趙瑞霞 王會(huì)平

福建省福州市61716部隊(duì) 福建 350003

0 引言

在網(wǎng)絡(luò)快速發(fā)展的情況下，對(duì)網(wǎng)絡(luò)安全的技術(shù)要求已經(jīng)越來越高，針對(duì)網(wǎng)絡(luò)安全的細(xì)節(jié)要求和極致防御，國(guó)外開始出現(xiàn)防御能力極強(qiáng)的“堡壘主機(jī)”，并在極短時(shí)間內(nèi)風(fēng)靡網(wǎng)絡(luò)，受到網(wǎng)絡(luò)管理員的信任。在國(guó)內(nèi)的網(wǎng)絡(luò)安全技術(shù)現(xiàn)狀下，即使投入大量的金錢，使用種類繁多的硬件防火墻等相關(guān)設(shè)備來進(jìn)行防御，依然有被攻破的極大可能，因?yàn)闇蟮木W(wǎng)絡(luò)防御技術(shù)、陳舊的硬件級(jí)防御設(shè)備和呆板單一的防御思維往往對(duì)新興的、變異的網(wǎng)絡(luò)攻擊無從下手，導(dǎo)致大量資金成本的浪費(fèi)。從這一角度看，綜合考慮防御強(qiáng)度、設(shè)備成本等因素，構(gòu)建防御能力超強(qiáng)的堡壘主機(jī)不失為一種經(jīng)濟(jì)實(shí)用的網(wǎng)絡(luò)安全防御策略。

1 堡壘主機(jī)的概念與作用

堡壘主機(jī)是一種被強(qiáng)化的可以防御進(jìn)攻的計(jì)算機(jī)，被暴露于因特網(wǎng)上，作為進(jìn)入內(nèi)部網(wǎng)的一個(gè)檢查點(diǎn)，以達(dá)到把整個(gè)網(wǎng)絡(luò)的安全問題集中在某個(gè)主機(jī)上解決，從而省時(shí)省力，不用考慮其它主機(jī)安全的目的。從定義我們可以看到，堡壘主機(jī)是網(wǎng)絡(luò)中最容易受到侵害的主機(jī)，所以堡壘主機(jī)也必須是自身保護(hù)最完善的主機(jī)。在實(shí)用級(jí)網(wǎng)絡(luò)中，堡壘主機(jī)一般承擔(dān)著某種單一而且固定的網(wǎng)絡(luò)服務(wù)，比如Web、FTP、DNS等。安全堡壘主機(jī)的配置與通常的主機(jī)相比明顯不同，所有不必要的服務(wù)、協(xié)議、程序和網(wǎng)絡(luò)接口都將被禁用或刪除，以達(dá)到“最小化安全”，以強(qiáng)化堡壘主機(jī)，極大地限制可能出現(xiàn)的網(wǎng)絡(luò)攻擊。

2 搭建堡壘主機(jī)

2.1 人員接觸控制與BIOS安全

堡壘主機(jī)首先是一臺(tái)服務(wù)器，是一臺(tái)設(shè)備，在管理員的配置和管理下才成為能發(fā)揮作用的系統(tǒng)平臺(tái)，如果可以讓任何人沒有限制地物理接觸、控制、操作這臺(tái)服務(wù)器，那無疑毫無安全性可言，因此可以利用比如出入登記、門禁系統(tǒng)、視頻監(jiān)控、區(qū)域管理、電話記錄、維護(hù)授權(quán)和身份審核等等手段來強(qiáng)化物理安全保護(hù)，保證最基本的安全。

在一個(gè)沒有限制外部設(shè)備啟動(dòng)的堡壘主機(jī)中，任何的系統(tǒng)級(jí)防御措施都是空談，攻擊者可以使用最古老的DOS啟動(dòng)盤啟動(dòng)系統(tǒng)，也可以使用系統(tǒng)安裝盤、PE盤等光驅(qū)支持設(shè)備進(jìn)行繞過系統(tǒng)驗(yàn)證的數(shù)據(jù)刪除或者非法讀寫，還可以使用U盤或者移動(dòng)硬盤，以加載啟動(dòng)盤或者PE操作系統(tǒng)的方式，同樣實(shí)現(xiàn)破壞、竊取等操作。堡壘主機(jī)的BIOS安全設(shè)置包含：BIOS密碼和禁用外部設(shè)備啟動(dòng)。

