亚洲免费av电影一区二区三区,日韩爱爱视频,51精品视频一区二区三区,91视频爱爱,日韩欧美在线播放视频,中文字幕少妇AV,亚洲电影中文字幕,久久久久亚洲av成人网址,久久综合视频网站,国产在线不卡免费播放

        ?

        有效部署防火墻的兩種方式

        2010-11-09 06:42:26劉化君
        中國(guó)教育網(wǎng)絡(luò) 2010年4期
        關(guān)鍵詞:區(qū)域分割客戶機(jī)安全策略

        文/劉化君

        有效部署防火墻的兩種方式

        文/劉化君

        采取基于區(qū)域分割的層疊方式或三角方式來(lái)部署防火墻系統(tǒng),以實(shí)現(xiàn)比較安全的網(wǎng)絡(luò)環(huán)境。

        防火墻是目前最為流行也是應(yīng)用最為廣泛的網(wǎng)絡(luò)安全技術(shù)。在構(gòu)建安全網(wǎng)絡(luò)的過(guò)程中,防火墻作為第一道安全防線正受到越來(lái)越多用戶的關(guān)注。

        防火墻的設(shè)計(jì)基于兩大假設(shè):1.在防火墻內(nèi)部各主機(jī)是可信的;2.防火墻外部每一個(gè)訪問(wèn)都是攻擊性的,至少是有被攻擊的可能性。這種假設(shè)已不能適應(yīng)互聯(lián)網(wǎng)的發(fā)展需求。大量事實(shí)顯示,來(lái)自內(nèi)外結(jié)合的攻擊是當(dāng)前網(wǎng)絡(luò)安全的最大威脅。顯然,單一的防火墻難以消除這一威脅,需要采取綜合的防范措施,其中,如何在網(wǎng)絡(luò)系統(tǒng)部署及其配置防火墻是關(guān)鍵性的工作。本文討論如何采取層疊方式或區(qū)域分割的三角方式來(lái)部署防火墻系統(tǒng),以實(shí)現(xiàn)比較安全的網(wǎng)絡(luò)環(huán)境。

        圖1 防火墻系統(tǒng)的層疊方式部署方案

        部署方案

        目前,防火墻作為用來(lái)實(shí)現(xiàn)網(wǎng)絡(luò)安全的一種手段,主要是用來(lái)拒絕未經(jīng)授權(quán)用戶的訪問(wèn)、存取敏感數(shù)據(jù),同時(shí)允許合法用戶訪問(wèn)網(wǎng)絡(luò)資源不受影響。安裝防火墻的基本原則是只要有惡意侵入的可能,無(wú)論是在內(nèi)網(wǎng)還是在與外部公網(wǎng)的連接處,都應(yīng)該安裝防火墻。那么,究竟應(yīng)該在哪些地方部署防火墻呢?通常,防火墻規(guī)則的實(shí)施和入侵檢測(cè)系統(tǒng)的部署安裝防火墻的位置是在機(jī)構(gòu)內(nèi)聯(lián)網(wǎng)與互聯(lián)網(wǎng)的接口處,以阻擋來(lái)自互聯(lián)網(wǎng)的入侵;如果機(jī)構(gòu)內(nèi)聯(lián)網(wǎng)規(guī)模較大,并且設(shè)置有虛擬局域網(wǎng)(VLAN),可以在各VLAN 之間設(shè)置;有時(shí),在與互聯(lián)網(wǎng)連接的各分支機(jī)構(gòu)之間也設(shè)置防火墻。這樣加固網(wǎng)絡(luò),看起來(lái)比較安全,但并不是一個(gè)優(yōu)化的方案。通過(guò)分析研究與實(shí)踐,我們?cè)O(shè)計(jì)了一個(gè)基于區(qū)域分割的層疊方式或三角方式來(lái)部署防火墻系統(tǒng),可以實(shí)現(xiàn)比較安全的網(wǎng)絡(luò)環(huán)境。層疊方式

