[荐!][图]防火墙及其使用环境技术策略

micky

1. 前言
到今天，防火墙技术已经非常成熟，防火墙也已成为用户网络和互联网相连的标准安全隔离设备。即使是个人用户通过拨号、有线网或 xDSL 上网，也可以通过个人防火墙在互联网环境下保护其网络安全。

由于 TCP/IP 协议是在可信环境下，为网络互联而设计的开放性协议，在设计过程中就缺乏安全措施的考虑，而防火墙就是用来保护用户网络，防止黑客利用 TCP/IP 本身的内在安全弱点攻击网络设备和用户计算机。目前防火墙有多种类型，包括实现较为简单的包过滤防火墙到功能更强的状态检测防火墙、应用代理防火墙等等。

　　选择何种防火墙取决于几个因素，包括网络规模大小、网络流量大小、系统和数据的敏感程度和应用类型等。在实际安全系统规划和建设中，要根据用户的安全需求和防火墙的功能特点来选择防火墙，而不能仅仅根据防火墙的类型。

　　防火墙并不能解决全部的安全问题。深层防御战略安全体系和思想认为信息安全保障的概念基础是保护（ Protection ）、检测( Detection )、反应( React )和恢复( Recovery )四个相互作用和反馈的安全环节。防火墙只是一种安全保护措施，必须要和其它安全措施，比如入侵检测、漏洞扫描、主机防护等等有机的融合起来才能充分发挥安全效果。同时，不同的用户应用类型和不同的用户网络环境也可能影响到防火墙的选择和配置。

　　因此，在计划使用防火墙来保护用户网络时，对防火墙的配置和使用环境进行认真规划十分重要。

　　本文档首先对防火墙的基本技术、分类、功能和使用环境进行说明，然后着重描述在各种防火墙使用环境下的防火墙配置建议。

本文档参考了以下文档：

RFC 2544/2567

GB/T 18019-1999： 信息技术包过滤防火墙安全技术要求

GB/T 18020-1999 ：信息技术应用级防火墙安全技术要求

NIST Special Publication 800-41：Guidelines on Firewalls and Firewall Policy

NIST Special Publication 800-31：Intrusion Detection Systems

NSA：Information Assurance Technical Framework，V3.0
2. 防火墙技术概述

2.1 防火墙基本功能

　　根据美国国家安全局制定的《信息保障技术框架》，防火墙适用于用户网络系统的边界，属于用户网络边界的安全保护设备。所谓网络边界即是采用不同安全策略的两个网络连接处，比如用户网络和互联网之间连接、和其它业务往来单位的网络连接、用户内网不同部门之间的连接等。防火墙的目的就是在网络连接之间建立一个安全控制点，通过允许、拒绝或重新定向经过防火墙的数据流，实现对进、出内部网络的服务和访问的审计和控制。

　　作为采用不同安全策略网络之间的流量控制手段，在很多场合下，用户通过防火墙来控制组织内网和互联网之间的安全连接，限制来自互联网的非授权访问。但如同前面对网络边界的定义，用户也经常采用防火墙来保护系统内业务信息比较敏感的部门网络安全，比如个人电脑到财务部门服务器的未经授权的访问。在有些用户系统中，还存在一种通过其内部骨干网（或其它方式）将不同单位内网互联的业务模式，这种模式允许第三方有限度的共享部分信息，防火墙通过有效、细致的访问控制规则来满足用户必要的通信和信息共享需求，并屏蔽其它任何未经授权的网络访问。

2.2 防火墙分类

目前，有很多厂商提供各种类型的防火墙平台，对它们有几种常用的分类方法：1）按照产品形式可分为硬件防火墙和软件防火墙两大类；2）按照性能可以分为百兆级和千兆级两类防火墙；3）按照操作模式可分为透明模式、路由模式和NAT（网络地址转换）三类；4）按照部署位置可分为边界防火墙和主机/个人防火墙两类；5）按照OSI模型层次划分可分为包过滤防火墙、状态检测防火墙和应用代理防火墙
其中包过滤防火墙是最基本的防火墙，一般由一些基本路由设备通过内部的网络访问控制规则实现，一般是工作在网络层，在现代网络结构中，为了实现负载均衡/高可用性，也可能在网络第二层实现。包过滤防火墙的访问控制功能由一套规则集组成，这些规则集是基于网络报文的以下信息实现的：源地址、目的地址、流量类型、网络会话特征或物理端口。
状态检测防火墙是基于网络第四层的包过滤技术，它是针对高层协议（如 TCP ）难以用简单的包过滤对数据连接进行有效控制，而必须采用上下文相关控制这一特点的，比如 FTP、H.323 等协议。状态检测防火墙通过建立动态TCP连接状态表并每次会话连接进行验证来实现网络访问控制。

