文/劉化君

有效部署防火墻的兩種方式

文/劉化君

采取基于區(qū)域分割的層疊方式或三角方式來部署防火墻系統(tǒng)，以實現(xiàn)比較安全的網(wǎng)絡(luò)環(huán)境。

防火墻是目前最為流行也是應(yīng)用最為廣泛的網(wǎng)絡(luò)安全技術(shù)。在構(gòu)建安全網(wǎng)絡(luò)的過程中，防火墻作為第一道安全防線正受到越來越多用戶的關(guān)注。

防火墻的設(shè)計基于兩大假設(shè)：1.在防火墻內(nèi)部各主機是可信的；2.防火墻外部每一個訪問都是攻擊性的，至少是有被攻擊的可能性。這種假設(shè)已不能適應(yīng)互聯(lián)網(wǎng)的發(fā)展需求。大量事實顯示，來自內(nèi)外結(jié)合的攻擊是當前網(wǎng)絡(luò)安全的最大威脅。顯然，單一的防火墻難以消除這一威脅，需要采取綜合的防范措施，其中，如何在網(wǎng)絡(luò)系統(tǒng)部署及其配置防火墻是關(guān)鍵性的工作。本文討論如何采取層疊方式或區(qū)域分割的三角方式來部署防火墻系統(tǒng)，以實現(xiàn)比較安全的網(wǎng)絡(luò)環(huán)境。

圖1 防火墻系統(tǒng)的層疊方式部署方案

部署方案

目前，防火墻作為用來實現(xiàn)網(wǎng)絡(luò)安全的一種手段，主要是用來拒絕未經(jīng)授權(quán)用戶的訪問、存取敏感數(shù)據(jù)，同時允許合法用戶訪問網(wǎng)絡(luò)資源不受影響。安裝防火墻的基本原則是只要有惡意侵入的可能，無論是在內(nèi)網(wǎng)還是在與外部公網(wǎng)的連接處，都應(yīng)該安裝防火墻。那么，究竟應(yīng)該在哪些地方部署防火墻呢？通常，防火墻規(guī)則的實施和入侵檢測系統(tǒng)的部署安裝防火墻的位置是在機構(gòu)內(nèi)聯(lián)網(wǎng)與互聯(lián)網(wǎng)的接口處，以阻擋來自互聯(lián)網(wǎng)的入侵；如果機構(gòu)內(nèi)聯(lián)網(wǎng)規(guī)模較大，并且設(shè)置有虛擬局域網(wǎng)（VLAN），可以在各VLAN 之間設(shè)置；有時，在與互聯(lián)網(wǎng)連接的各分支機構(gòu)之間也設(shè)置防火墻。這樣加固網(wǎng)絡(luò)，看起來比較安全，但并不是一個優(yōu)化的方案。通過分析研究與實踐，我們設(shè)計了一個基于區(qū)域分割的層疊方式或三角方式來部署防火墻系統(tǒng)，可以實現(xiàn)比較安全的網(wǎng)絡(luò)環(huán)境。層疊方式

基于區(qū)域分割的層疊方式的防火墻系統(tǒng)使用2臺中心防火墻，將DMZ區(qū)域放置在2臺防火墻之間，如圖1所示。其中，連接外部網(wǎng)絡(luò)和DMZ區(qū)域的防火墻僅僅承擔一些數(shù)據(jù)包過濾任務(wù)，通常由邊界路由器的訪問控制列表ACL來實現(xiàn)，而連接內(nèi)部網(wǎng)絡(luò)和DMZ區(qū)域的中心防火墻是1臺專用防火墻，實施詳細的訪問控制策略。

