確保網路的安全:識別 SMB 網路周邊
Overview
發佈日期: 2003 年 5 月 22 日 | 更新日期: 2006 年 4 月 13 日
本頁內容
簡介
開始之前
識別並說明靜態主機與動態主機的特性
列出被視為是周邊裝置的主機
定義網路的周邊
相關資訊
簡介
每個網路均有通往網際網路的周邊 (閘道)。這些周邊有助於改善企業流程與管理網際網路的活動,雖然每一種周邊都不相同,但均需受到謹慎的保護,因為它們都是可以公開操作的重要區域。公司是否設定連結到網際網路的專線,是很明顯的區別點,但多數網路均有其他需要辨識的周邊:例如:網站對網站的 VPN 連線。周邊裝置的基本定義是指:在兩個網路之間執行路由傳送封包的任何裝置,如:防火牆、路由器及交換器等。其他可能的周邊應用裝置的定義是指:可以提供網路存取的任何裝置,如:USB 磁碟機、用戶端及伺服器等,它們並不在網路之間執行路由傳送封包,而是使這些周邊延伸至更多的用戶端。雖然在本文中提及:這些裝置和以網路功能為主的周邊裝置不同,但公司確實需要加以重視。
要設計最佳化的網路,安全性必須是主要的考量。像有不安全周邊裝置這樣無法被辨識的周邊網路暴露事件發生時,可能會危及您的企業網路。完整的網路安全性解決方案,必須具有正式的驗證、授權、機密性、可用性與完整性功能的量值,以降低非法入侵的可能性。這些量值通常包括:加密、憑證、目錄、網路及其他安全性元件。如果無法保護您的網路,將產生財務及法律上的嚴重影響。
周邊的安全性向來是由周邊裝置所提供,例如:防火牆能夠偵測封包及工作階段,決定是否應該允許使用者存取受到保護的網路,或者直接使其結束連線。事實上,防火牆已經成為網路存取的單一點,使用防火牆指令碼可以分析並控制流量,而這些指令碼具有定義應用程式、位址及使用者參數的功能。這些指令碼有助於保護通往外部網路或資料中心的連結路徑。
識別每個網路擁有的周邊,或者是提供網路存取功能的可能周邊,有助於增強網路整體的安全性。定義網路周邊的程序為:先定義網路上的所有主機類型,包括靜態主機與動態 (臨時) 主機在內;辨識完網路上的所有主機之後,接著再各別描述每個主機的特性,決定是否將其視為周邊裝置。將每個周邊裝置的定義視為網路周邊的一部份。本文使用典型的中小型企業 (Small to Medium Business,SMB) 網路設計,提供一套範本將周邊裝置列入目錄清單並描述其特性。
您必須決定目前您的企業網路正在使用的所有周邊裝置,以及有哪些裝置可以在未來隨時動態地加入網路,例如:虛擬私人網路 (Virtual Private Network,VPN) 用戶端。識別公司所有的周邊裝置之後,即可建立一個邏輯與實體的的網路圖表,為網路周邊制訂較佳的定義。本文下列章節將協助您:
識別並描述靜態主機與動態主機的特性。
列出被視為周邊裝置的主機清單。
定義網路周邊。
開始之前
瞭解一個典型的中小型企業 (SMB) 網路、SMB 網路如何連線至網際網路或任何其他第三者的網路,可以協助您更加瞭解網路周邊、以及如何識別周邊裝置。下圖說明典型的中小型企業網路的外觀,圖中的裝置與主機均以公司內部實體周邊為例所繪製。一旦提到公司的實體周邊,本文均以此圖作為範例。
SMB 網路:公司實體周邊所具有的各式裝置與主機
當您分析本文所列舉的各種狀況時,很明顯地,位於網際網路前面的防火牆並非唯一的周邊裝置。網路內部有很多的裝置需要定義及維護,它們有可能是周邊裝置,但卻未必是合乎前文中所提及之基本定義的周邊裝置。使用者可以從數個不同的存取點和網際網路連線,並且接收動態指定的網際網路通訊協定 (Internet Protocol,IP),這不僅適用於有線或無線網路的工作區域中,即使外出旅行時也能連線。一個 IP 位址只單獨識別一台主機 (電腦),此一主機可以和網際網路連線或者和其他的網際網路主機連線。行動裝置的使用者可以使用下列數種服務提供者 (Service Provider,SP) 和網際網路連線:網際網路服務提供者 (Internet Service Provider,ISP)、行動電話服務提供者,或者透過公共的無線存取點 (Access Point,AP)。公司實體環境以外的其他周邊裝置,對 SMB 而言,則無從瞭解與管理。您所能瞭解的只有屬於您自己及用戶端的周邊裝置,或者屬於您所知的可能用戶端的周邊。
