本文我将复盘网安布防行动。
已知某公司网络环境结构主要由三个部分组成,分别是DMZ区、内网办公区和生产区,其拓扑结构如图1-1所示。信息安全部的我正在按照等级保护2.0的要求对部分业务系统开展安全配置。
图1-1当中,网站服务器的IP地址是192.168.70.140,数据库服务器的IP地址是192.168.70.141,信息安全部计算机所在网段为192.168.11.1/24,我所使用的办公电脑IP地址为192.168.11.2/24。
物理隔离
为了防止生产网受到外部的网络安全威胁,安全策略要求生产网和其他网之间部署安全隔离装置,隔离强度达到接近物理隔离。图中X代表的安全设备是网闸。
防火墙防御体系结构
防火墙是网络安全区域边界保护的重要技术,防火墙防御体系结构主要有基于双宿主主机防火墙、基于代理型防火墙和基于屏蔽子网的防火墙。
图1-1拓扑图中的防火墙布局属于 基于屏蔽子网的防火墙
网络安全四道防线
通常网络安全需要建立四道防线,
第一道是保护,阻止网络入侵。拓扑图1-1中防火墙1属于第一道防线
第二道是监测,及时发现入侵和破坏。
第三道是响应,攻击发生时确保网络打不垮。
第四道是恢复,使网络在遭受攻击时能以最快速度起死回生。
iptables防火墙
图1-1中防火墙1和防火墙2都采用Ubuntu系统自带的iptables防火墙,其默认的过滤规则如下所示
Chain INPUT(policy ACCEPT)
Target prot opt source destination
Chain FORWARD (policy ACCEPT)
Target prot opt source destination
Chain OUTPUT (policy ACCEPT)
Target prot opt source destination
- 上述防火墙采取的是黑名单安全策略
- 该过滤规则是iptables filter表的信息。
- 如果要设置 iptables 防火墙默认不允许任何数据包进入,命令如下
iptables -P INPUT DROP
DMZ 区
DMZ 区的网站服务器是允许互联网进行访问的,为了实现这个目标,我需要对防火墙1和防火墙2进行有效配置。同时我还需要通过防火墙2对网站服务器和数据库服务器进行日常运维。
- 防火墙1应该允许 80 443 端口通过。
- 防火墙1上实现互联网只能访问网站服务器的iptables 过滤规则如下
iptables -A INPUT -p tcp --dport 80,443 -j ACCEPT
- 为了通过SSH协议远程运维DMZ区中的服务器,防火墙2的iptables滤规则如下
iptables -A INPUT -p tcp -s 192.168.11.2 --dport 22 -j ACCEPT
