防火墻作為外部網(wǎng)絡(luò)及內(nèi)部網(wǎng)絡(luò)中間的一道天然屏障，能有效阻止來自外部的網(wǎng)絡(luò)攻擊，并管理來自內(nèi)部的數(shù)據(jù)訪問，從而有效增加了企業(yè)網(wǎng)絡(luò)的安全性。通過有效的防火墻部署策略，可以令企業(yè)業(yè)務(wù)正常開展，讓企業(yè)內(nèi)部網(wǎng)絡(luò)高度安全。

一、防火墻常見設(shè)計方案

1.防火墻設(shè)計的幾個考慮因素

防火墻的設(shè)計要考慮其可用性、安全性、可擴展性、可靠性、經(jīng)濟(jì)性及標(biāo)準(zhǔn)等。如安全性是否通過國際計算機安全協(xié)會（ICSA）的認(rèn)證，是否支持?jǐn)U展等。

2.防火墻位置選擇

防火墻通常有兩種放置方法：放在路由器前面；放在路由器后面。兩者各有優(yōu)缺點，筆者認(rèn)為把防火墻放到路由器的后面效果更好，原因有三：（1）網(wǎng)絡(luò)邊界的路由器負(fù)責(zé)網(wǎng)絡(luò)互聯(lián)、數(shù)據(jù)包的轉(zhuǎn)發(fā)，防火墻負(fù)責(zé)數(shù)據(jù)包過濾等安全防護(hù)的工作保護(hù)內(nèi)部網(wǎng)絡(luò)，提高網(wǎng)絡(luò)速度；（2）路由器上的接口類型豐富，能適應(yīng)更多的廣域網(wǎng)的接入技術(shù)；（3）通過防火墻在內(nèi)部之間劃分不同的區(qū)域，如內(nèi)部網(wǎng)絡(luò)區(qū)域，DMZ區(qū)域、外部網(wǎng)絡(luò)區(qū)域。這種區(qū)域的劃分，可以有效管理來自內(nèi)部和外部的數(shù)據(jù)，讓網(wǎng)絡(luò)更安全。對于一些要公開的服務(wù)及應(yīng)用，將它劃在DMZ區(qū)，可以有效地避免與內(nèi)部網(wǎng)絡(luò)更嚴(yán)格的安全策略相矛盾的情況。

3.防火墻常見設(shè)計方案

（1）典型設(shè)計。防火墻置于邊界路由器與交換機之間隔離內(nèi)網(wǎng)和外網(wǎng)，保護(hù)內(nèi)部網(wǎng)絡(luò)安全，如圖1所示。

（2）多區(qū)域劃分。在支持區(qū)域劃分的防火墻上，為了更好地實施域間策略，增加網(wǎng)絡(luò)安全性，通常通過防火墻將網(wǎng)絡(luò)劃分為多個區(qū)域，如外部區(qū)域、內(nèi)部區(qū)域、DMZ區(qū)域等。DMZ區(qū)域通常用于放置企業(yè)對外提供服務(wù)的服務(wù)器。如圖2所示。

（3）容錯防火墻集配置。由于防火墻位于網(wǎng)絡(luò)關(guān)鍵路徑，若其發(fā)生故障，則不同區(qū)域的網(wǎng)絡(luò)將不能相互訪問，可能會導(dǎo)致企業(yè)業(yè)務(wù)的中斷。在企業(yè)對網(wǎng)絡(luò)安全要求高且需要防火墻提供全天候網(wǎng)絡(luò)保護(hù)的情況下，可以采用容錯防火墻集的方式實現(xiàn)容錯，從而實現(xiàn)穩(wěn)定的可靠的服務(wù)。

容錯防火墻集有兩種不同的配置方法，分別是“主動/被動容錯防火墻集”、“主動/主動容錯防火墻集”?！爸鲃?被動容錯防火墻集”將防火墻分為主防火墻與備份防火墻，主防火墻處理所有通信，備用防火墻不執(zhí)行通信，也不執(zhí)行篩選，只保持活動狀態(tài)。主從之間通過心跳線來相互檢測雙方是否正常的運行，一旦主防火墻不工作，備用防火墻則馬上接替主防火墻工作，如圖3所示。