　　应用代理防火墙是将低层访问控制和高层应用功能结合在一起的防火墙，所有通过防火墙的包都必须在应用代理软件的控制下。由于它没有在防火墙内外接口间的路由功能，因此一旦应用代理软件失效或故障，防火墙是不能转发网络包的。应用代理防火墙具有功能强大的特点，但是其性能低的缺点决定了它不能应用在高带宽和实时应用的业务中。

2.3 防火墙增值功能

　　 除了实现在不同安全策略网络之间的流量进行控制外，目前防火墙都或多或少实现了一些增值功能， 在防火墙上常见的一些增值功能包括：

NAT

VPN

DHCP

入侵检测

病毒检测

内容过滤
　　 而其中有些增值功能也已经成为了防火墙事实上要必备的功能，比如NAT等。而有些功能应该结合用户的业务现状和网络状况适当选用，比如病毒检测等。
　　 对有些功能，应该认识到可能会被攻击者规避，比如病毒检测或内容过滤，攻击者只要对网络内容进行加密就可以轻易绕过。
2.4 防火墙使用环境

　　防火墙环境由防火墙设备及其相关的系统和应用组成，这些相关的系统可能包括入侵检测、路由器、VPN、公众服务器（如Web服务器和邮件服务器）等。

　　事实上，正是防火墙环境决定了用户对防火墙的选择和配置方式，比如用户业务需要对公众发布信息，一般会要求通过Web服务器方式，这就带来一个新的安全概念，即安全非设防区（DMZ），因为在这种业务需求下，用户对Web服务器和内网的安全策略不可能相同：Web服务器必须对公众开放部分服务，而内网则完全禁止来自互联网的访问。类似情形就决定了防火墙的配置结构和功能需求。

关于防火墙在各种使用环境下的配置和使用建议我们在下一章节有详细描述。

3. 防火墙使用环境建议

3.1 防火墙配置和使用基本原则

对防火墙的配置和使用应该坚持四个基本原则：


简单 ：对防火墙环境设计来讲，首要的就是越简单越好。设计越简单，越不容易出错，防火墙的安全功能越容易得到保证，管理也越可靠和简便。



物用其长： 每种产品在开发前都会有其主要功能定位，比如防火墙产品的初衷就是实现网络之间的安全控制，入侵检测产品主要针对网络非法行为进行监控。但是随着技术的成熟和发展，这些产品在原来的主要功能之外或多或少地增加了一些增值功能，比如在防火墙上增加了查杀病毒、入侵检测等功能，在入侵检测上增加了病毒查杀功能。但是这些增值功能毕竟不能取代它们的本来目的。我们在使用防火墙时，要充分利用防火墙的网络访问控制功能。



深层防御：单一的防御措施是难以保障系统的安全的，只有采用全面的、多层次的深层防御战略体系才能实现系统的真正安全。在防火墙环境中，深层防御战略体现有二：1）多层次的防火墙部署体系，即采用集互联网边界防火墙、部门边界防火墙和主机防火墙于一体的层次防御；2）将入侵检测、网络加密、病毒查杀等多种安全措施结合在一起的多层面安全体系。



l 关注内部威胁：防火墙的一个特点是防外不防内，对内部威胁要采取其它安全措施，比如入侵检测、主机防护、漏洞扫描、病毒查杀。安全制度和安全管理是防止内部威胁的最主要手段。
3.2 防火墙应用场合

边界防火墙有四种典型的应用场合：




控制来自互联网对内网的访问
控制来自第三方业务单位对内网的访问



控制内网不同部门网络之间的访问


控制对服务器中心的网络访问，如主机托管中心
控制来自互联网对内网的访问

　　在本环境下，防火墙主要保护内部网络不遭受外部攻击。一般情况下，此环境下的网络可划分为三个安全区域：内网，包括全部的内部网络设备和用户主机，为可信网络区域，对互联网透明隔离；外网，包括外部互联网主机和设备，为非可信网络区域； DMZ （非设防区），由外部服务器组成，包括公众 Web 服务器、邮件服务器、外部 DNS 服务器等，为互联网提供信息服务。用户针对内网和 DMZ 的安全策略肯定不同：内网一般情况下禁止来自互联网的访问，而 DMZ 则是为互联网提供相关的服务。建议通过 NAT （网络地址转换）将内部网络的全部设备地址映射成少数几个公网有效地址，这样至少有两个好处：首先可以对外隐藏内部网络结构，保护内网安全；其次可以节省有效地址。如图3.1和3.2所示：



