文/劉化君

有效部署防火墻的兩種方式

文/劉化君

采取基于區(qū)域分割的層疊方式或三角方式來(lái)部署防火墻系統(tǒng)，以實(shí)現(xiàn)比較安全的網(wǎng)絡(luò)環(huán)境。

防火墻是目前最為流行也是應(yīng)用最為廣泛的網(wǎng)絡(luò)安全技術(shù)。在構(gòu)建安全網(wǎng)絡(luò)的過(guò)程中，防火墻作為第一道安全防線正受到越來(lái)越多用戶的關(guān)注。

防火墻的設(shè)計(jì)基于兩大假設(shè)：1.在防火墻內(nèi)部各主機(jī)是可信的；2.防火墻外部每一個(gè)訪問(wèn)都是攻擊性的，至少是有被攻擊的可能性。這種假設(shè)已不能適應(yīng)互聯(lián)網(wǎng)的發(fā)展需求。大量事實(shí)顯示，來(lái)自內(nèi)外結(jié)合的攻擊是當(dāng)前網(wǎng)絡(luò)安全的最大威脅。顯然，單一的防火墻難以消除這一威脅，需要采取綜合的防范措施，其中，如何在網(wǎng)絡(luò)系統(tǒng)部署及其配置防火墻是關(guān)鍵性的工作。本文討論如何采取層疊方式或區(qū)域分割的三角方式來(lái)部署防火墻系統(tǒng)，以實(shí)現(xiàn)比較安全的網(wǎng)絡(luò)環(huán)境。

圖1 防火墻系統(tǒng)的層疊方式部署方案

部署方案

目前，防火墻作為用來(lái)實(shí)現(xiàn)網(wǎng)絡(luò)安全的一種手段，主要是用來(lái)拒絕未經(jīng)授權(quán)用戶的訪問(wèn)、存取敏感數(shù)據(jù)，同時(shí)允許合法用戶訪問(wèn)網(wǎng)絡(luò)資源不受影響。安裝防火墻的基本原則是只要有惡意侵入的可能，無(wú)論是在內(nèi)網(wǎng)還是在與外部公網(wǎng)的連接處，都應(yīng)該安裝防火墻。那么，究竟應(yīng)該在哪些地方部署防火墻呢？通常，防火墻規(guī)則的實(shí)施和入侵檢測(cè)系統(tǒng)的部署安裝防火墻的位置是在機(jī)構(gòu)內(nèi)聯(lián)網(wǎng)與互聯(lián)網(wǎng)的接口處，以阻擋來(lái)自互聯(lián)網(wǎng)的入侵；如果機(jī)構(gòu)內(nèi)聯(lián)網(wǎng)規(guī)模較大，并且設(shè)置有虛擬局域網(wǎng)（VLAN），可以在各VLAN 之間設(shè)置；有時(shí)，在與互聯(lián)網(wǎng)連接的各分支機(jī)構(gòu)之間也設(shè)置防火墻。這樣加固網(wǎng)絡(luò)，看起來(lái)比較安全，但并不是一個(gè)優(yōu)化的方案。通過(guò)分析研究與實(shí)踐，我們?cè)O(shè)計(jì)了一個(gè)基于區(qū)域分割的層疊方式或三角方式來(lái)部署防火墻系統(tǒng)，可以實(shí)現(xiàn)比較安全的網(wǎng)絡(luò)環(huán)境。層疊方式

基于區(qū)域分割的層疊方式的防火墻系統(tǒng)使用2臺(tái)中心防火墻，將DMZ區(qū)域放置在2臺(tái)防火墻之間，如圖1所示。其中，連接外部網(wǎng)絡(luò)和DMZ區(qū)域的防火墻僅僅承擔(dān)一些數(shù)據(jù)包過(guò)濾任務(wù)，通常由邊界路由器的訪問(wèn)控制列表ACL來(lái)實(shí)現(xiàn)，而連接內(nèi)部網(wǎng)絡(luò)和DMZ區(qū)域的中心防火墻是1臺(tái)專用防火墻，實(shí)施詳細(xì)的訪問(wèn)控制策略。

三角方式

基于區(qū)域分割的三角方式防火墻系統(tǒng)部署方案如圖2所示（見(jiàn)下頁(yè)）。它將區(qū)域分割為內(nèi)聯(lián)網(wǎng)（軍事化區(qū)域）、互聯(lián)網(wǎng)（外聯(lián)網(wǎng)）和非軍事化區(qū)域（DMZ區(qū)域）3個(gè)區(qū)域，通過(guò)中心防火墻以三角方式連接起來(lái)。例如，將Web服務(wù)器、郵件服務(wù)器、DNS服務(wù)器放置在DMZ區(qū)域，而內(nèi)部代理服務(wù)器、數(shù)據(jù)庫(kù)服務(wù)器、文件服務(wù)器等服務(wù)器都放置在內(nèi)網(wǎng)中，從而使其得到良好的安全保護(hù)。

