引言：防火墻是最為典型的一款網(wǎng)絡(luò)安全設(shè)備，好比一道大閘把外界和自家內(nèi)部隔擋開。這么重要的安全設(shè)備如果部署使用不當(dāng)，會(huì)增加運(yùn)維工程師的工作難度，嚴(yán)重的會(huì)影響到業(yè)務(wù)的安全。本文主要介紹筆者在管理防火墻設(shè)備的經(jīng)驗(yàn)，分享給大家希望在工作中能有所幫助。

防火墻作為經(jīng)典的網(wǎng)絡(luò)安全設(shè)備，從開始的單一功能的包過濾防火墻，發(fā)展到集多個(gè)功能模塊全面應(yīng)對(duì)應(yīng)用層威脅的高性能下一代防火墻，這一演變都集中反映了防火墻的作用越來越重要。

防火墻是可以分為軟件防火墻、硬件防火墻；硬件防火墻有傳統(tǒng)的機(jī)架式產(chǎn)品，也有現(xiàn)在網(wǎng)絡(luò)廠商主推的插卡式產(chǎn)品，把防火墻制作成一塊業(yè)務(wù)板卡插在核心交換機(jī)或路由器上面。這方面在筆者看來插卡式的在高端應(yīng)用領(lǐng)域極有取替機(jī)架式防火墻的趨勢(shì)，因?yàn)樵谔摂M化應(yīng)用這領(lǐng)域，插卡式的防火墻能實(shí)現(xiàn)虛擬N臺(tái)防火墻的功能，能做到每一個(gè)業(yè)務(wù)的虛擬機(jī)群都能擁有一個(gè)獨(dú)立的虛擬防火墻，這在云計(jì)算中心領(lǐng)域發(fā)揮著重要作用。

這里首先給大家分享一下管理機(jī)架式防火墻的經(jīng)驗(yàn)，虛擬化防火墻在下篇再來跟大家分享。

圖1 內(nèi)部網(wǎng)絡(luò)劃分了四個(gè)區(qū)域

圖2 網(wǎng)絡(luò)拓?fù)?/p>

傳統(tǒng)防火墻的部署都在網(wǎng)絡(luò)的邊界，很多人不太了解網(wǎng)絡(luò)的邊界，以為互聯(lián)網(wǎng)跟單位內(nèi)部網(wǎng)絡(luò)就是網(wǎng)絡(luò)邊界。這種解釋其實(shí)并不全對(duì)，通過防火墻把網(wǎng)絡(luò)劃分成多個(gè)邏輯區(qū)域，區(qū)域之間就是一個(gè)網(wǎng)絡(luò)邊界。舉個(gè)例子我們?cè)诠緝?nèi)部網(wǎng)絡(luò)劃分了四個(gè)區(qū)域，如圖1所示。

網(wǎng)絡(luò)區(qū)域的概念有點(diǎn)像我們平常所說的vlan，但是區(qū)域是多個(gè)網(wǎng)段的集合，也可以理解成多個(gè)vlan的集合。區(qū)域的使用需要綁定防火墻的接口，這包換了物理接口和二層的SVI接口。防火墻需要定義的四大基本元素包括區(qū)域、地址本、策略、服務(wù)端口，使用過程中我們做得最多的工作就是定義地址本，地址本是策略實(shí)施過程中最小的元素，需要指定源地址和目的地址。

細(xì)化邊界區(qū)域，充分利用接口資源

曾經(jīng)聽前輩說過，防火墻不同于交換機(jī)它的端口是有限的寶貴資源，在利用的時(shí)候要多節(jié)約。這話確實(shí)有它時(shí)代背景的道理，但是發(fā)展至今普通的一款防火墻產(chǎn)品都有8個(gè)以上的端口。還是以傳統(tǒng)的方式部署是否適當(dāng)了？下面和大家一起分析一下，如圖2所示。