        基于區(qū)域分割的層疊方式的防火墻系統(tǒng)使用2臺(tái)中心防火墻,將DMZ區(qū)域放置在2臺(tái)防火墻之間,如圖1所示。其中,連接外部網(wǎng)絡(luò)和DMZ區(qū)域的防火墻僅僅承擔(dān)一些數(shù)據(jù)包過(guò)濾任務(wù),通常由邊界路由器的訪問(wèn)控制列表ACL來(lái)實(shí)現(xiàn),而連接內(nèi)部網(wǎng)絡(luò)和DMZ區(qū)域的中心防火墻是1臺(tái)專用防火墻,實(shí)施詳細(xì)的訪問(wèn)控制策略。

        三角方式

        基于區(qū)域分割的三角方式防火墻系統(tǒng)部署方案如圖2所示(見(jiàn)下頁(yè))。它將區(qū)域分割為內(nèi)聯(lián)網(wǎng)(軍事化區(qū)域)、互聯(lián)網(wǎng)(外聯(lián)網(wǎng))和非軍事化區(qū)域(DMZ區(qū)域)3個(gè)區(qū)域,通過(guò)中心防火墻以三角方式連接起來(lái)。例如,將Web服務(wù)器、郵件服務(wù)器、DNS服務(wù)器放置在DMZ區(qū)域,而內(nèi)部代理服務(wù)器、數(shù)據(jù)庫(kù)服務(wù)器、文件服務(wù)器等服務(wù)器都放置在內(nèi)網(wǎng)中,從而使其得到良好的安全保護(hù)。

        這種基于區(qū)域分割的三角方式部署的防火墻系統(tǒng),分為中心防火墻和個(gè)人防火墻兩大模塊。中心防火墻布置在1個(gè)雙宿主主機(jī)上,由IPSec安全子模塊、安全策略管理子模塊和用戶認(rèn)證子模塊構(gòu)成,同時(shí),采用一次一密認(rèn)證機(jī)制,即遠(yuǎn)程主機(jī)與用戶客戶機(jī)共享1把密鑰,客戶機(jī)首先向遠(yuǎn)程主機(jī)發(fā)送1個(gè)認(rèn)證請(qǐng)求,遠(yuǎn)程主機(jī)則回應(yīng)1個(gè)隨機(jī)串,客戶機(jī)采用自己的密鑰加密這1個(gè)隨機(jī)串并回送給遠(yuǎn)程主機(jī),遠(yuǎn)程主機(jī)用共享的密鑰進(jìn)行相同處理,并對(duì)比結(jié)果,若匹配則認(rèn)證身份成功,反之則失敗。因此可以很好地支持用戶級(jí)的分級(jí)安全策略管理。

        以職員A使用某客戶機(jī)在網(wǎng)絡(luò)上檢索信息為例。首先,A發(fā)出認(rèn)證請(qǐng)求,中心防火墻模塊認(rèn)證其身份,成功后分發(fā)該用戶的用戶安全策略。然后,A打開(kāi)瀏覽器連接一個(gè)網(wǎng)站(IPSec加密傳輸),安全策略允許其連接,則該連接請(qǐng)求通過(guò)防火墻,客戶機(jī)與Web服務(wù)器進(jìn)行正常的信息交換。如果Web服務(wù)器不支持IPSec協(xié)議,則客戶機(jī)與防火墻之間的傳輸是加密的,防火墻與W e b服務(wù)器之間則是非加密的;如果Web服務(wù)器支持IPSec協(xié)議的主機(jī),則在防火墻與Web服務(wù)器之間采用IPSec隧道模式傳輸數(shù)據(jù)。當(dāng)A訪問(wèn)的某一頁(yè)面中含有安全策略禁止的內(nèi)容時(shí),個(gè)人防火墻模塊將丟棄該頁(yè)面連接。接下來(lái),如果A想訪問(wèn)其他某網(wǎng)站,那么管理員級(jí)安全策略會(huì)禁止這一連接企圖,因此中心防火墻模塊將根據(jù)安全策略丟棄這一請(qǐng)求。最后,A注銷用戶,完成一次安全服務(wù)。這樣也便于采用動(dòng)態(tài)配置防火墻策略對(duì)防火墻系統(tǒng)進(jìn)行測(cè)試。

