姜家文 潘祺喆 陳建華

摘要：現(xiàn)代社會信息交互主要依靠網(wǎng)絡(luò)，TCP/IP協(xié)議仍然是現(xiàn)今運用最多的網(wǎng)絡(luò)層協(xié)議。由于協(xié)議自身漏洞，數(shù)據(jù)傳輸中不僅存在數(shù)據(jù)泄露的風(fēng)險，還可能受到外界的攻擊。防火墻于內(nèi)網(wǎng)和外網(wǎng)之間構(gòu)建一道相對隔絕的保護屏障，不僅可以保護信息資料，還可以防止外網(wǎng)網(wǎng)絡(luò)攻擊。以華為USG6000防火墻為例子，研究了防火墻透明模式、路由模式、混合模式三種工作模式，列舉了不同工作模式在各種網(wǎng)絡(luò)環(huán)境下的應(yīng)用場景，提出了復(fù)雜網(wǎng)絡(luò)環(huán)境下防火墻多工作模式的混合應(yīng)用，增強了網(wǎng)絡(luò)數(shù)據(jù)在傳輸過程中的防失泄密能力和全網(wǎng)抗攻擊能力。

關(guān)鍵詞：防火墻;透明模式;路由模式;混合模式;數(shù)據(jù)保護

中圖分類號：TP393? ? ? ? 文獻標(biāo)識碼：A

文章編號：1009-3044（2022）01-0034-03

現(xiàn)代社會是一個萬物互聯(lián)的時代，網(wǎng)絡(luò)的產(chǎn)生、發(fā)展和成熟讓信息交互變得愈發(fā)容易[1]。近年來安全事件的頻發(fā)卻給信息安全敲響了警鐘。方便快捷的網(wǎng)絡(luò)資源共享使得網(wǎng)絡(luò)信息保密重要性和難度都日益加大[2]。TCP/IP協(xié)議仍然是現(xiàn)今運用最多的網(wǎng)絡(luò)層協(xié)議。協(xié)議誕生初期并未對數(shù)據(jù)安全有過多考慮，使得該協(xié)議天然存在漏洞[3]。防火墻不僅可以起到安全過濾作用，還可以進行內(nèi)外網(wǎng)隔離，防止外部網(wǎng)絡(luò)入侵，是內(nèi)部網(wǎng)絡(luò)信息安全的第一道守護者[4]。本文以華為USG6000為例子，闡述了防火墻透明、路由和混合三種工作模式，分析列舉了在不同網(wǎng)絡(luò)環(huán)境下三種工作模式的應(yīng)用場景，提出了復(fù)雜網(wǎng)絡(luò)環(huán)境下防火墻多工作模式的混合應(yīng)用，展現(xiàn)出不同網(wǎng)絡(luò)環(huán)境下防火墻的使用方法，達到最佳信息保護效果。

1 防火墻工作模式

傳統(tǒng)防火墻是基于IP報文五元組進行報文控制的[5]。五元組包括源MAC地址、目的MAC地址、源IP地址、目的IP地址以及端口號。通過識別報文的不同五元組信息，報文進行篩選，按照預(yù)先給防火墻配置的過濾規(guī)則，選擇報文放行或者丟棄[6]。華為USG6000不僅具備上述傳統(tǒng)防火墻的功能，還能提供應(yīng)用層級別的安全防護能力，提供反病毒、入侵防御、URL過濾、內(nèi)容過濾、文件過濾等一系列基于應(yīng)用的特色功能。更重要的是具有透明、路由和混合三大工作模式，通過合理的部署和配置可以為網(wǎng)絡(luò)信息安全提供有力的保護。

1.1 透明模式

透明模式是指在不影響原有的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的基礎(chǔ)上，作為二層橋接設(shè)備透明植入原有網(wǎng)絡(luò)，進行二層交換和安全防護[7]。該模式下，USG6000所有接口均切換為二層交換接口，類似于一臺二層網(wǎng)絡(luò)交換機，對同VLAN下的數(shù)據(jù)包轉(zhuǎn)發(fā)時對五元組信息不做任何改動。如圖1所示，防火墻工作在透明下。

防火墻3個端口配置為Access模式，并劃分為同一默認(rèn)VLAN即可。如果工作在不同VLAN下，則需要將GE0/0/2和GE0/0/3配置為Access模式，劃分在不同默認(rèn)VLAN，將GE0/0/1配置為Trunk模式，并放行PC終端1和PC終端2所在VLAN。

