本章介绍了如何使用IPsec与组策略实现服务器和域隔离,以提高网络安全。内容涵盖了先决条件、目标读者、业务需求、受信任计算机的定义、IPsec与SSL/TLS的比较,以及部署隔离解决方案的步骤。该解决方案旨在通过受信任主机的身份验证、主机授权和IPsec策略,降低不受信任计算机对受信任资源的访问风险,增强纵深防御,同时提供端到端的通信流保护。
自广泛使用局域网 (LAN) 以来,信息技术 (IT) 专业人员就一直努力在维护足够的安全性的同时提供具有还原功能、高可用性的服务。 已引进许多不同的技术与 TCP/IP 配合使用以期解决在网络和传输层上实施安全时出现的问题。 这些技术包括 IPv6、802.1、网络交换机、虚拟 LAN (VLAN) 分段、Internet 协议安全 (IPsec) 等。
引进这些技术时会无意间对网络安全采用多层次方法。 这些层可用于将一个或多个主机或网络与其他主机或网络分隔、分段或隔离。 本章的目的是组织 IPsec 针对其他层提供的安全层,并解释如何在解决方案中将它与组策略配合使用,从而以可管理和可扩展的方式在企业级环境中实现隔离。
本页内容
 |
本章先决条件 |
|
本章的目标读者 |
|
业务需求 |
|
标识受信任计算机 |
|
服务器和域隔离是如何适用于总体网络安全战略的? |
|
术语复习 |
|
如何实现服务器和域隔离? |
|
服务器和域隔离防御的是什么? |
|
如何部署服务器和域隔离? |
|
总结 |
本章先决条件
使用本章提供的信息之前,应完全熟悉下列概念和技术。 虽然不符合这些先决条件也可能会从本指南中获益,但如果符合所有这些先决条件,则更容易实施成功。
预备知识
需要熟悉 Microsoft® Windows Server™ 2003 的以下方面:
| • | Active Directory® 目录服务概念,包括 Active Directory 结构和工具;操纵用户、组和其他 Active Directory 对象;以及组策略的使用。 |
| • | 身份验证概念,包括使用 Kerberos V5 协议和公钥基础结构 (PKI)。 |
| • | Microsoft Windows® 系统安全;安全概念,如用户、组、审核和访问控制表 (ACL);使用安全模板;相互身份验证概念;标准名称解析方法和概念,如域名系统 (DNS) 和 Windows Internet 命名服务 (WINS);标准 Windows 诊断工具和故障排除概念;以及使用组策略或命令行工具应用安全模板。 |
| • | 了解 TCP/IP 概念,包括子网布局、网络屏蔽和路由。 还需了解一些低级别的功能、协议和术语,如 Internet 控制消息协议 (ICMP)、地址解析协议 (ARP) 和最大传输单位 (MTU)。 |
| • | 了解安全风险管理规则。 注:Windows Server 2003 部署工具包的第 6 章“部署 IPsec”中所讨论的 IPsec 传输模式的某些方案当时未建议采用。 但是,Microsoft 本身已在其内部部署 IPsec 并同时提供了附加的指导,这意味着现在可以使用这些方案。 |
组织先决条件
规划组织的安全性不可能是某一个人的责任。 确定组织的准确要求所需的信息通常来自组织中的多个来源。 应咨询组织中其他人员的意见,他们可能需要参与隔离规划,包括扮演下列角色的人:
| • | 公司所有者 |
| • | 用户组代表 |
| • | 安全和审核人员 |
| • | 风险管理组 |
| • | Active Directory 工程、管理和操作人员 |
| • | DNS、Web 服务器以及网络工程、管理和操作人员 注:根据 IT 组织结构的不同,这些角色可能由几个不同的人担当,或有较少的人跨越几个角色。 |
服务器和域隔离项目的范围要求整个组都了解业务需求、技术问题、对用户的影响和整个项目过程。 需要进行广泛输入时,有可担当此项目的主要联系人的资深人士是很有益的,如支持人员或在部署中会受影响的用户。 在复杂项目中出现问题的两个主要原因是规划不好和通信差。 项目小组必须了解这些潜在的风险并确保已采取措施对其缓解。