“主動/主動容錯防火墻集”這種配置方式，兩個防火墻主動偵聽發(fā)到虛擬IP地址的所有請求，主動篩選不同的通信，兩者同時負(fù)擔(dān)網(wǎng)絡(luò)所有的通信。因此，相對來說“主動/主動容錯防火墻集”利用率高，能處理更大的通信量；當(dāng)其中一個防火墻有問題時，另外一個防火墻主動承擔(dān)另外一個防火墻的通信。其設(shè)計只需將圖3所示中的備份防火墻改為主防火墻就行了。

二、防火墻的種類及選擇

1.ISA SERVER防火墻

該防火墻屬于應(yīng)用層防火墻，工作在TCP/IP 堆棧的“應(yīng)用層”上，可以攔截進(jìn)出某應(yīng)用程序的所有封包。理論上，這一類防火墻可以完全阻絕外部的數(shù)據(jù)流進(jìn)到受保護(hù)的機器里。使用瀏覽器所產(chǎn)生的數(shù)據(jù)流或是使用 FTP 時的數(shù)據(jù)流都是屬于這一層。

使用該防火墻可以實現(xiàn)拒絕應(yīng)用層上的服務(wù)，如FTP/WWW/TELNET等的服務(wù)，還可以禁止QQ，MSN網(wǎng)絡(luò)應(yīng)用軟件等的通信。但其由于需要把數(shù)據(jù)還原到應(yīng)用層，其系統(tǒng)資源的開銷也比傳統(tǒng)的包過濾防火墻要高，因此安裝ISA的服務(wù)器有一定的性能要求，否則ISA將會成為網(wǎng)絡(luò)的瓶頸。

使用ISA SERVER作為企業(yè)網(wǎng)絡(luò)防火墻時，通常將網(wǎng)絡(luò)劃分為不可信的外部網(wǎng)絡(luò)以及可信的內(nèi)部網(wǎng)絡(luò)。兩個區(qū)域內(nèi)網(wǎng)網(wǎng)絡(luò)的客戶端分為三種類型：

第一種是WEB代理客戶端ISA SERVER作為代理服務(wù)器來用，只需要在代理客戶端IE瀏覽器的internet選項上設(shè)置http代理服務(wù)器為ISA服務(wù)器即可。這種客戶端只可以上網(wǎng)，不可以進(jìn)行如QQ之類的通信。此種客戶端的安全限制比較高，比較適合企業(yè)的某些僅可以上網(wǎng)頁查找資料的部門，如財務(wù)部。由于其利用ISA SERVER上的緩存功能，上網(wǎng)的速度較快。

第二種是NAT客戶端，這種客戶端只需要配置網(wǎng)關(guān)及DNS等信息，即可通過ISA代理服務(wù)器通向外網(wǎng)。這種客戶端的沒有安全限制，可用于對訪問外網(wǎng)沒有安全限制的部門或者對外提供服務(wù)部門，如郵件服務(wù)器、Web服務(wù)器。

第三種是防火墻客戶端，通常這種客戶端的設(shè)置是為了防止這些客戶端受到來自內(nèi)網(wǎng)的攻擊。這種客戶端需要在機器上安裝ISA的專用的客戶端，這類客戶端需要認(rèn)證才能訪問外網(wǎng)，通常這種客戶端已經(jīng)適合企業(yè)內(nèi)部的服務(wù)器。如果有必要，也可以在ISA SERVER上多安裝一塊網(wǎng)卡，單獨劃分出一個DMZ區(qū)域來部署企業(yè)對外的服務(wù)器。

由于網(wǎng)絡(luò)出口要經(jīng)過ISA SERVER，當(dāng)企業(yè)內(nèi)部的客戶端數(shù)較多時，外部網(wǎng)絡(luò)訪問的速度將會變慢。顯然一臺ISA SERVER是不能滿足要求的。這種情況可用多臺ISA SERVER配置成陣列，以解決網(wǎng)速瓶頸問題。每一臺ISA 服務(wù)器都是陣列成員，由配置存儲服務(wù)器來對陣列成員進(jìn)行統(tǒng)一的配置。只有ISA的企業(yè)版才具有陣列的功能。