控制来自第三方网络对内网的访问

　在本环境下，防火墙主要限制第三方网络对内网的非授权访问。存在两种情况：

　　1） 此环境下的网络可划分为三个安全区域：内网，包括全部的内部网络设备和用户主机，为可信网络区域，对第三方透明隔离；外网，包括第三方网络主机和设备，为非可信网络区域； DMZ （非设防区），由外部服务器组成，包括公众 Web 服务器、邮件服务器、外部 DNS 服务器等，为第三方提供信息服务。用户针对内网和 DMZ 的安全策略肯定不同：内网一般情况下禁止来自第三方的访问，而 DMZ 则是为第三方提供相关的服务。如图3.3所示。必要时通过 NAT （网络地址转换）对外隐藏内部网络结构，保护内网安全。

　　2） 没有 DMZ 区：此环境下网络就包括内网和外部网络两个区域。通过防火墙对第三方开放内部网络中特定的服务器/主机资源。如图3.4示。这种配置可能带来极大的安全隐患：来自第三方网络中的攻击者可能破坏和控制对他们开放的内部服务器/主机，并以此为据点，进而破坏和攻击内部网络中的其它主机/服务器等网络资源。



控制内网不同部门之间的访问

　　此环境下，主要是通过防火墙保护内网中敏感部门的资源不被未经授权的访问。比如非财务部门不能访问财务部资源。如图3.5所示：



控制对服务器中心的网络访问

　　对于一个服务器中心/仓库，比如主机托管中心，其众多服务器对第三方（内部其它部门、第三方合作伙伴、互联网用户等）开放，但是所有这些服务器分别属于不同的部门、甚至不同的用户所有，其安全策略也各不相同，因此不可以把它们都定义在同一个安全区域中，这样也就难以采用如上述案例中的结构。
要保护这些服务器，有两种方法：

　　1） 为每个部门/每个单位的服务器单独配置防火墙，如图3.6所示。但是这种方案无论从经济上、还是从使用和管理的灵活可靠性上都是不可行的。



　　 2） 采用虚拟防火墙功能，如图3.7所示。将一个高性能防火墙划分为多个虚拟防火墙，再配合交换机的虚网功能，实现1中的安全保护效果。这种方案在现实中比较经济可行。


3.3 DMZ（非设防区）

最典型的防火墙环境就是 DMZ （非设防区）。 DMZ 是作为内外网都可以访问的计算机系统和资源的连接点，比如 Web 服务器、邮件服务器、 VPN 网关、 DNS 服务器等等，这些系统和资源不能放置在内部保护网络内。如图3.1和3.2所示。

　　在有些用户网络中，可能需要两类 DMZ ：外部 DMZ 和内部 DMZ 。外部 DMZ 为用户内部网络和互联网共同可以访问的系统和资源；内部 DMZ 为内部各安全隔离部门所共享的系统和资源。如图3.8所示：



图3.8中两个方案从原理上是类似的，不过在右图中的防火墙配置有三个端口，可以用其中一个作为专门的 DMZ。

　　左图中包过滤边界路由器为外部DMZ服务器提供保护，一旦它们被黑客攻破，主防火墙提供进一步的保护。用户可以如图中将内部服务器放置在内部 DMZ ，为内部网络提供服务。两道防火墙可以保护这些服务器/资源，防止来自内部网络或外部网络的攻击。

　　内部 DMZ 作为内外网络之间的一个联系点，一般情况下是位于两个防火墙之间，比方说，用户将远程访问服务器和 VPN 服务器放置在此区域中可以减少一种危险：远程攻击者可能利用它们进入内部网络。

　　一个典型的防火墙策略是主防火墙采用 NAT 模式，而内部防火墙采用透明模式工作，以减少内部网络结构的复杂程度。除远程访问和 VPN 访问外，来自互联网的网络访问只能限制在外部 DMZ 对外开放的资源上，不可进入内部 DMZ ，更不可能进入内部网络之中。

3.4 VPN

　　VPN （虚拟企业专网）是为了满足移动用户或远程机构透过公网设施访问用户内部网络，一般采用适当强度的加密协议保障信息的传输安全。目前存在几个典型的 VPN 协议，包括 IPsec、PPTP、L2TP 等。通过 VPN 技术可以实现对用户内部网络的扩展，同时为用户带来网络使用成本上的巨大节省。