三角方式

基于區(qū)域分割的三角方式防火墻系統(tǒng)部署方案如圖2所示（見下頁）。它將區(qū)域分割為內(nèi)聯(lián)網(wǎng)（軍事化區(qū)域）、互聯(lián)網(wǎng)（外聯(lián)網(wǎng)）和非軍事化區(qū)域（DMZ區(qū)域）3個區(qū)域，通過中心防火墻以三角方式連接起來。例如，將Web服務(wù)器、郵件服務(wù)器、DNS服務(wù)器放置在DMZ區(qū)域，而內(nèi)部代理服務(wù)器、數(shù)據(jù)庫服務(wù)器、文件服務(wù)器等服務(wù)器都放置在內(nèi)網(wǎng)中，從而使其得到良好的安全保護。

這種基于區(qū)域分割的三角方式部署的防火墻系統(tǒng)，分為中心防火墻和個人防火墻兩大模塊。中心防火墻布置在1個雙宿主主機上，由IPSec安全子模塊、安全策略管理子模塊和用戶認證子模塊構(gòu)成，同時，采用一次一密認證機制，即遠程主機與用戶客戶機共享1把密鑰，客戶機首先向遠程主機發(fā)送1個認證請求，遠程主機則回應(yīng)1個隨機串，客戶機采用自己的密鑰加密這1個隨機串并回送給遠程主機，遠程主機用共享的密鑰進行相同處理，并對比結(jié)果，若匹配則認證身份成功，反之則失敗。因此可以很好地支持用戶級的分級安全策略管理。

以職員A使用某客戶機在網(wǎng)絡(luò)上檢索信息為例。首先，A發(fā)出認證請求，中心防火墻模塊認證其身份，成功后分發(fā)該用戶的用戶安全策略。然后，A打開瀏覽器連接一個網(wǎng)站(IPSec加密傳輸)，安全策略允許其連接，則該連接請求通過防火墻，客戶機與Web服務(wù)器進行正常的信息交換。如果Web服務(wù)器不支持IPSec協(xié)議，則客戶機與防火墻之間的傳輸是加密的，防火墻與W e b服務(wù)器之間則是非加密的；如果Web服務(wù)器支持IPSec協(xié)議的主機，則在防火墻與Web服務(wù)器之間采用IPSec隧道模式傳輸數(shù)據(jù)。當A訪問的某一頁面中含有安全策略禁止的內(nèi)容時，個人防火墻模塊將丟棄該頁面連接。接下來，如果A想訪問其他某網(wǎng)站，那么管理員級安全策略會禁止這一連接企圖，因此中心防火墻模塊將根據(jù)安全策略丟棄這一請求。最后，A注銷用戶，完成一次安全服務(wù)。這樣也便于采用動態(tài)配置防火墻策略對防火墻系統(tǒng)進行測試。

圖2 防火墻系統(tǒng)的三角方式部署

硬件防火墻的配置

不同的防火墻在網(wǎng)絡(luò)性能、安全性和應(yīng)用透明性等方面各有利弊。硬件防火墻具有工作速度快、使用方便等特點。通常使用的硬件防火墻產(chǎn)品多數(shù)是Cisco公司生產(chǎn)的PIX/ASA防火墻，并且有多種型號可供選擇使用，其中，Cisco Firewall PIX 525就是一款市場占有率較高的典型硬件防火墻。PIX 525是一種機架式標準（即能安裝在標準的機柜里），有2U的高度，正面與Cisco路由器一樣，只有一些指示燈；從背板看，有2個Ethernet端口（RJ-45網(wǎng)卡），1個控制端口（Console），2個USB，1個15針的Failover口，還有3個PCI擴展端口。

防火墻與路由器一樣，在使用之前也需要進行配置。各種防火墻的配置方法基本類似，現(xiàn)以Cisco PIX 525防火墻為例，簡單討論其基本配置規(guī)則和方法。按照圖2所示的基于區(qū)域分割的三角方式部署防火墻系統(tǒng)后，譬如：內(nèi)聯(lián)網(wǎng)G0(inside，IP：192.168.1.0)、外聯(lián)網(wǎng)G1（outside，IP：192.168.2.0）和DMZ區(qū)域G2（放置對外開放的各種服務(wù)器，IP:192.168.3.0），可采取如下訪問控制規(guī)則配置防火墻，實現(xiàn)網(wǎng)絡(luò)的安全訪問控制：