        圖2 防火墻系統(tǒng)的三角方式部署

        硬件防火墻的配置

        不同的防火墻在網(wǎng)絡(luò)性能、安全性和應(yīng)用透明性等方面各有利弊。硬件防火墻具有工作速度快、使用方便等特點(diǎn)。通常使用的硬件防火墻產(chǎn)品多數(shù)是Cisco公司生產(chǎn)的PIX/ASA防火墻,并且有多種型號(hào)可供選擇使用,其中,Cisco Firewall PIX 525就是一款市場(chǎng)占有率較高的典型硬件防火墻。PIX 525是一種機(jī)架式標(biāo)準(zhǔn)(即能安裝在標(biāo)準(zhǔn)的機(jī)柜里),有2U的高度,正面與Cisco路由器一樣,只有一些指示燈;從背板看,有2個(gè)Ethernet端口(RJ-45網(wǎng)卡),1個(gè)控制端口(Console),2個(gè)USB,1個(gè)15針的Failover口,還有3個(gè)PCI擴(kuò)展端口。

        防火墻與路由器一樣,在使用之前也需要進(jìn)行配置。各種防火墻的配置方法基本類似,現(xiàn)以Cisco PIX 525防火墻為例,簡(jiǎn)單討論其基本配置規(guī)則和方法。按照?qǐng)D2所示的基于區(qū)域分割的三角方式部署防火墻系統(tǒng)后,譬如:內(nèi)聯(lián)網(wǎng)G0(inside,IP:192.168.1.0)、外聯(lián)網(wǎng)G1(outside,IP:192.168.2.0)和DMZ區(qū)域G2(放置對(duì)外開(kāi)放的各種服務(wù)器,IP:192.168.3.0),可采取如下訪問(wèn)控制規(guī)則配置防火墻,實(shí)現(xiàn)網(wǎng)絡(luò)的安全訪問(wèn)控制:

        1.inside(IP:192.168.1.0/24)可以通過(guò)防火墻訪問(wèn)任何outside,但需要配合static進(jìn)行靜態(tài)地址轉(zhuǎn)換。例如:

        PIX525(config)# static (inside,outside)192.168.1.6 192.168.2.0,表示內(nèi)部IP地址192.168.1.6,訪問(wèn)外部時(shí)被翻譯成192.168.2.0全局地址。

        PIX525(config)# static (dmz,outside)192.168.3.8 192.168.2.0,表示中間區(qū)域IP地址192.168.3.8,訪問(wèn)外部時(shí)被翻譯成192.168.2.0全局地址。

        2.inside可以訪問(wèn)DMZ區(qū),內(nèi)網(wǎng)用戶可以使用管理DMZ中的各種服務(wù)器。例如,制定一個(gè)允許內(nèi)網(wǎng)中的客戶機(jī)訪問(wèn)端口80的規(guī)則,其命令為:

        使用這個(gè)訪問(wèn)控制列表之后,內(nèi)部主機(jī)訪問(wèn)外聯(lián)網(wǎng)絡(luò)的Web服務(wù)器(路由器)受到了限制。

        3.outside不能訪問(wèn)inside區(qū)。inside區(qū)域中存放的是內(nèi)部數(shù)據(jù),這些數(shù)據(jù)不允許外聯(lián)網(wǎng)用戶進(jìn)行訪問(wèn)。outside可以訪問(wèn)DMZ區(qū)的各種服務(wù)器,但需要配合訪問(wèn)控制列表(ACL)。例如:

        4.DMZ既不能訪問(wèn)outside區(qū),也不能訪問(wèn)inside區(qū)。因?yàn)镈MZ中的服務(wù)器是專門(mén)用于給外界提供服務(wù)的,所以外網(wǎng)可以訪問(wèn)DMZ,而DMZ中的服務(wù)器則沒(méi)有必要主動(dòng)訪問(wèn)外網(wǎng)。如果允許DMZ訪問(wèn)inside區(qū),當(dāng)入侵者攻陷DMZ時(shí),就可以進(jìn)一步攻擊內(nèi)網(wǎng)的重要敏感數(shù)據(jù)。

        ACL實(shí)現(xiàn)防火墻的部分功能

        由于許多路由器具有很強(qiáng)的IP數(shù)據(jù)包過(guò)濾功能,在實(shí)現(xiàn)IP數(shù)據(jù)包轉(zhuǎn)發(fā)的同時(shí)可以進(jìn)行包過(guò)濾。因此,除了采取專用設(shè)備作為防火墻系統(tǒng)之外,對(duì)于一般復(fù)雜程度的安全策略,也可以通過(guò)直接配置路由器的訪問(wèn)控制列表(ACL)來(lái)實(shí)現(xiàn)防火墻的部分功能。