1.2? ?路由模式

工作在路由模式下的防火墻類似于一臺路由器和其他工作在網(wǎng)絡(luò)層的設(shè)備交換路由信息。該模式下，USG6000所有端口均切換為三層路由接口，所有接口不能位于同一網(wǎng)段，且每個接口作為三層網(wǎng)關(guān)，都需要連接一個獨立的網(wǎng)段。防火墻可以通過內(nèi)部生成的IP路由表指導(dǎo)報文跨網(wǎng)段轉(zhuǎn)發(fā)，還可以在接口部署NAT、DHCP、GRE等網(wǎng)絡(luò)層實現(xiàn)功能[8]。如圖2所示，防火墻工作在路由模式下。

防火墻每個端口都處于不同網(wǎng)段下，其中GE0/0/3處于Trust區(qū)域，連接需要保護的內(nèi)網(wǎng)終端;GE0/0/2處于DMZ區(qū)域，連接對外網(wǎng)提供服務(wù)的服務(wù)器;GE0/0/1處于Untrust區(qū)域，連接可能存在大量入侵的外部網(wǎng)絡(luò)。每個接口都處于不同網(wǎng)段，需要通過三層路由才可以進行報文傳輸。

1.3 混合模式

混合模式是指透明模式和路由模式的混合。USG6000防火墻實現(xiàn)了工作層次在接口上的業(yè)務(wù)切換。每個接口可以獨自切換業(yè)務(wù)工作狀態(tài)，并不需要整機切換。因此USG6000同時存在工作在二層和工作在三層的接口。此時防火墻的工作模式稱之為混合模式。如圖3，防火墻工作在混合模式下。

GE0/0/1和GE0/0/3都工作在二層模式下，位于同一個VLAN，以路由器接口作網(wǎng)絡(luò)出口。GE0/0/2工作在3層模式下，直連一臺電腦終端，用于對防火墻進行遠程管理和配置。

2 適用場景

不同的網(wǎng)絡(luò)信息保護需求產(chǎn)生防火墻不同的適用場景，不同場景下所需要的防火墻工作模式也不一樣。合理使用防火墻的3種工作模式可以實現(xiàn)網(wǎng)絡(luò)信息的最佳保護。

2.1 重點防護

防護區(qū)域要求不更改現(xiàn)有的網(wǎng)絡(luò)拓?fù)涞那闆r下，只有防護區(qū)域內(nèi)部可以對外發(fā)起連接，阻止外部非法連接。該信息保護要求使用路由器或者交換機的ACL控制手段很難實現(xiàn)，但是使用防火墻則很容易。使用防火墻的透明模式還可以保持現(xiàn)有網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，僅需要將防火墻置于重點防護區(qū)域的出口。添加防火墻前后拓?fù)湔故救鐖D4所示。

防火墻處于透明模式下，此時GE0/0/1和GE0/0/2接口處于二層，模式為Access，處于默認(rèn)VLAN 1。防火墻整體以二層設(shè)備接入原有網(wǎng)絡(luò)，對原網(wǎng)絡(luò)透明無感。添加安全規(guī)則，放行從Trust區(qū)域到Untrust區(qū)域主動建立連接的報文通過。觸發(fā)防火墻狀態(tài)檢測機制后，該連接從GE0/0/1到GE0/0/2返回的報文也能正常通過，實現(xiàn)保護區(qū)域的對外訪問。阻止并丟棄從Untrust區(qū)域到Trust區(qū)域主動建立連接的報文通過，防止不安全區(qū)域的探測和攻擊報文，實現(xiàn)重點區(qū)域的信息保護。

2.2 網(wǎng)絡(luò)出口

相對于內(nèi)部網(wǎng)絡(luò)來說，外部網(wǎng)絡(luò)更加不可控制，存在諸多網(wǎng)絡(luò)威脅。公網(wǎng)有限地址使得內(nèi)部網(wǎng)絡(luò)基本都是使用私網(wǎng)地址。私網(wǎng)地址對于互聯(lián)網(wǎng)是不可路由的。為了能訪問外部網(wǎng)絡(luò)，NAT技術(shù)的使用不可避免。將防火墻放置于網(wǎng)絡(luò)出口，在進行公私網(wǎng)地址轉(zhuǎn)換的同時，還可以減少內(nèi)部網(wǎng)絡(luò)受到外部網(wǎng)絡(luò)的入侵威脅。對外提供網(wǎng)絡(luò)服務(wù)的內(nèi)部服務(wù)器放置于DMZ區(qū)域，與內(nèi)部網(wǎng)絡(luò)的隔離，增強了內(nèi)部網(wǎng)絡(luò)的安全。