本章的目标读者
本章是针对负责为组织设计自定义的服务器和域隔离解决方案的技术决策者和技术架构师而编写的。 要从本章获益最大,需要从技术上了解所采用的技术和组织的当前基础结构。
业务需求
组织的业务需求应推动本解决方案,了解这一点是很重要的。 隔离定义为将一台或多台计算机从其他计算机的网络通信中进行逻辑或物理分离。 安全限制将始终影响组织内员工的日常操作。 作为本解决方案的一部分进行的更改将改变域中的计算机之间相互通信以及与不受信任计算机通信的方式。 本解决方案要求项目小组花时间规划和调查项目的可行性,还要求培训 IT 支持人员,以及至少提供具有职员最低意识的项目。 为网络通信流提供的附加安全服务在某些情况下可能还包括附加的服务器内存或硬件加速网卡。 并且可能还需提供其他的解决方案来完成相同或类似的隔离目标。 因此,访问本解决方案打算提供给企业的货币价值是很重要的。
确保遵守法规
随着越来越多的个人信息存储在计算机中,数据保密也越来越重要。 控制对客户和员工信息的访问不再仅仅是良好的商业行为。 根据所在国家的本地法律,无法保护机密信息的组织需追究其主要的财务和法律责任。 例如,在美国运作的组织可能需要满足下列一个或多个法规:
| • | 联邦信息安全管理法案 (FISMA) |
| • | Sarbanes-Oxley 上市公司会计改革和投资人保护法 |
| • | Gramm-Leach-Bliley 金融服务现代化法案 (GLBA) |
| • | 健康保险流通与责任法案 (HIPAA) |
HIPAA 包含一个安全规则,此规则详述了有关保健组织如何处理电子个人保健信息 (ePHI) 的严格指南。 虽然 HIPAA 要求或建议不使用特定技术,但规定了遵守法规所必需的能力及如何缓解 ePHI 泄密的风险。 应对域或服务器隔离与 IPsec 保护配合使用进行评估,以此作为一种技术保护来帮助满足下列 HIPAA 各部分的要求:
| • | 访问控制 164.312(a)(1),通过使用组策略授权保护对受信任计算机的入站网络访问并使用加密以防止 EPHI 在网络通信流中泄密。 |
| • | 审核控制 164.312(b),通过审核哪些计算机相互通信。 |
| • | 完整性 164.312(c)(1),通过将对带有 ePHI 的计算机进行入站网络访问限制为仅对经授权和受信任的计算机及用户的特定小组进行入站网络访问。 同时,通过为应用程序连接中的所有网络数据包提供完整性和真实性来阻止在网络传输中更改 ePHI。 |
| • | 个人或实体身份验证 164.312(d),通过要求对受信任计算机进行身份验证和授权以便对其他受信任计算机进行入站网络访问。 |
| • | 传输安全性 164.312(e)(1),通过提供真实性、完整性和加密。 |
通常,通过使用安全套接字层 (SSL) 和传输层安全 (TLS) 可满足这些要求。 例如,应用程序可将 Microsoft .NET 技术与 SSL/TLS 配合使用以帮助符合 HIPAA 安全法规。 有关详细信息,请参阅白皮书“Healthcare Without Boundaries: Integration
Technology for the New Healthcare Economy”,网址为 www.microsoft.com/Resources/Healthcare/
HealthcareEconomy.aspx。
但应用程序通信必须正确地集成 SSL/TLS 用法和算法控制。 IPsec 隔离解决方案的主要优点在于:它保护所有应用程序和主机操作系统,并且可为现有的应用程序提供网络通信流安全而无需更改这些应用程序。 有关详细信息,请参阅本章后面的“比较 SSL/TLS 和 IPsec”一节。
本解决方案符合美国政府法规
2003 年 12 月 16 日,美国管理和预算办公室 (OMB) 发布了标题为“E-Authentication Gui
最低0.47元/天 解锁文章
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