2.LINUX的IPTABLES

基于WINDOWS操作系統(tǒng)平臺的ISA SERVER其部署不僅軟件成本相對較高，且其對硬件環(huán)境要求也較高，對于企業(yè)來說會有一定的成本壓力，相比之下免費的LINUX操作系統(tǒng)由于其運行穩(wěn)定、效率較好且對硬件要求較低，越來越多的企業(yè)用其來部署企業(yè)服務(wù)器，其自帶的IPTABLES防火墻與ISA功能相似，具有包過濾、網(wǎng)絡(luò)地址轉(zhuǎn)換、QOS等功能。其不但能檢測到網(wǎng)絡(luò)層與傳輸層的數(shù)據(jù)包，亦可以檢測到應(yīng)用層數(shù)據(jù)。

LINUX通過IPTABLES編輯器編寫過濾規(guī)則，來實現(xiàn)LINUX包過濾、網(wǎng)絡(luò)地址轉(zhuǎn)換、QOS等功能。從IPTABLES體系架構(gòu)來看，IPTABLES通過以下4張表實現(xiàn)相應(yīng)功能：表FILTER用于數(shù)據(jù)包過濾；表NAT用于網(wǎng)絡(luò)地址轉(zhuǎn)換；表MANGLE用于修改數(shù)據(jù)包字段從而實現(xiàn)QOS功能； RAW表則是實現(xiàn)IPTABLES的高級附加功能，如網(wǎng)址過濾等。

鑒于部署LINUX平臺下的IPTABLES防火墻的成本低、功能強的特點，越來越受資金有限卻又對安全有相當(dāng)要求的企業(yè)的青睞。但值得提的一點是，使用IPTABLES來搭建的防火墻需要技術(shù)人員有相當(dāng)?shù)乃剑涑跏寂渲萌斯こ杀疽草^高，但整體來說性價比高，是企業(yè)理想的選擇。

3.專用硬件防火墻

無論WINDOWS+ISA，還是LINUX+IPTABLES防火墻，其數(shù)據(jù)過濾及轉(zhuǎn)發(fā)都是基于軟件來實現(xiàn)的，因此數(shù)據(jù)處理速度會受到一定的限制，其性能不如硬件防火墻。硬件防火墻可分為兩種，一種是基于PC架構(gòu)的，其本質(zhì)也是通過軟件來實現(xiàn)的，如思科的PIX系列防火墻；另外一種是基于獨立的ASIC芯片來實現(xiàn)的，如思科公司的ASA?？傮w來說，軟件防火墻以及基于PC架構(gòu)的硬件防火墻在性能、處理速度、穩(wěn)定性上略遜基于ASIC芯片的純硬件防火墻。

在硬件防火墻的選擇上，主要考慮的是預(yù)算、品牌、業(yè)務(wù)需求、穩(wěn)定性、并發(fā)連接數(shù)、售后服務(wù)支持等。由于一線品牌硬件防火墻特別是基于ASIC芯片的，如思科的ASA系列其價格相對較高，常見于對數(shù)據(jù)安全要求與穩(wěn)定性比較高的中大型企業(yè)中。另外針對中大型企業(yè)，也可以選擇H3C SecPath系列，其相對思科ASA系列來說具有更高的性價比，售后技術(shù)支持服務(wù)也更完善。針對中小企業(yè)，在預(yù)算不多的情況下，可以選擇二三線品牌，如中怡數(shù)寬SAFEcon系列。

4.路由器包過濾防火墻

在路由器上實現(xiàn)包過濾防火墻的核心是訪問控制列表ACL，通過配置ACL規(guī)則，可以在保證合法用戶通過的同時拒絕非法用戶的訪問。ACL規(guī)則配置在路由器的接口上，并且具有方向性，每個接口的出站方向和入站方向均可配置獨立的ACL進(jìn)行包過濾。

路由器是基于軟件來實現(xiàn)包的轉(zhuǎn)發(fā)與過濾的，如果在路由器上配置太多的ACL規(guī)則，路由器會用掉較多的時間進(jìn)行規(guī)則匹配，這會嚴(yán)重影響路由器數(shù)據(jù)轉(zhuǎn)發(fā)速度，同時由于路由器通常位于網(wǎng)絡(luò)邊界，這勢必導(dǎo)致路由器成為網(wǎng)絡(luò)的瓶頸。

（作者單位：中山市技師學(xué)院）