学文网防火墙作为外部网络及内部网络中间的一道天然屏障,能有效阻止来自外部的网络攻击,并管理来自内部的数据访问,从而有效增加了企业网络的安全性。通过有效的防火墙部署策略,可以令企业业务正常开展,让企业内部网络高度安全。
一、防火墙常见设计方案
1.防火墙设计的几个考虑因素
防火墙的设计要考虑其可用性、安全性、可扩展性、可靠性、经济性及标准等。如安全性是否通过国际计算机安全协会(ICSA)的认证,是否支持扩展等。
2.防火墙位置选择
防火墙通常有两种放置方法:放在路由器前面;放在路由器后面。两者各有优缺点,笔者认为把防火墙放到路由器的后面效果更好,原因有三:(1)网络边界的路由器负责网络互联、数据包的转发,防火墙负责数据包过滤等安全防护的工作保护内部网络,提高网络速度;(2)路由器上的接口类型丰富,能适应更多的广域网的接入技术;(3)通过防火墙在内部之间划分不同的区域,如内部网络区域,DMZ区域、外部网络区域。这种区域的划分,可以有效管理来自内部和外部的数据,让网络更安全。对于一些要公开的服务及应用,将它划在DMZ区,可以有效地避免与内部网络更严格的安全策略相矛盾的情况。
3.防火墙常见设计方案
(1)典型设计。防火墙置于边界路由器与交换机之间隔离内网和外网,保护内部网络安全,如***1所示。
(2)多区域划分。在支持区域划分的防火墙上,为了更好地实施域间策略,增加网络安全性,通常通过防火墙将网络划分为多个区域,如外部区域、内部区域、DMZ区域等。DMZ区域通常用于放置企业对外提供服务的服务器。如***2所示。
(3)容错防火墙集配置。由于防火墙位于网络关键路径,若其发生故障,则不同区域的网络将不能相互访问,可能会导致企业业务的中断。在企业对网络安全要求高且需要防火墙提供全天候网络保护的情况下,可以采用容错防火墙集的方式实现容错,从而实现稳定的可靠的服务。
容错防火墙集有两种不同的配置方法,分别是“主动/被动容错防火墙集”、“主动/主动容错防火墙集”。“主动/被动容错防火墙集”将防火墙分为主防火墙与备份防火墙,主防火墙处理所有通信,备用防火墙不执行通信,也不执行筛选,只保持活动状态。主从之间通过心跳线来相互检测双方是否正常的运行,一旦主防火墙不工作,备用防火墙则马上接替主防火墙工作,如***3所示。
“主动/主动容错防火墙集”这种配置方式,两个防火墙主动侦听发到虚拟IP地址的所有请求,主动筛选不同的通信,两者同时负担网络所有的通信。因此,相对来说“主动/主动容错防火墙集”利用率高,能处理更大的通信量;当其中一个防火墙有问题时,另外一个防火墙主动承担另外一个防火墙的通信。其设计只需将***3所示中的备份防火墙改为主防火墙就行了。
二、防火墙的种类及选择
1.ISA SERVER防火墙
该防火墙属于应用层防火墙,工作在TCP/IP 堆栈的“应用层”上,可以拦截进出某应用程序的所有封包。理论上,这一类防火墙可以完全阻绝外部的数据流进到受保护的机器里。使用浏览器所产生的数据流或是使用 FTP 时的数据流都是属于这一层。
使用该防火墙可以实现拒绝应用层上的服务,如FTP/WWW/TELNET等的服务,还可以禁止QQ,MSN网络应用软件等的通信。但其由于需要把数据还原到应用层,其系统资源的开销也比传统的包过滤防火墙要高,因此安装ISA的服务器有一定的性能要求,否则ISA将会成为网络的瓶颈。
使用ISA SERVER作为企业网络防火墙时,通常将网络划分为不可信的外部网络以及可信的内部网络。两个区域内网网络的客户端分为三种类型:
第一种是WEB客户端ISA SERVER作为服务器来用,只需要在客户端IE浏览器的internet选项上设置http服务器为ISA服务器即可。这种客户端只可以上网,不可以进行如QQ之类的通信。此种客户端的安全限制比较高,比较适合企业的某些仅可以上网页查找资料的部门,如财务部。由于其利用ISA SERVER上的缓存功能,上网的速度较快。