下圖說明一個典型的中小企業網路如何與其他互通的網路連線。本圖也顯示其他可能的連接裝置的範例,可作為識別企業網路的周邊裝置的考量。
SMB 網路與其他網路的關係
識別周邊裝置
識別目前有哪些周邊裝置,以及網路周邊的外觀,對很多公司而言是個挑戰。周邊裝置是指:在兩個網路之間執行路由傳送封包的任何裝置,例如,防火牆、路由器及交換器等。其他可能的周邊應用裝置的定義是指:可以提供網路存取的任何裝置,例如:USB磁碟機、用戶端及伺服器等,它們並不執行網路之間的路由傳送封包,而是使這些周邊延伸至更多的用戶端。主機是提供資訊給其他電腦的任何電腦。節點是直接附加在網路上的任何一項設備,例如:電腦、路由器、防火牆或其他網路裝置。本文各章節討論到識別任何可能的周邊裝置時,均將使用「主機」這個名詞。以下概括列出可能的周邊裝置與周邊應用裝置,以及他們被視為周邊裝置的原因:
**網路硬體裝置:**這些裝置之所以會被視為周邊裝置,乃是因為它們位於網路的基礎結構中。包括,路由器、防火牆、數據機及無線集線器等。如果其中任何一項裝置,可以同時存取外部網路以及內部網路的任何一部份,就會被視為是周邊裝置。
**伺服器:**這些裝置可被視為周邊裝置,乃是因為它們具有網際網路及內部網路的連線能力。例如:任何伺服器如果和網際網路及內部網路均能相通,而且具有多重主目錄,就會被視為是周邊裝置。這些裝置也包括:透過外部網路連接至內部網路的遠端伺服器,因為這些伺服器有能力開啟通往網路的閘道。
**用戶端:**這些裝置可被視為周邊裝置,乃是因為它們與網際網路及內部網路的連線能力。例如:任何伺服器如果和網際網路及內部網路均能相通,而且具有多重主目錄,就會被視為是周邊裝置。這也包括透過外部網路連接至內部網路的遠距用戶端,因為這些用戶端可以使用某項本文中未提到的進階組態,開啟通往網路的出口。
如果您將伺服器及用戶端視為可能的周邊裝置,就必須考慮要在電腦上安裝何種作業系統、服務與應用軟體,以及要如何設定組態。這些特性決定了系統是否能將可信賴的內部網路暴露於外部網路。例如:一台電腦如果安裝了可以提供各式網路服務、連線服務、網際網路驗證服務功能 (例如:HTTP、HTTPS、FTP、SMTP 等等) 的作業系統,就可以被視為是一種周邊裝置。
識別並說明靜態主機與動態主機的特性
在網路中識別周邊裝置之前,您首先必須將目前的裝置詳列清單。一旦完成現有裝置的清單列表,接著再描述所發現到的特性。這項工作包括:識別網路中每個靜態與動態主機,以及記載它們的每一個特性。靜態主機是永遠附加在網路上,其網路特性與整體的系統組態也很少變更。靜態主機的例子有:防火牆、伺服器及桌上型電腦等。動態主機則是一種暫時的附加裝置,隨時視使用者或服務的需求進行連線或離線。動態主機的例子有:遠距 VPN 用戶端、遠端辦公室資料庫同步處理及無線膝上型電腦等。一旦識別出實體周邊的所有主機,接著就可以記載並分析它們所有的特性。
以下概括列出您必須蒐集的資訊,以便於識別每種主機的特性:
作業系統 (例如:Windows® Server™ 2003 或 Windows® XP)
主機類型 (例如:個人電腦、網路硬體或筆記型電腦)
主機名稱 (例如:XPmachine0 或 ISAserver0)
安裝的應用程式與軟體 (例如:Exchange、SQL、Office)
安裝的 Windows 元件 (例如:IIS、ASP.NET 及 POP3 Service)
列出被視為是周邊裝置的主機
定義網路周邊時,決定哪些主機是周邊裝置,是一項很重要的步驟。然而,您也必須決定哪些主機屬於靜態,哪些主機則是屬於動態。
在網路中建立靜態主機清單
從您目前的網路所具有的靜態主機中獲取資訊,使您得以建立這些主機的清單。靜態主機是一種主機或網路裝置,並不會在使用結束之後即中斷網路連線。SMB 的規模大小,會影響您決定究竟要選擇何種方法,才能從靜態主機中獲取資訊。您可以使用人工的方法、自動的方法,或者二者並用,來蒐集資訊。多數 SMB 公司選用人工的方法來蒐集資訊,因為他們缺乏使用自動的應用程式的資源。將蒐集的資料加以整合,可用來確認清單的效度。以下概括列出幾種不同的方法:
**人工的方法:**您可以在本機存取每個靜態主機,或者,如果有的話,也可以透過終端機服務來存取;然後就可以在主機的使用者介面中蒐集資訊。您必須針對多數的網路裝置 (例如:防火牆及路由器) 逐一蒐集資料,尤其是,如果他們並非在一台 Windows 主機上執行服務的網路裝置,例如:Internet Security and Acceleration (ISA) 或路由及遠端存取伺服器 (RRAS)。您可以使用相同的方法,從一台固定的 Windows 主機中蒐集資訊。
**自動的方法:**許多公司提供蒐集主機清單的應用程式及服務,可以自動地列出網路中的所有主機目錄清單。例如:Microsoft SMS 2003,正提供了這種應用程式及服務。有些公司會撰寫一支登入指令碼或小的程式碼,在登入的時候同時取得所需的資訊,並將它儲存在某個目錄服務中。多數 SMB 公司並沒有這種撰寫指令碼的資源可運用,故而採行人工的方法。
組織蒐集到的資源
下表概略說明在 SMB 網路的範例中,所識別的裝置。
靜態主機及特性表
主機名稱 | 作業系統 | 主機類型 | 應用程式與軟體 | Windows 元件 |
---|---|---|---|---|
Router01 | Cisco IOS | 網路路由器 Cisco 2500 | 沒有與主機相關的應用程式或軟體 | 沒有與主機相關的 Windows 元件 |
ISA Server-01 | Windows Server 2000 | 電腦的防火牆與 VPN 伺服器 | ISA Server 2000 | 沒有與主機相關的 Windows 元件 |
IIS Server-01 | Windows Server 2003 | 電腦的網頁伺服器 | 沒有與主機相關的應用程式或軟體 | IIS、ASP.NET、COM+ |
SQL Server-01 | Windows Server 2003 | 電腦的資料庫伺服器 | SQL Server 2000 標準版 | 沒有與主機相關的 Windows 元件 |
Exchange-01 | Windows Server 2003 | 電腦的電子郵件伺服器 | Exchange 2003 | 沒有與主機相關的 Windows 元件 |
DC-01 | Windows Server 2003 | 電腦的網域控制站 | 沒有與主機相關的應用程式或軟體 | DHCP、DNS、WINS |
Wireless-01 | Linksys OS | 網路無線 AP 集線器 | 沒有與主機相關的應用程式或軟體 | DHCP |
眾多的靜態用戶端 | Windows XP 商用版 | 桌上型電腦 | Office 2003 | 沒有與主機相關的 Windows 元件 |
主機類型 | 作業系統 | 存取方法 |
---|---|---|
漫遊的電腦 | - Windows- 其他 | 直接以無線連接至銜接站與 SMB 實體周邊的內部網路 |
遠端使用者 | - Windows- 其他 | 直接連接 VPN 到內部的 VPN 伺服器 |
無線用戶端 | - 膝上型電腦- PDA- 行動電話 | 無線連接至內部的無線 AP |
遠端辦公室 | - Windows- 其他 | 直接連接 VPN 到內部的 VPN 伺服器 |
主機名稱或項目 | 說明 | 被視為周邊裝置的原因? |
---|---|---|
Router -01 | 網路路由器 | 從網際網路的主要網路存取點 |
Firewall-01 | 網路防火牆 / VPN 伺服器 | 從網際網路的主要網路存取點 |
Wireless01 | 網路實體周邊內的無線存取點 | 廣播無線存取點至內部網路 |
行動電腦 | 使用者視需要以膝上型電腦或個人電腦連接至網路,或隨時停止連線 | 每次連線時,可能會將新的服務或應用程式引進網路 |
遠端使用者 | 任何從住家、飯店、或其他第三地,連線至網路的使用者 | 每次連線時,可能會將新的服務或應用程式引進網路 |