3 綜合應(yīng)用

當(dāng)網(wǎng)絡(luò)環(huán)境較為復(fù)雜時對安全規(guī)則的要求也會更加復(fù)雜。單獨使用防火墻的透明模式和路由模式無法實現(xiàn)時，這時就需要使用混合模式。根據(jù)網(wǎng)絡(luò)拓?fù)涞牟煌?，混合模式的配置也有所區(qū)別。如圖5所示，要求Sever A、Server B、PC都處于同一個IP地址段，但是Server A對外提供服務(wù)，Server B則只對內(nèi)部網(wǎng)絡(luò)提供服務(wù)，PC不能被外界區(qū)域主動訪問，但可以訪問Server A、Server B和外部網(wǎng)絡(luò)。

在此種網(wǎng)絡(luò)拓?fù)淝闆r下，僅使用透明模式和路由模式都不能很好地滿足安全使用要求，此時需要在防火墻上綜合應(yīng)用兩種模式。GE0/0/1工作在路由模式下且連接外界不安全區(qū)域。GE0/0/2和GE0/0/3工作在透明模式下，接口模式為Access，處于同一VLAN。Sever A對外提供服務(wù)，需要被外界風(fēng)險網(wǎng)絡(luò)訪問，處于DMZ區(qū)域。Sever B僅對內(nèi)部網(wǎng)絡(luò)提供服務(wù)，PC也不能被外界主動訪問，因此放置在內(nèi)部安全區(qū)域。根據(jù)防火墻數(shù)據(jù)流動規(guī)則，高安全等級區(qū)域的數(shù)據(jù)流可以無礙訪問低安全區(qū)域的數(shù)據(jù)流。因此，PC可以訪問Server A、Server B和外部網(wǎng)絡(luò)，Server A可以對外提供服務(wù)，Server B則只能被內(nèi)部網(wǎng)絡(luò)訪問。

4 結(jié)束語

防火墻作為一個邊界防御工具，放置在內(nèi)外網(wǎng)之間，控制不同信任區(qū)域之間的數(shù)據(jù)流傳遞，從而保護內(nèi)部網(wǎng)絡(luò)免受非法用戶的入侵。文中闡述了防火墻三種工作模式，分別為透明模式、路由模式、混合模式。防火墻不同工作模式的綜合應(yīng)用可以實現(xiàn)復(fù)雜網(wǎng)絡(luò)拓?fù)湎碌陌踩刂菩枨?，極大增強了內(nèi)外網(wǎng)數(shù)據(jù)在傳輸過程中的防失泄密能力和抗攻擊能力。

參考文獻：

[1] 王旭.互聯(lián)網(wǎng)發(fā)展史[J].個人電腦，2007，13（3）：182-188.

[2] 王世偉.論信息安全、網(wǎng)絡(luò)安全、網(wǎng)絡(luò)空間安全[J].中國圖書館學(xué)報，2015，41（2）：72-84.

[3] Stallings W. Cryptography and Network Security， Principles and Practice（International Edition）[J]. International Journal of Engineering & Computer Science， 2012， 1（1）：121-136.

[4] Dabbagh M，Rayes A.Internet of Things security and privacy[M]//Internet of Things From Hype to Reality.Cham：Springer International Publishing，2018：211-238.

[5] 王輝，劉勇.計算機通信網(wǎng)絡(luò)安全和防護對策探析[J].信息與電腦（理論版），2019（3）：230-231.

[6] 亞歷山大·科特，克利夫·王，羅伯特·F.厄巴徹.網(wǎng)絡(luò)空間安全防御與態(tài)勢感知[M].北京：機械工業(yè)出版社，2019.

[7]? Cheswick W R， Bellovin S M， Rubin A D. Firewalls and Internet security： repelling the wily hacker[M]. Addison-Wesley Longman Publishing Co.， Inc.， 2003.

[8] 徐慧洋，白杰，盧宏旺.華為防火墻技術(shù)漫談[M].北京：人民郵電出版社，2015.

【通聯(lián)編輯：代影】

收稿日期：2021-05-24

作者簡介：姜家文（1991—），男，通信作者，工程師，碩士，主要研究方向為網(wǎng)絡(luò)安全與維護。

3375500338269