構建堡壘主機抵御網絡攻擊

趙瑞霞 王會平

福建省福州市61716部隊 福建 350003

0 引言

在網絡快速發展的情況下，對網絡安全的技術要求已經越來越高，針對網絡安全的細節要求和極致防御，國外開始出現防御能力極強的“堡壘主機”，并在極短時間內風靡網絡，受到網絡管理員的信任。在國內的網絡安全技術現狀下，即使投入大量的金錢，使用種類繁多的硬件防火墻等相關設備來進行防御，依然有被攻破的極大可能，因為滯后的網絡防御技術、陳舊的硬件級防御設備和呆板單一的防御思維往往對新興的、變異的網絡攻擊無從下手，導致大量資金成本的浪費。從這一角度看，綜合考慮防御強度、設備成本等因素，構建防御能力超強的堡壘主機不失為一種經濟實用的網絡安全防御策略。

1 堡壘主機的概念與作用

堡壘主機是一種被強化的可以防御進攻的計算機，被暴露于因特網上，作為進入內部網的一個檢查點，以達到把整個網絡的安全問題集中在某個主機上解決，從而省時省力，不用考慮其它主機安全的目的。從定義我們可以看到，堡壘主機是網絡中最容易受到侵害的主機，所以堡壘主機也必須是自身保護最完善的主機。在實用級網絡中，堡壘主機一般承擔著某種單一而且固定的網絡服務，比如Web、FTP、DNS等。安全堡壘主機的配置與通常的主機相比明顯不同，所有不必要的服務、協議、程序和網絡接口都將被禁用或刪除，以達到“最小化安全”，以強化堡壘主機，極大地限制可能出現的網絡攻擊。

2 搭建堡壘主機

2.1 人員接觸控制與BIOS安全

堡壘主機首先是一臺服務器，是一臺設備，在管理員的配置和管理下才成為能發揮作用的系統平臺，如果可以讓任何人沒有限制地物理接觸、控制、操作這臺服務器，那無疑毫無安全性可言，因此可以利用比如出入登記、門禁系統、視頻監控、區域管理、電話記錄、維護授權和身份審核等等手段來強化物理安全保護，保證最基本的安全。

在一個沒有限制外部設備啟動的堡壘主機中，任何的系統級防御措施都是空談，攻擊者可以使用最古老的DOS啟動盤啟動系統，也可以使用系統安裝盤、PE盤等光驅支持設備進行繞過系統驗證的數據刪除或者非法讀寫，還可以使用U盤或者移動硬盤，以加載啟動盤或者PE操作系統的方式，同樣實現破壞、竊取等操作。堡壘主機的BIOS安全設置包含：BIOS密碼和禁用外部設備啟動。

2.2 最小化操作系統安裝與操作系統安全設置

在網絡安全中，“最小化安全”是有名的安全理念，即只開放需要的功能或服務，其他與之無關的功能或服務均去掉，以此減少可能受到的攻擊風險。所謂最小化操作系統，是為堡壘主機安裝最基本的操作系統環境，然后再根據具體情況逐漸安裝需要的服務組件。

以Windows Server 2003系統為例，要打造一個足夠強悍的堡壘主機，需要注意以下幾方面細節：NTFS格式的磁盤，可信的安裝盤，不要直接接入網絡等。另外，不建議配置成與環境中的計算機。

操作系統的安全設置主要有賬戶密碼的安全策略、系統服務優化、本地安全策略、文件及權限安全等方面。使用組策略中啟用密碼復雜性要求、啟用密碼長度最小值等各項策略來進行強制的密碼安全策略指派，可以防患于未然，提高堡壘主機的安全性。系統服務在為操作系統提供各種功能的同時，也為攻擊者擴大了攻擊范圍與攻擊點，對于堡壘主機來說，根據實際的運行服務或組件，合理地進行系統服務的禁用是提高安全性的優秀手段。對于堡壘主機需要集中設置的“本地安全策略”主要有三個方面：啟用并配置日志審核、啟用并配置用戶權限分配以及啟用并配置安全選項。龐大而駁雜的文件是影響安全性的罪魁禍首，需要進行合理的刪除與轉移，比如刪除無用的子系統項目、不必要的網絡服務文件和執行文件等；目錄權限龐雜而靈活，要嚴格根據系統運行的服務進行設置。

2.3 最小化網絡的安全設置

最小化網絡的基本目的是盡量減少無用的網絡功能，只保留必須的組件和程序，從而提高網絡的安全性。典型的無用的網絡功能有共享、IPC連接、NETBIOS和遠程協助等，要進行相應的刪除、禁止、禁用和關閉等設置操作。而且要在接入網絡前進行基本的網絡安全設置，包括開啟系統默認防火墻、關閉遠程桌面和開啟TCP/IP篩選等。另外，注冊表中存放了很多和網絡安全相關的項目，通過對其進行合理設置，可以提高堡壘主機對某些網絡攻擊的防御能力。

3 結束語

“三分技術，七分管理”，不僅需要管理員技術的嫻熟，也需要建立完善的制度，否則即使建立了安全的堡壘主機工作環境，如果沒有完善的管理策略，一個微小的失誤就會把一切安全準備完全破壞。

[1]郝永清.堡壘主機搭建全攻略與流行黑客攻擊技術深度分析.科學出版社.2010.

[2]網絡安全基礎:防火墻的來歷及應用現狀.http://soft.yesky.com/securityw/aqff/499/2013999_3.shtml.