VPN 服务器有两种配置方式：

　　1） 用户网络的第一道防火墙之后：防火墙必须打开内外网络之间相应的服务端口，这可能带来安全隐患：首先是防火墙无法检测内外网络之间的通信内容（因为内容是加密过的），进而实现网络的访问控制、审计和病毒检测；其次如前节所描述，远程攻击者可能将其作为攻击内部网络的跳板。因此为提高网络安全程度，最好再如图3.8中配置第二道防火墙：内部防火墙。



　　2） 集成在防火墙中：这种方法避免了前种方案的弊端，报文只在VPN客户端和防火墙之间被加密。但是不是所有厂商的防火墙都支持内置的VPN服务增值功能。但是此种方式的一个可能问题就是防火墙的性能问题。此方案的一个典型配置如图3.9所示：

3.5 DNS

　　DNS 为互联网提供域名解析服务，对任何互联网应用都十分关键。正因为如此，对DNS服务器要采取特别的安全保护措施。

　　首先，内部 DNS 服务器应该和外部 DNS 服务器分隔开。比如，为互联网服务的外部 DNS 服务器不应该包含对外禁止访问的内部网络系统的相关条目。将内网的相关条目放置在外部 DNS 服务器上只会为远程攻击者提供攻击对象名单。这种将内部 DNS 服务器和外部 DNS 服务器分隔开的方案又称作"分割 DNS "。
其次，要对 DNS 进行必要的访问控制。基本上， DNS 应用有两种服务模式：对用户查询采用 UDP 协议；对服务器到服务器的查询采用 TCP 协议。用户一定直接控制用 TCP 模式提供 DNS 服务的服务器：盲目使用这种方式可能导致 DNS 信息被修改破坏。如果攻击者成功修改 DNS 信息，他就可能将网络访问重新定向到一个非法的站点上去。

图3.10描述了一个典型的"分割 DNS "例子：


　　内部 DNS 服务器用来为内部网络系统解析名字，使得它们可以连接到其它内部系统、 DMZ 、和互联网；外部 DNS 使得外部网络能够解析出主防火墙、外部 DNS 本身、外部 DMZ 的名字，但不能解析出内网系统的名字。

3.6 入侵检测

安全检测是信息保障的一个重要环节，目前主要的安全检测技术包括入侵检测、漏洞扫描和病毒检测。

　　入侵检测能够对网络未经授权的访问进行报警，某些时候还能够通过其它手段预防这种非法网络行为。检测本身不能提供安全保护的作用，但是很多入侵检测产品能够和防火墙这类网络安全保护产品联动：一旦入侵检测发现攻击行为，它可以通知防火墙修改安全规则，阻止后续的攻击网流。

　　入侵检测产品可以分为三类：基于主机的入侵检测、基于网络的入侵检测和基于应用的入侵检测。

　　建议将基于主机的入侵检测和基于应用的入侵检测产品配置在关键业务服务器上，以检测主机/应用层次的网络攻击行为，尤其是基于用户的攻击行为检测。必须清楚，这两类产品有极大的安全缺陷：1）时间上的滞后性，由于它们的检测资料来源是主机操作系统/应用的日志记录，因此难以做到实时反应；2）其检测分析结果的准确性完全依赖于主机操作系统/应用的日志记录的全面性和准确性；3）占用主机资源。

　　目前许多用户网络已经是或至少部分是交换网络，这种网络性能的提高却大大限制了网络入侵检测产品的工作有效性：网络入侵检测产品只可以检测同一冲突域中的网络行为，在交换环境中，需要通过交换机的端口镜像技术将要被检测的端口流量镜像到网络入侵检测产品所在的交换机端口上。

　　各家厂商实现的端口镜像技术各不相同，在网络安全规划时必须对这一点全面了解。比如 Cisco 公司的交换机可以实现多个端口到一个端口的镜像，而 3COM 公司的交换机只能实现一对一的端口镜像，且两个端口速率必须相同。

　　为每一个网段配置一个入侵检测的传感器目前在经济上是不可性的，在实践中也是不必要的。但是必须在用户网络中的重要网段配置入侵检测的传感器，比如从互联网可以访问的网络区域。其中的几个典型是：外部 DMZ 、内部 DMZ 和重要业务部门所在网段。

　　如果防火墙具有一定的入侵检测功能，则可以在主防火墙上打开此功能，在防火墙上使用入侵检测功能可以相当程度地抵制来自外部网络的 DoS （拒绝服务攻击）攻击和地址欺骗攻击。