2.2 最小化操作系統(tǒng)安裝與操作系統(tǒng)安全設(shè)置

在網(wǎng)絡(luò)安全中，“最小化安全”是有名的安全理念，即只開放需要的功能或服務(wù)，其他與之無關(guān)的功能或服務(wù)均去掉，以此減少可能受到的攻擊風(fēng)險(xiǎn)。所謂最小化操作系統(tǒng)，是為堡壘主機(jī)安裝最基本的操作系統(tǒng)環(huán)境，然后再根據(jù)具體情況逐漸安裝需要的服務(wù)組件。

以Windows Server 2003系統(tǒng)為例，要打造一個(gè)足夠強(qiáng)悍的堡壘主機(jī)，需要注意以下幾方面細(xì)節(jié)：NTFS格式的磁盤，可信的安裝盤，不要直接接入網(wǎng)絡(luò)等。另外，不建議配置成與環(huán)境中的計(jì)算機(jī)。

操作系統(tǒng)的安全設(shè)置主要有賬戶密碼的安全策略、系統(tǒng)服務(wù)優(yōu)化、本地安全策略、文件及權(quán)限安全等方面。使用組策略中啟用密碼復(fù)雜性要求、啟用密碼長(zhǎng)度最小值等各項(xiàng)策略來進(jìn)行強(qiáng)制的密碼安全策略指派，可以防患于未然，提高堡壘主機(jī)的安全性。系統(tǒng)服務(wù)在為操作系統(tǒng)提供各種功能的同時(shí)，也為攻擊者擴(kuò)大了攻擊范圍與攻擊點(diǎn)，對(duì)于堡壘主機(jī)來說，根據(jù)實(shí)際的運(yùn)行服務(wù)或組件，合理地進(jìn)行系統(tǒng)服務(wù)的禁用是提高安全性的優(yōu)秀手段。對(duì)于堡壘主機(jī)需要集中設(shè)置的“本地安全策略”主要有三個(gè)方面：?jiǎn)⒂貌⑴渲萌罩緦徍恕⒂貌⑴渲糜脩魴?quán)限分配以及啟用并配置安全選項(xiàng)。龐大而駁雜的文件是影響安全性的罪魁禍?zhǔn)?，需要進(jìn)行合理的刪除與轉(zhuǎn)移，比如刪除無用的子系統(tǒng)項(xiàng)目、不必要的網(wǎng)絡(luò)服務(wù)文件和執(zhí)行文件等；目錄權(quán)限龐雜而靈活，要嚴(yán)格根據(jù)系統(tǒng)運(yùn)行的服務(wù)進(jìn)行設(shè)置。

2.3 最小化網(wǎng)絡(luò)的安全設(shè)置

最小化網(wǎng)絡(luò)的基本目的是盡量減少無用的網(wǎng)絡(luò)功能，只保留必須的組件和程序，從而提高網(wǎng)絡(luò)的安全性。典型的無用的網(wǎng)絡(luò)功能有共享、IPC連接、NETBIOS和遠(yuǎn)程協(xié)助等，要進(jìn)行相應(yīng)的刪除、禁止、禁用和關(guān)閉等設(shè)置操作。而且要在接入網(wǎng)絡(luò)前進(jìn)行基本的網(wǎng)絡(luò)安全設(shè)置，包括開啟系統(tǒng)默認(rèn)防火墻、關(guān)閉遠(yuǎn)程桌面和開啟TCP/IP篩選等。另外，注冊(cè)表中存放了很多和網(wǎng)絡(luò)安全相關(guān)的項(xiàng)目，通過對(duì)其進(jìn)行合理設(shè)置，可以提高堡壘主機(jī)對(duì)某些網(wǎng)絡(luò)攻擊的防御能力。

3 結(jié)束語

“三分技術(shù)，七分管理”，不僅需要管理員技術(shù)的嫻熟，也需要建立完善的制度，否則即使建立了安全的堡壘主機(jī)工作環(huán)境，如果沒有完善的管理策略，一個(gè)微小的失誤就會(huì)把一切安全準(zhǔn)備完全破壞。

[1]郝永清.堡壘主機(jī)搭建全攻略與流行黑客攻擊技術(shù)深度分析.科學(xué)出版社.2010.

[2]網(wǎng)絡(luò)安全基礎(chǔ):防火墻的來歷及應(yīng)用現(xiàn)狀.http://soft.yesky.com/securityw/aqff/499/2013999_3.shtml.