第二种是NAT客户端,这种客户端只需要配置网关及DNS等信息,即可通过ISA服务器通向外网。这种客户端的没有安全限制,可用于对访问外网没有安全限制的部门或者对外提供服务部门,如邮件服务器、Web服务器。
第三种是防火墙客户端,通常这种客户端的设置是为了防止这些客户端受到来自内网的攻击。这种客户端需要在机器上安装ISA的专用的客户端,这类客户端需要认证才能访问外网,通常这种客户端已经适合企业内部的服务器。如果有必要,也可以在ISA SERVER上多安装一块网卡,单独划分出一个DMZ区域来部署企业对外的服务器。
由于网络出口要经过ISA SERVER,当企业内部的客户端数较多时,外部网络访问的速度将会变慢。显然一台ISA SERVER是不能满足要求的。这种情况可用多台ISA SERVER配置成阵列,以解决网速瓶颈问题。每一台ISA 服务器都是阵列成员,由配置存储服务器来对阵列成员进行统一的配置。只有ISA的企业版才具有阵列的功能。
2.LINUX的IPTABLES
基于WINDOWS操作系统平台的ISA SERVER其部署不仅软件成本相对较高,且其对硬件环境要求也较高,对于企业来说会有一定的成本压力,相比之下免费的LINUX操作系统由于其运行稳定、效率较好且对硬件要求较低,越来越多的企业用其来部署企业服务器,其自带的IPTABLES防火墙与ISA功能相似,具有包过滤、网络地址转换、QOS等功能。其不但能检测到网络层与传输层的数据包,亦可以检测到应用层数据。
LINUX通过IPTABLES编辑器编写过滤规则,来实现LINUX包过滤、网络地址转换、QOS等功能。从IPTABLES体系架构来看,IPTABLES通过以下4张表实现相应功能:表FILTER用于数据包过滤;表NAT用于网络地址转换;表MANGLE用于修改数据包字段从而实现QOS功能; RAW表则是实现IPTABLES的高级附加功能,如***过滤等。
鉴于部署LINUX平台下的IPTABLES防火墙的成本低、功能强的特点,越来越受资金有限却又对安全有相当要求的企业的青睐。但值得提的一点是,使用IPTABLES来搭建的防火墙需要技术人员有相当的水平,其初始配置人工成本也较高,但整体来说性价比高,是企业理想的选择。
3.专用硬件防火墙
无论WINDOWS+ISA,还是LINUX+IPTABLES防火墙,其数据过滤及转发都是基于软件来实现的,因此数据处理速度会受到一定的限制,其性能不如硬件防火墙。硬件防火墙可分为两种,一种是基于PC架构的,其本质也是通过软件来实现的,如思科的PIX系列防火墙;另外一种是基于***的ASIC芯片来实现的,如思科公司的ASA。总体来说,软件防火墙以及基于PC架构的硬件防火墙在性能、处理速度、稳定性上略逊基于ASIC芯片的纯硬件防火墙。
在硬件防火墙的选择上,主要考虑的是预算、品牌、业务需求、稳定性、并发连接数、售后服务支持等。由于一线品牌硬件防火墙特别是基于ASIC芯片的,如思科的ASA系列其价格相对较高,常见于对数据安全要求与稳定性比较高的中大型企业中。另外针对中大型企业,也可以选择H3C SecPath系列,其相对思科ASA系列来说具有更高的性价比,售后技术支持服务也更完善。针对中小企业,在预算不多的情况下,可以选择二三线品牌,如中怡数宽SAFEcon系列。
4.路由器包过滤防火墙
在路由器上实现包过滤防火墙的核心是访问控制列表ACL,通过配置ACL规则,可以在保证合法用户通过的同时拒绝非法用户的访问。ACL规则配置在路由器的接口上,并且具有方向性,每个接口的出站方向和入站方向均可配置***的ACL进行包过滤。
路由器是基于软件来实现包的转发与过滤的,如果在路由器上配置太多的ACL规则,路由器会用掉较多的时间进行规则匹配,这会严重影响路由器数据转发速度,同时由于路由器通常位于网络边界,这势必导致路由器成为网络的瓶颈。
(作者单位:中山市技师学院)
转载请注明出处学文网 » 企业网络防火墙设计及选型