　　部署在某些区域的入侵检测产品如果能和相关的防火墙在网络上可通，则可以发挥它们之间的联动功能，提高安全效率。一个常见的防火墙和网络入侵检测配置如下：



3.7 应用服务器的放置

　　防火墙环境中服务器的放置取决于许多因素，包括 DMZ 数量、对 DMZ 中服务器所需要的来自内外的访问方式、流量大小、信息敏感程度等等，因此不可能一概而论。

但是对防火器环境下各种应用服务器的放置必须要遵循以下原则：

通过边界路由过滤设备保护外部服务器，或将它们放置在外部 DMZ 中

绝不可将外部可访问的服务器放置在内部要保护网络中

根据内部服务器的敏感程度和访问方式，将它们放置在内部防火墙之后

尽量隔离各种服务器，防止一个服务器被攻破后波及到其它服务器的安全
　　下面对一些具体类型的服务器在防火墙环境下的放置给出部分建议，但必须要说明的是，在实际用户网络环境中，还必须由用户的具体业务需求来决定它们的实际位置。 外部可访问服务器

　　外部可访问服务器（如 Web 服务器）以及目录服务器（如 DNS 服务器）可以放置在外部 DMZ 中，并限制从它们到内部网络的连接。如果这类服务器数目较大，我们建议用户采用虚拟防火墙技术，将每个服务器分配在不同的安全区域中。

VPN 和拨入服务器

　　如3.4节中描述，我们建议 VPN 和拨入服务器应该放置在边界路由包过滤设备之后或主防火墙之后（如果不采用边界路由设备作包过滤）。

　　如果主防火墙从功能上和性能上没有问题，则我们建议将 VPN 服务器放置在主防火墙上，理由见3.4节。

内部服务器

内部可访问的 Web 服务器、邮件服务器、 DNS 服务器可以放置在内部 DMZ ，即在两道防火墙中间。通过内部防火墙将它们和内部要保护网络分开。

　　将这些服务器放置在内部 DMZ 中，即可以满足深层防御的要求防止外部攻击，也可以防止来自内部网络的攻击。

　　如果用户采用 HTTP Proxy （代理）支持向外的HTTP网络流量，将 HTTP Proxy 服务器放置在内部 DMZ。

邮件服务器

有些防火墙可以用来接收邮件，即 SMTP 连接。一个常用的配置方法是利用主防火墙：
1） 接受 SMTP 连接
2） 然后将它们转给放置在内部 DMZ 中的专门代理/邮件服务器
这样一来，就避免了要求防火墙来处理邮件。

　　如果用户需要从外部访问邮件，一种避免从外部网络直接访问邮件服务器的方法是在主防火墙上运行 SSL 代理。用户在外网通过Web浏览器连接到主防火墙（可以给主防火墙取个别名），主防火墙将 SSL 连接转到内部代理/邮件服务器，并由它们通过 Web 提供邮件服务。

　　这种方法防止了从外网到邮件服务器的直接访问，也可以适用在其它类型服务器的保护中。

图3.12描述了我们的一个建议示例：



3.8 防火墙的增值功能

　　根据我们前面提到的防火墙环境设计原则之一，即物用其长原则，我们建议用户对使用防火墙的某些增值功能时要充分考虑种种因素，比如防火墙增值功能的实际效用、对防火墙性能的影响等等。

　　有些增值功能因为其重要性和有效性，已经变成了防火墙的必备功能，比如NAT功能；而有些功能如果有，并且防火墙性能允许，就强烈建议使用，如VPN和入侵检测功能；有些功能则一定要考虑用户的业务要求和网络状况，比如查杀病毒功能，如果用户业务对实时性要求较高的话，我们认为可以交由专门的病毒查杀平台去实现，比如邮件过滤网关，网络杀毒工具等等，这样一方面可以减少网络性能上的瓶颈，另一方面的原因是专业的病毒查杀工具在病毒查杀方面可能更为有效。

3.9 高可靠的防火墙环境

建立一个具有高可靠性和高可用性的防火墙环境有以下要求：

防火墙本身抵抗攻击能力强

防火墙本身关键部件支持冗余备份

防火墙设备应该支持设备级备份
　　第一点是由防火墙系统和功能本身决定的，在产品选型时要考虑到。比如有些防火墙是基于 Windows 平台的，而 Windows 平台本身就缺乏安全保障，因此这类防火墙的抗攻击能力注定难以提高。

　　后面两点就需要具体的产品支持，最好在选择产品之前了解其安全备份方式和参数，判断是否满足业务的安全需求。

　　　　　　图3.13中对主防火墙采用高可靠性设计 （HA



作者：IT动力源

micky

micky

micky

micky

micky

micky

yuzhou

好东西，收藏

jamesr

;07 good