首先交換機(jī)作為一個(gè)二層的網(wǎng)絡(luò)設(shè)備，每一個(gè)區(qū)域分配了一個(gè)VLAN，網(wǎng)關(guān)配置設(shè)在防火墻上面。很明顯的四個(gè)區(qū)域共享了防火墻的一個(gè)端口帶寬，某一個(gè)區(qū)域的突發(fā)流量有可能導(dǎo)致網(wǎng)絡(luò)擁塞。其次當(dāng)出現(xiàn)內(nèi)部攻擊的網(wǎng)絡(luò)行為防火墻并不好控制，因?yàn)槎丝诶壛?個(gè)區(qū)域，若對(duì)物理端口進(jìn)行操作影響面會(huì)很大。所以一般情況下建設(shè)大家每一個(gè)防火墻的接口捆綁在一個(gè)區(qū)域里面，這樣實(shí)施既可以方便訪問策略的下向，又能快速度的阻隔某一區(qū)域的攻擊行為，充分的利用防火墻接口的帶寬。

細(xì)化訪問控制策略，禁止使用 any to any；

這一部分的原則是盡量細(xì)化，我們都知道防火墻的策略需要定義的是源地址、目的地址。能夠使用單個(gè)IP地址集解決的策略就不要用IP網(wǎng)段，能夠少開放一些服務(wù)端口的就盡可能少開放。最后是禁止使用源地址any到目的地址any這樣的策略，因?yàn)檫@會(huì)使防火墻存在較大的安全風(fēng)險(xiǎn)。

統(tǒng)一定義對(duì)像，增強(qiáng)策略的可讀性

首先維護(hù)防火墻的運(yùn)維工作的往往不止一名工程師，定義防火墻屬性元素時(shí)候存在很大個(gè)性化的情況。比如：一臺(tái)FTP服務(wù)器的IP地址是192.168.100.25，甲工程師根據(jù)自己的個(gè)人喜好標(biāo)識(shí)地址對(duì)像時(shí)是這樣寫，名稱FTP-server，IP-192.168.100.25;

同樣情況乙工程師會(huì)寫成，名稱服務(wù)器-FTP，IP-192.168.100.25;

有些工程師用漢字，有些用拼音，又有些用英文，用英文的可能是寫全稱可能寫簡(jiǎn)稱。

看似很簡(jiǎn)單的標(biāo)識(shí)元素，存在太多的個(gè)性化會(huì)影響到防火墻策略的閱讀。試想一下這么龐大的訪問策略要一條條的讀懂，不用統(tǒng)一的標(biāo)識(shí)注明是很難的。實(shí)現(xiàn)統(tǒng)一的定義對(duì)像方法，至少能減少閱讀策略所用的時(shí)間，看上去也是整齊規(guī)范。同時(shí)也有利于工作的交接，某某工程師的調(diào)職或者是離職，新接手的人也能根據(jù)這些定義好的方法快速上手管理維護(hù)防火墻策略。

結(jié)合命令配置，減少對(duì)圖形界面配置的依賴；

很多朋友接觸防火墻都是使用它的圖形化界面進(jìn)行配置，久而久之卻忘記了防火墻強(qiáng)大的配置命令管理功能。防火墻這類型的產(chǎn)品剛出廠默認(rèn)配置是沒有開放ssh、telnet、ntp等服務(wù)的。我們都習(xí)慣使用圖形化界面配置防火墻，這很大程度上是因?yàn)椴僮鞯闹庇^性，使用鼠標(biāo)點(diǎn)擊菜單欄一步一步就能實(shí)現(xiàn)策略，為什么還要去掌握那些繁瑣的命令了？

簡(jiǎn)單來說我們所習(xí)慣的圖形化界面，是屬于防火墻的一個(gè)叫GUI的服務(wù)（圖形用戶接口）。這個(gè)服務(wù)當(dāng)然也會(huì)占用防火墻的CPU、內(nèi)存資源，極端情況下由于防火墻遭遇到攻擊CPU、內(nèi)存資源被消耗得差不多了。這種情況下你打開圖形管理界面快，還是打開命令界面快了？我可以回答你系統(tǒng)資源不夠圖形管理服務(wù)已經(jīng)停止工作了，根本無法打開。綜上所述命令配置的基本功能我們還是要學(xué)會(huì)的，特別是常用的幾個(gè)配置命令，在最危急的時(shí)候能拯救防火墻的就是有命令管理配置了。