1.inside（IP：192.168.1.0/24）可以通過防火墻訪問任何outside，但需要配合static進行靜態(tài)地址轉(zhuǎn)換。例如：

PIX525(config)# static (inside，outside)192.168.1.6 192.168.2.0，表示內(nèi)部IP地址192.168.1.6，訪問外部時被翻譯成192.168.2.0全局地址。

PIX525(config)# static (dmz，outside)192.168.3.8 192.168.2.0，表示中間區(qū)域IP地址192.168.3.8，訪問外部時被翻譯成192.168.2.0全局地址。

2.inside可以訪問DMZ區(qū)，內(nèi)網(wǎng)用戶可以使用管理DMZ中的各種服務(wù)器。例如，制定一個允許內(nèi)網(wǎng)中的客戶機訪問端口80的規(guī)則，其命令為:

使用這個訪問控制列表之后，內(nèi)部主機訪問外聯(lián)網(wǎng)絡(luò)的Web服務(wù)器(路由器)受到了限制。

3.outside不能訪問inside區(qū)。inside區(qū)域中存放的是內(nèi)部數(shù)據(jù)，這些數(shù)據(jù)不允許外聯(lián)網(wǎng)用戶進行訪問。outside可以訪問DMZ區(qū)的各種服務(wù)器，但需要配合訪問控制列表(ACL)。例如：

4.DMZ既不能訪問outside區(qū)，也不能訪問inside區(qū)。因為DMZ中的服務(wù)器是專門用于給外界提供服務(wù)的，所以外網(wǎng)可以訪問DMZ，而DMZ中的服務(wù)器則沒有必要主動訪問外網(wǎng)。如果允許DMZ訪問inside區(qū)，當入侵者攻陷DMZ時，就可以進一步攻擊內(nèi)網(wǎng)的重要敏感數(shù)據(jù)。

ACL實現(xiàn)防火墻的部分功能

由于許多路由器具有很強的IP數(shù)據(jù)包過濾功能，在實現(xiàn)IP數(shù)據(jù)包轉(zhuǎn)發(fā)的同時可以進行包過濾。因此，除了采取專用設(shè)備作為防火墻系統(tǒng)之外，對于一般復(fù)雜程度的安全策略，也可以通過直接配置路由器的訪問控制列表（ACL）來實現(xiàn)防火墻的部分功能。

以Cisco路由器的過濾規(guī)則為例，若允許來自任何源IP地址和源端口、目的IP地址為192.168.2.0、端口號為80的TCP報文通過，其命令表項為：

若允許來自任何源IP地址、源端口為20、目的IP地址為192.168. 0.0/16，而且目的端口號在1023以上的TCP報文通過，其命令表項為：

注意，此處的0.0.255.255表示16位子網(wǎng)掩碼，與通常的表示方式（255.255.0.0）恰好相反，這是Cisco路由器設(shè)備的約定。一個比較復(fù)雜的配置示例為：

經(jīng)過這樣配置路由器過濾功能之后，可以實現(xiàn)較為安全的網(wǎng)絡(luò)環(huán)境。

隨著互聯(lián)網(wǎng)技術(shù)的飛速發(fā)展，網(wǎng)絡(luò)安全問題將愈來愈引起人們的重視。盡管人們研究設(shè)計了各種各樣的安全防御技術(shù)與方案，但仍然頻頻發(fā)生網(wǎng)絡(luò)安全事故。以基于區(qū)域分割的層疊式或三角方式部署和配置防火墻系統(tǒng)，可有效地提高網(wǎng)絡(luò)的健壯性。當然，網(wǎng)絡(luò)安全單靠防火墻或者某種優(yōu)化配置方案是不夠的，需要有其它安全技術(shù)及非技術(shù)因素的配合，如數(shù)據(jù)加密技術(shù)、身份認證技術(shù)、網(wǎng)絡(luò)法規(guī)、網(wǎng)絡(luò)管理人員的安全意識等。

(作者單位為南京工程學(xué)院)