business,SMB) 網路設計,提供一套範本將周邊裝置列入目錄清單並描述其特性。

您必須決定目前您的企業網路正在使用的所有周邊裝置,以及有哪些裝置可以在未來隨時動態地加入網路,例如:虛擬私人網路 (Virtual Private Network,VPN) 用戶端。識別公司所有的周邊裝置之後,即可建立一個邏輯與實體的的網路圖表,為網路周邊制訂較佳的定義。本文下列章節將協助您:

  • 識別並描述靜態主機與動態主機的特性。

  • 列出被視為周邊裝置的主機清單。

  • 定義網路周邊。


開始之前

瞭解一個典型的中小型企業 (SMB) 網路、SMB 網路如何連線至網際網路或任何其他第三者的網路,可以協助您更加瞭解網路周邊、以及如何識別周邊裝置。下圖說明典型的中小型企業網路的外觀,圖中的裝置與主機均以公司內部實體周邊為例所繪製。一旦提到公司的實體周邊,本文均以此圖作為範例。

SMB 網路:公司實體周邊所具有的各式裝置與主機

SMB 網路:公司實體周邊所具有的各式裝置與主機

當您分析本文所列舉的各種狀況時,很明顯地,位於網際網路前面的防火牆並非唯一的周邊裝置。網路內部有很多的裝置需要定義及維護,它們有可能是周邊裝置,但卻未必是合乎前文中所提及之基本定義的周邊裝置。使用者可以從數個不同的存取點和網際網路連線,並且接收動態指定的網際網路通訊協定 (Internet Protocol,IP),這不僅適用於有線或無線網路的工作區域中,即使外出旅行時也能連線。一個 IP 位址只單獨識別一台主機 (電腦),此一主機可以和網際網路連線或者和其他的網際網路主機連線。行動裝置的使用者可以使用下列數種服務提供者 (Service Provider,SP) 和網際網路連線:網際網路服務提供者 (Internet Service Provider,ISP)、行動電話服務提供者,或者透過公共的無線存取點 (Access Point,AP)。公司實體環境以外的其他周邊裝置,對 SMB 而言,則無從瞭解與管理。您所能瞭解的只有屬於您自己及用戶端的周邊裝置,或者屬於您所知的可能用戶端的周邊。

下圖說明一個典型的中小企業網路如何與其他互通的網路連線。本圖也顯示其他可能的連接裝置的範例,可作為識別企業網路的周邊裝置的考量。

SMB 網路與其他網路的關係

SMB 網路與其他網路的關係

識別周邊裝置

識別目前有哪些周邊裝置,以及網路周邊的外觀,對很多公司而言是個挑戰。周邊裝置是指:在兩個網路之間執行路由傳送封包的任何裝置,例如,防火牆、路由器及交換器等。其他可能的周邊應用裝置的定義是指:可以提供網路存取的任何裝置,例如:USB磁碟機、用戶端及伺服器等,它們並不執行網路之間的路由傳送封包,而是使這些周邊延伸至更多的用戶端。主機是提供資訊給其他電腦的任何電腦。節點是直接附加在網路上的任何一項設備,例如:電腦、路由器、防火牆或其他網路裝置。本文各章節討論到識別任何可能的周邊裝置時,均將使用「主機」這個名詞。以下概括列出可能的周邊裝置與周邊應用裝置,以及他們被視為周邊裝置的原因:

  • 網路硬體裝置:這些裝置之所以會被視為周邊裝置,乃是因為它們位於網路的基礎結構中。包括,路由器、防火牆、數據機及無線集線器等。如果其中任何一項裝置,可以同時存取外部網路以及內部網路的任何一部份,就會被視為是周邊裝置。

  • 伺服器:這些裝置可被視為周邊裝置,乃是因為它們具有網際網路及內部網路的連線能力。例如:任何伺服器如果和網際網路及內部網路均能相通,而且具有多重主目錄,就會被視為是周邊裝置。這些裝置也包括:透過外部網路連接至內部網路的遠端伺服器,因為這些伺服器有能力開啟通往網路的閘道。

  • 用戶端:這些裝置可被視為周邊裝置,乃是因為它們與網際網路及內部網路的連線能力。例如:任何伺服器如果和網際網路及內部網路均能相通,而且具有多重主目錄,就會被視為是周邊裝置。這也包括透過外部網路連接至內部網路的遠距用戶端,因為這些用戶端可以使用某項本文中未提到的進階組態,開啟通往網路的出口。