這種基于區(qū)域分割的三角方式部署的防火墻系統(tǒng)，分為中心防火墻和個(gè)人防火墻兩大模塊。中心防火墻布置在1個(gè)雙宿主主機(jī)上，由IPSec安全子模塊、安全策略管理子模塊和用戶認(rèn)證子模塊構(gòu)成，同時(shí)，采用一次一密認(rèn)證機(jī)制，即遠(yuǎn)程主機(jī)與用戶客戶機(jī)共享1把密鑰，客戶機(jī)首先向遠(yuǎn)程主機(jī)發(fā)送1個(gè)認(rèn)證請(qǐng)求，遠(yuǎn)程主機(jī)則回應(yīng)1個(gè)隨機(jī)串，客戶機(jī)采用自己的密鑰加密這1個(gè)隨機(jī)串并回送給遠(yuǎn)程主機(jī)，遠(yuǎn)程主機(jī)用共享的密鑰進(jìn)行相同處理，并對(duì)比結(jié)果，若匹配則認(rèn)證身份成功，反之則失敗。因此可以很好地支持用戶級(jí)的分級(jí)安全策略管理。

以職員A使用某客戶機(jī)在網(wǎng)絡(luò)上檢索信息為例。首先，A發(fā)出認(rèn)證請(qǐng)求，中心防火墻模塊認(rèn)證其身份，成功后分發(fā)該用戶的用戶安全策略。然后，A打開(kāi)瀏覽器連接一個(gè)網(wǎng)站(IPSec加密傳輸)，安全策略允許其連接，則該連接請(qǐng)求通過(guò)防火墻，客戶機(jī)與Web服務(wù)器進(jìn)行正常的信息交換。如果Web服務(wù)器不支持IPSec協(xié)議，則客戶機(jī)與防火墻之間的傳輸是加密的，防火墻與W e b服務(wù)器之間則是非加密的；如果Web服務(wù)器支持IPSec協(xié)議的主機(jī)，則在防火墻與Web服務(wù)器之間采用IPSec隧道模式傳輸數(shù)據(jù)。當(dāng)A訪問(wèn)的某一頁(yè)面中含有安全策略禁止的內(nèi)容時(shí)，個(gè)人防火墻模塊將丟棄該頁(yè)面連接。接下來(lái)，如果A想訪問(wèn)其他某網(wǎng)站，那么管理員級(jí)安全策略會(huì)禁止這一連接企圖，因此中心防火墻模塊將根據(jù)安全策略丟棄這一請(qǐng)求。最后，A注銷用戶，完成一次安全服務(wù)。這樣也便于采用動(dòng)態(tài)配置防火墻策略對(duì)防火墻系統(tǒng)進(jìn)行測(cè)試。

圖2 防火墻系統(tǒng)的三角方式部署

硬件防火墻的配置

不同的防火墻在網(wǎng)絡(luò)性能、安全性和應(yīng)用透明性等方面各有利弊。硬件防火墻具有工作速度快、使用方便等特點(diǎn)。通常使用的硬件防火墻產(chǎn)品多數(shù)是Cisco公司生產(chǎn)的PIX/ASA防火墻，并且有多種型號(hào)可供選擇使用，其中，Cisco Firewall PIX 525就是一款市場(chǎng)占有率較高的典型硬件防火墻。PIX 525是一種機(jī)架式標(biāo)準(zhǔn)（即能安裝在標(biāo)準(zhǔn)的機(jī)柜里），有2U的高度，正面與Cisco路由器一樣，只有一些指示燈；從背板看，有2個(gè)Ethernet端口（RJ-45網(wǎng)卡），1個(gè)控制端口（Console），2個(gè)USB，1個(gè)15針的Failover口，還有3個(gè)PCI擴(kuò)展端口。

防火墻與路由器一樣，在使用之前也需要進(jìn)行配置。各種防火墻的配置方法基本類似，現(xiàn)以Cisco PIX 525防火墻為例，簡(jiǎn)單討論其基本配置規(guī)則和方法。按照?qǐng)D2所示的基于區(qū)域分割的三角方式部署防火墻系統(tǒng)后，譬如：內(nèi)聯(lián)網(wǎng)G0(inside，IP：192.168.1.0)、外聯(lián)網(wǎng)G1（outside，IP：192.168.2.0）和DMZ區(qū)域G2（放置對(duì)外開(kāi)放的各種服務(wù)器，IP:192.168.3.0），可采取如下訪問(wèn)控制規(guī)則配置防火墻，實(shí)現(xiàn)網(wǎng)絡(luò)的安全訪問(wèn)控制：

1.inside（IP：192.168.1.0/24）可以通過(guò)防火墻訪問(wèn)任何outside，但需要配合static進(jìn)行靜態(tài)地址轉(zhuǎn)換。例如：

PIX525(config)# static (inside，outside)192.168.1.6 192.168.2.0，表示內(nèi)部IP地址192.168.1.6，訪問(wèn)外部時(shí)被翻譯成192.168.2.0全局地址。

PIX525(config)# static (dmz，outside)192.168.3.8 192.168.2.0，表示中間區(qū)域IP地址192.168.3.8，訪問(wèn)外部時(shí)被翻譯成192.168.2.0全局地址。

2.inside可以訪問(wèn)DMZ區(qū)，內(nèi)網(wǎng)用戶可以使用管理DMZ中的各種服務(wù)器。例如，制定一個(gè)允許內(nèi)網(wǎng)中的客戶機(jī)訪問(wèn)端口80的規(guī)則，其命令為:

使用這個(gè)訪問(wèn)控制列表之后，內(nèi)部主機(jī)訪問(wèn)外聯(lián)網(wǎng)絡(luò)的Web服務(wù)器(路由器)受到了限制。

3.outside不能訪問(wèn)inside區(qū)。inside區(qū)域中存放的是內(nèi)部數(shù)據(jù)，這些數(shù)據(jù)不允許外聯(lián)網(wǎng)用戶進(jìn)行訪問(wèn)。outside可以訪問(wèn)DMZ區(qū)的各種服務(wù)器，但需要配合訪問(wèn)控制列表(ACL)。例如：

4.DMZ既不能訪問(wèn)outside區(qū)，也不能訪問(wèn)inside區(qū)。因?yàn)镈MZ中的服務(wù)器是專門(mén)用于給外界提供服務(wù)的，所以外網(wǎng)可以訪問(wèn)DMZ，而DMZ中的服務(wù)器則沒(méi)有必要主動(dòng)訪問(wèn)外網(wǎng)。如果允許DMZ訪問(wèn)inside區(qū)，當(dāng)入侵者攻陷DMZ時(shí)，就可以進(jìn)一步攻擊內(nèi)網(wǎng)的重要敏感數(shù)據(jù)。

ACL實(shí)現(xiàn)防火墻的部分功能

由于許多路由器具有很強(qiáng)的IP數(shù)據(jù)包過(guò)濾功能，在實(shí)現(xiàn)IP數(shù)據(jù)包轉(zhuǎn)發(fā)的同時(shí)可以進(jìn)行包過(guò)濾。因此，除了采取專用設(shè)備作為防火墻系統(tǒng)之外，對(duì)于一般復(fù)雜程度的安全策略，也可以通過(guò)直接配置路由器的訪問(wèn)控制列表（ACL）來(lái)實(shí)現(xiàn)防火墻的部分功能。

以Cisco路由器的過(guò)濾規(guī)則為例，若允許來(lái)自任何源IP地址和源端口、目的IP地址為192.168.2.0、端口號(hào)為80的TCP報(bào)文通過(guò)，其命令表項(xiàng)為：

若允許來(lái)自任何源IP地址、源端口為20、目的IP地址為192.168. 0.0/16，而且目的端口號(hào)在1023以上的TCP報(bào)文通過(guò)，其命令表項(xiàng)為：

注意，此處的0.0.255.255表示16位子網(wǎng)掩碼，與通常的表示方式（255.255.0.0）恰好相反，這是Cisco路由器設(shè)備的約定。一個(gè)比較復(fù)雜的配置示例為：

經(jīng)過(guò)這樣配置路由器過(guò)濾功能之后，可以實(shí)現(xiàn)較為安全的網(wǎng)絡(luò)環(huán)境。

隨著互聯(lián)網(wǎng)技術(shù)的飛速發(fā)展，網(wǎng)絡(luò)安全問(wèn)題將愈來(lái)愈引起人們的重視。盡管人們研究設(shè)計(jì)了各種各樣的安全防御技術(shù)與方案，但仍然頻頻發(fā)生網(wǎng)絡(luò)安全事故。以基于區(qū)域分割的層疊式或三角方式部署和配置防火墻系統(tǒng)，可有效地提高網(wǎng)絡(luò)的健壯性。當(dāng)然，網(wǎng)絡(luò)安全單靠防火墻或者某種優(yōu)化配置方案是不夠的，需要有其它安全技術(shù)及非技術(shù)因素的配合，如數(shù)據(jù)加密技術(shù)、身份認(rèn)證技術(shù)、網(wǎng)絡(luò)法規(guī)、網(wǎng)絡(luò)管理人員的安全意識(shí)等。

(作者單位為南京工程學(xué)院)