        以Cisco路由器的過(guò)濾規(guī)則為例,若允許來(lái)自任何源IP地址和源端口、目的IP地址為192.168.2.0、端口號(hào)為80的TCP報(bào)文通過(guò),其命令表項(xiàng)為:

        若允許來(lái)自任何源IP地址、源端口為20、目的IP地址為192.168. 0.0/16,而且目的端口號(hào)在1023以上的TCP報(bào)文通過(guò),其命令表項(xiàng)為:

        注意,此處的0.0.255.255表示16位子網(wǎng)掩碼,與通常的表示方式(255.255.0.0)恰好相反,這是Cisco路由器設(shè)備的約定。一個(gè)比較復(fù)雜的配置示例為:

        經(jīng)過(guò)這樣配置路由器過(guò)濾功能之后,可以實(shí)現(xiàn)較為安全的網(wǎng)絡(luò)環(huán)境。

        隨著互聯(lián)網(wǎng)技術(shù)的飛速發(fā)展,網(wǎng)絡(luò)安全問(wèn)題將愈來(lái)愈引起人們的重視。盡管人們研究設(shè)計(jì)了各種各樣的安全防御技術(shù)與方案,但仍然頻頻發(fā)生網(wǎng)絡(luò)安全事故。以基于區(qū)域分割的層疊式或三角方式部署和配置防火墻系統(tǒng),可有效地提高網(wǎng)絡(luò)的健壯性。當(dāng)然,網(wǎng)絡(luò)安全單靠防火墻或者某種優(yōu)化配置方案是不夠的,需要有其它安全技術(shù)及非技術(shù)因素的配合,如數(shù)據(jù)加密技術(shù)、身份認(rèn)證技術(shù)、網(wǎng)絡(luò)法規(guī)、網(wǎng)絡(luò)管理人員的安全意識(shí)等。

        (作者單位為南京工程學(xué)院)

        猜你喜歡
        區(qū)域分割客戶機(jī)安全策略
        Reducing the global cancer burden with gastrointestinal screening: China’s 30 years practice
        基于認(rèn)知負(fù)荷理論的叉車安全策略分析
        一種用于前列腺區(qū)域分割的改進(jìn)水平集算法
        基于飛行疲勞角度探究民航飛行員飛行安全策略
        圖像區(qū)域分割算法綜述及比較
        淺析涉密信息系統(tǒng)安全策略
        京津冀區(qū)域交通一體化戰(zhàn)略思考
        基于分形幾何和最小凸包法的肺區(qū)域分割算法
        如何加強(qiáng)農(nóng)村食鹽消費(fèi)安全策略
        瘦客戶機(jī):安全與便捷的選擇
        亚洲av片不卡无码久久| 亚洲字幕中文综合久久| 九九久久自然熟的香蕉图片| 精品国产乱码久久久久久口爆网站| 999精品免费视频观看| 在线视频播放观看免费| 国产av在线观看久久| 无遮无挡爽爽免费毛片| 久久av高潮av喷水av无码 | 国产午夜av秒播在线观看| 久久久久久人妻毛片a片| 国产又黄又爽又无遮挡的视频| 91人妻人人做人人爽九色| 国产99久久久国产精品~~牛| 人与禽交av在线播放| 亚洲精品一区网站在线观看| 国产在线观看女主播户外| 97精品人人妻人人| 国产在线精品一区二区不卡| 激情文学人妻中文字幕| 国产免费二区三区视频| 黑人巨大精品欧美一区二区| 免费AV一区二区三区无码| 一区二区三区国产大片| 伊人情人色综合网站| 国产精品久久久久久无码| 日本中文字幕一区二区高清在线 | 人妻精品一区二区三区蜜桃| 天天摸夜夜摸摸到高潮| 亚洲AV无码一区二区三区人| 日韩人妻中文字幕一区二区| 华人免费网站在线观看| 最新高清无码专区| 国产精品国产三级国产av创| 久久精品国产亚洲av网站| 国产精品无码一区二区三区电影| 久热在线播放中文字幕| 在线不卡中文字幕福利| 中文字幕亚洲乱码熟女1区| 性色av无码久久一区二区三区| 人妻少妇无码中文幕久久|