如果您將伺服器及用戶端視為可能的周邊裝置,就必須考慮要在電腦上安裝何種作業系統、服務與應用軟體,以及要如何設定組態。這些特性決定了系統是否能將可信賴的內部網路暴露於外部網路。例如:一台電腦如果安裝了可以提供各式網路服務、連線服務、網際網路驗證服務功能 (例如:HTTP、HTTPS、FTP、SMTP 等等) 的作業系統,就可以被視為是一種周邊裝置。

識別並說明靜態主機與動態主機的特性

在網路中識別周邊裝置之前,您首先必須將目前的裝置詳列清單。一旦完成現有裝置的清單列表,接著再描述所發現到的特性。這項工作包括:識別網路中每個靜態與動態主機,以及記載它們的每一個特性。靜態主機是永遠附加在網路上,其網路特性與整體的系統組態也很少變更。靜態主機的例子有:防火牆、伺服器及桌上型電腦等。動態主機則是一種暫時的附加裝置,隨時視使用者或服務的需求進行連線或離線。動態主機的例子有:遠距 VPN 用戶端、遠端辦公室資料庫同步處理及無線膝上型電腦等。一旦識別出實體周邊的所有主機,接著就可以記載並分析它們所有的特性。

以下概括列出您必須蒐集的資訊,以便於識別每種主機的特性:

  • 作業系統 (例如:Windows® Server™ 2003 或 Windows® XP)

  • 主機類型 (例如:個人電腦、網路硬體或筆記型電腦)

  • 主機名稱 (例如:XPmachine0 或 ISAserver0)

  • 安裝的應用程式與軟體 (例如:Exchange、SQL、Office)

  • 安裝的 Windows 元件 (例如:IIS、ASP.NET 及 POP3 Service)


列出被視為是周邊裝置的主機

定義網路周邊時,決定哪些主機是周邊裝置,是一項很重要的步驟。然而,您也必須決定哪些主機屬於靜態,哪些主機則是屬於動態。

在網路中建立靜態主機清單

從您目前的網路所具有的靜態主機中獲取資訊,使您得以建立這些主機的清單。靜態主機是一種主機或網路裝置,並不會在使用結束之後即中斷網路連線。SMB 的規模大小,會影響您決定究竟要選擇何種方法,才能從靜態主機中獲取資訊。您可以使用人工的方法、自動的方法,或者二者並用,來蒐集資訊。多數 SMB 公司選用人工的方法來蒐集資訊,因為他們缺乏使用自動的應用程式的資源。將蒐集的資料加以整合,可用來確認清單的效度。以下概括列出幾種不同的方法:

  • 人工的方法:您可以在本機存取每個靜態主機,或者,如果有的話,也可以透過終端機服務來存取;然後就可以在主機的使用者介面中蒐集資訊。您必須針對多數的網路裝置 (例如:防火牆及路由器) 逐一蒐集資料,尤其是,如果他們並非在一台 Windows 主機上執行服務的網路裝置,例如:Internet Security and Acceleration (ISA) 或路由及遠端存取伺服器 (RRAS)。您可以使用相同的方法,從一台固定的 Windows 主機中蒐集資訊。

  • 自動的方法:許多公司提供蒐集主機清單的應用程式及服務,可以自動地列出網路中的所有主機目錄清單。例如:Microsoft SMS 2003,正提供了這種應用程式及服務。有些公司會撰寫一支登入指令碼或小的程式碼,在登入的時候同時取得所需的資訊,並將它儲存在某個目錄服務中。多數 SMB 公司並沒有這種撰寫指令碼的資源可運用,故而採行人工的方法。

