1.3.3 网络防火墙部署规划

防火墙适用于用户网络系统的边界,属于用户网络边界的安全保护设备。所谓网络边界即采用不同安全策略的两个网络连接处,如用户和Internet之间、同一企业内部同部门的网络之间等。防火墙的目的就是在网络连接之间建立一个安全控制点,通过设定一定的筛选机制来决定允许或拒绝数据包通过,实现对进入网络内部的服务和访问的审计和控制。网络防火墙是内、外网络数据传输的必经之路。

1. 防火墙的主要功能

防火墙的主要功能,一般来说主要有以下几个方面。

创建一个阻塞点

防火墙在内部网络和外部网络之间建立一个检查点,这就要求所有的数据包都要通过这个检查点。一旦这些检查点清楚地建立,防火墙设备就可以监视、过滤和检查所有进来和出去的流量。网络安全产业称这些检查点为“阻塞点”。通过强制所有进出流量都通过这些检查点,网络管理员可以集中在较少地方来实现安全目的。如果没有这样一个供监视和控制信息的点,系统或安全管理员则要在许多的地方来进行监测。其实这个检查点也就是我们所说的网络边界。

隔离不同的网络

防火墙最基本的功能就是隔离内外网络,不仅确保不让非法用户入侵,更要保证内部信息的不外泄。非法用户的入侵主要是通过获取对方的用户名和密码,以及其他一些重要的信息来实现的,甚至企业网络的内部数据更是黑客觊觎已久的“肥肉”。内部网络中不被人注意的一个细节可能包含了有关安全的线索,从而为攻击者留下可乘之机。使用防火墙则可以屏蔽这些内部细节,如Finger和DNS等服务。Finger服务可以显示主机的所有用户的注册名、真名、最后登录时间和使用Shell类型等,Finger显示的信息非常容易被攻击者截获。攻击者通过所获取的信息可以知道一个系统使用的频繁程度,这个系统是否有用户正在连线上网等信息。

强化网络安全策略

通过以防火墙为中心的安全方案配置,能将所有安全软件(如密码、加密、身份证和审计等)设置在防火墙上。这比将网络安全分散到每个主机上,管理更集中而且更经济。各种安全措施的有机结合,更能有效地对网络安全性能起到加强作用。

包过滤

包过滤是所有防火墙都具有的基本功能。由最初的IP地址、端口判定控制,到今天的判断通信报文协议头的各部分,以及通信协议的应用层命令、内容、用户认证、用户规则甚至状态检测等,无不标志着包过滤的进步。特别是状态监测技术,可以支持多种协议和应用程序,并可以很容易地实现应用层的扩充。它在现有协议栈中加载一个检测模块,模块在网络层截取数据包,然后在所有的通信层上抽取有关的状态信息,根据该状态位判断该通信是否符合安全策略。

网络地址转换

网络地址转换(Network Address Translation,NAT)功能似乎已经成了防火墙的“隐身术”,绝大多数防火墙都加入了该功能。目前防火墙一般采用双向NAT:SNAT和DNAT。SNAT用于对内部网络地址进行转换,对外部网络隐藏内部网络的结构,使得对内部的攻击更加困难,并可以节省IP资源,有利于降低成本。而DNAT主要实现外网主机对内网和DMZ区主机的访问。

流量控制和统计分析

流量控制可以分为基于IP地址的控制和基于用户的控制。基于IP地址的控制是对通过防火墙各个网络接口的流量进行控制。基于用户的控制是通过用户登录来控制每个用户的流量,从而防止某些应用或用户占用过多的资源。并且通过流量控制可以保证重要用户和重要接口的连接。流量统计是建立在流量控制基础之上的。一般防火墙通过对基于IP、服务、时间和协议等进行统计,并可以与管理界面实现挂接,实时或者以统计报表的形式输出结果。

URL级信息过滤

是代理模块常常实现的一部分,很多厂家把这个功能单独提取出来,它其实是和代理模块一起实现的。URL过滤用来控制内部网络对某些站点的访问,如禁止访问某些站点、禁止访问站点下的某些目录、只允许访问某些站点或者其下面的文件和目录等。

2. 防火墙在网络中的位置

网络防火墙的主要作用就是隔离和控制网络访问,既可以部署在局域网中的不同子网之间,也可以部署在企业网络和Internet之间。在部署了防火墙的网络中,网络访问只能够按照既定的方向传输,而反方向传来的数据则会被防火墙拦截,为防火墙的不信任区域。例如,在如图1-2所示的网络结构中,网络D对所有网络都是不信任的,即其他网络发送过来的所有文件都要经过拦截;网络A对网络D和网络C是信任的,而对网络B是不信任的;网络C信任网络D而不信任网络A;网络B信任连接到的所有网络。

图1-2 各个网络边界的防火墙

如今许多用户接入Internet的方式都是局域网共享接入,因此,相对而言防火墙的不信任区域就是广域网,利用路由器来实现内部网络和广域网的互联,路由器所在的位置也应当是防火墙的位置,许多路由器产品也集成了防火墙的功能。

当防火墙拥有两个端口时,其中一个端口用来连接路由器,另一个端口用来连接内部网络,如图1-3所示。

图1-3 2个端口防火墙的连接

以上介绍的连接方式和安装位置只是最普通的几种,若照葫芦画瓢自然不会受到预计的效果,具体应用的网络环境不同,所采用的连接方式并不是完全相同的。

3. 连接企业网络和Internet

在局域网和Internet之间部署防火墙是最常用的应用方案,不过网络用户根据自己具体需要的不同,有两种连接方式可供选择。

如果用户网络原来已存在边界路由器,则可充分利用原有设备,利用边界路由器的包过滤功能,添加相应的防火墙配置,这样原来的路由器也就具有防火墙功能了。然后再利用防火墙与需要保护的内部网络连接。对于DMZ区中的公用服务器,则可直接与边界路由器相连,不用经过防火墙。它可只经过路由器的简单防护。在这种网络环境中,边界路由器与防火墙就一起组成了两道安全防线(如图1-4所示),并且在这两者之间可以设置一个DMZ区,用来放置那些允许外部用户访问的公用服务器设施。

图1-4 存在边界路由器网络连接

如果用户网络中不存在边界路由器,则此时直接由防火墙来保护内部网络(如图1-5所示)。此时DMZ区域和需要保护的内部网络分别连接防火墙的不同局域网接口,因此需要对这两部分网络设置不同的安全策略。这种网络中虽然只有一道安全防线,但对于大多数中、小企业来说是完全可以满足的。不过在选购防火墙时就要注意,防火墙一定要有两个以上的局域网接口。

图1-5 无边界路由器的网络连接

4. 连接内部网络和第三方网络

这种连接方式对于一般规模的网络而言应用不是很多,但是在大型企事业计算机网络中,往往有多个合作伙伴或者社会结构,此时就需要用到这种连接方式了,如图1-6所示。在这种网络环境中通常是将安全性要求较低的服务器直接连接在网络防火墙的LAN端口上,通过防火墙对这些服务器做一些简单的配置,可以提供第三方网络所需的功能即可。

图1-6 连接内部网络和第三方网络

5. 连接网络的不同部门

这种连接方式在安全性要求较高的企业网络中比较常见,例如跨国公司等,公司内部网络包含多个部门的子网络,而有些局域网的数据是不允许其他用户随意访问的,因此,就要在这些局域网中设置防火墙进行隔离。在如图1-7所示的网络中,同是一个企业的内部网络,可以将需要受到保护的重要部门和一些服务器通过防火墙连接至其他网络。

图1-7 连接内部子网络