組織蒐集到的資源

下表概略說明在 SMB 網路的範例中,所識別的裝置。

靜態主機及特性表

主機名稱

作業系統

主機類型

應用程式與軟體

Windows 元件

Router01

Cisco IOS

網路路由器 Cisco 2500

沒有與主機相關的應用程式或軟體

沒有與主機相關的 Windows 元件

ISA Server-01

Windows Server 2000

電腦的防火牆與 VPN 伺服器

ISA Server 2000

沒有與主機相關的 Windows 元件

IIS Server-01

Windows Server 2003

電腦的網頁伺服器

沒有與主機相關的應用程式或軟體

IIS、ASP.NET、COM+

SQL Server-01

Windows Server 2003

電腦的資料庫伺服器

SQL Server 2000 標準版

沒有與主機相關的 Windows 元件

Exchange-01

Windows Server 2003

電腦的電子郵件伺服器

Exchange 2003

沒有與主機相關的 Windows 元件

DC-01

Windows Server 2003

電腦的網域控制站

沒有與主機相關的應用程式或軟體

DHCP、DNS、WINS

Wireless-01

Linksys OS

網路無線 AP 集線器

沒有與主機相關的應用程式或軟體

DHCP

眾多的靜態用戶端

Windows XP 商用版

桌上型電腦

Office 2003

沒有與主機相關的 Windows 元件


蒐集完資訊之後,您必須決定有哪些主機可以被視為是周邊裝置。前面所列出來的所有主機,在您的網路中均有必要被標示為可能的周邊裝置。所有的主機均具有軟體及硬體能力對使用者群提供服務,主機的服務必須像對等式網路共享一樣簡單。網路管理人員所設計及執行的安全性原則,將有助於保護您的周邊裝置。針對這些主機,系統管理員應該研究這些特定產品的安全性指南,瞭解有哪些部分已安裝於主機上,並且能夠應用這些必要的安全性設定。

在網路中建立動態主機清單

動態主機是一種暫時附加的主機或網路裝置,在使用結束後立即中斷連線,例如:遠端使用者與行動電腦。經常從網路中離線的伺服器 (稱為「惡意」伺服器),也可以被視為是動態主機。這是一種站台對站台的情況,例如:從分公司連線或從住家連上網路。這類主機通常是已取得驗證的人員,才能遠端存取某個內部網路。動態主機要花很長一段過程,才能讓未經過驗證的使用者進行遠端存取。蒐集有關動態主機的資訊,遠比蒐集靜態組織資訊來得困難許多,因為他們並非永遠附掛在網路上,而且特性也經常改變。瞭解何種類型的動態主機可以存取您的網路,比哪一台動態主機正在存取您的網路要來得重要。然而,知道哪一台可能的動態主機正在存取您的網路,還是有好處的。下表概略說明可能會影響 SMB 網路的動態主機。

SMB 網路:包含所有靜態主機與可能的動態主機

SMB 網路:包含所有靜態主機與可能的動態主機

下表列出在 SMB 網路範例中被識別到的動態網路,以及他們如何存取網路的方法。

動態主機類型

主機類型

作業系統

存取方法

漫遊的電腦

- Windows- 其他

直接以無線連接至銜接站與 SMB 實體周邊的內部網路

遠端使用者

- Windows- 其他

直接連接 VPN 到內部的 VPN 伺服器

無線用戶端

- 膝上型電腦- PDA- 行動電話

無線連接至內部的無線 AP

遠端辦公室

- Windows- 其他

直接連接 VPN 到內部的 VPN 伺服器

識別被視為周邊裝置的主機

下表列出被識別為周邊裝置的主機,並且說明每一個主機被視為是周邊裝置的原因。

被視為周邊裝置的主機

主機名稱或項目

說明

被視為周邊裝置的原因?

Router -01

網路路由器

從網際網路的主要網路存取點

Firewall-01

網路防火牆 / VPN 伺服器

從網際網路的主要網路存取點

Wireless01

網路實體周邊內的無線存取點

廣播無線存取點至內部網路

行動電腦

使用者視需要以膝上型電腦或個人電腦連接至網路,或隨時停止連線

每次連線時,可能會將新的服務或應用程式引進網路

遠端使用者

任何從住家、飯店、或其他第三地,連線至網路的使用者

每次連線時,可能會將新的服務或應用程式引進網路


定義網路的周邊

完成前面章節所提及之網路主機分析之後,您可以畫一張周邊網路的邏輯圖表,如下圖所示:網路的周邊成為成為主機裝置的邏輯對應圖。幾乎每一個網路元件,在某些方面都成為相關的周邊,對整個網路定期執行正式的審核,是協助追蹤網路周邊一項很有效的方法。

以邏輯觀點檢視 SMB 網路範例中的周邊裝置

以邏輯觀點檢視SMB 網路範例中的周邊裝置

相關資訊

如需更多有關安全性的詳細資訊,請參閱下列相關文件:


顯示: