成 人 网 站国产免费观看

<p id="lkccd"></p>

    <td id="lkccd"></td>
    <acronym id="lkccd"></acronym>
    <table id="lkccd"><ruby id="lkccd"></ruby></table>
    <td id="lkccd"></td>
    <p id="lkccd"><strong id="lkccd"></strong></p>

    dvbbs
    聯系我 收藏本頁
    聯系我們
    論壇幫助
    dvbbs

    深圳印刷論壇世界網絡-網絡技術網絡設施 → 邊界防火墻的應用


      共有13522人關注過本帖樹形打印

    主題:邊界防火墻的應用

    帥哥喲,離線,有人找我嗎?
    止談風月
      1樓 個性首頁 | QQ | 信息 | 搜索 | 郵箱 | 主頁 | UC


    加好友 發短信 止談風月
    等級:管理員 貼子:1542 積分:16633 威望:5 精華:0 注冊:2007-3-17 22:33:59
    邊界防火墻的應用  發貼心情 Post By:2008-12-20 15:22:40

    一、防火墻的主要應用拓撲結構

      邊界防火墻雖然是傳統的,但是它的應用最廣,技術最為成熟。目前大多數企業網絡中所應用的都是邊界防火墻。所以了解邊界防火墻的應用對于掌握整個防火墻技術非常重要。

      傳統邊界防火墻主要有以下四種典型的應用環境,它們分別是:

      ●控制來自互聯網對內部網絡的訪問 
      ●控制來自第三方局域網對內部網絡的訪問
      ●控制局域網內部不同部門網絡之間的訪問
      ●控制對服務器中心的網絡訪問 

      下面分別予以介紹。

      1、 控制來自互聯網對內部網絡的訪問

      這是一種應用最廣,也是最重要的防火墻應用環境。在這種應用環境下,防火墻主要保護內部網絡不遭受互聯網用戶(主要是指非法的黑客)的攻擊。目前絕大多數企業、特別是中小型企業,采用防火墻的目的就是這個。

      在這種應用環境中,一般情況下防火墻網絡可劃分為三個不同級別的安全區域:

      內部網絡:這是防火墻要保護的對象,包括全部的企業內部網絡設備及用戶主機。這個區域是防火墻的可信區域(這是由傳統邊界防火墻的設計理念決定的)。

      外部網絡:這是防火墻要防護的對象,包括外部互聯網主機和設備。這個區域為防火墻的非可信網絡區域(也是由傳統邊界防火墻的設計理念決定的)。

      DMZ(非軍事區):它是從企業內部網絡中劃分的一個小區域,在其中就包括內部網絡中用于公眾服務的外部服務器,如Web服務器、郵件服務器、FTP服務器、外部DNS服務器等,它們都是為互聯網提供某種信息服務。

      在以上三個區域中,用戶需要對不同的安全區域廟宇不同的安全策略。雖然內部網絡和DMZ區都屬于企業內部網絡的一部分,但它們的安全級別(策略)是不同的。對于要保護的大部分內部網絡,一般情況下禁止所有來自互聯網用戶的訪問;而由企業內部網絡劃分出去的DMZ區,因需為互聯網應用提供相關的服務,所以在一定程度上,沒有內部網絡限制那么嚴格,如Web服務器通常是允許任何人進行正常的訪問;蛟S有人問,這樣的話,這些服務器不是很容易初攻擊,按原理來說是這樣的,但是由于在這些服務器上所安裝的服務非常少,所允許的權限非常低,真正有服務器數據是在受保護的內部網絡主機上,所以黑客攻擊這些服務器沒有任何意義,既不能獲取什么有用的信息,也不能通過攻擊它而獲得過高的網絡訪問權限。

      另外,建議通過NAT(網絡地址轉換)技術將受保護的內部網絡的全部主機地址映射成防火墻上設置的少數幾個有效公網IP地址。這樣有兩個好處:一則可以對外屏蔽內部網絡構和IP地址,保護內部網絡的安全;同時因為是公網IP地址共享,所以可以大大節省公網IP地址的使用,節省了企業投資成本。
      在這種應用環境中,在網絡拓撲結構上企事業單位可以有兩種選擇,這主要是根據單位原有網絡設備情況而定。

      如果企業原來已有邊界路由器,則此可充分利用原有設備,利用邊界路由器的包過濾功能,添加相應的防火墻配置,這樣原來的路由器也就具有防火墻功能了。然后再利用防火墻與需要保護的內部網絡連接。對于DMZ區中的公用服務器,則可直接與邊界路由器相連,不用經過防火墻。它可只經過路由器的簡單防護。在此拓撲結構中,邊界路由器與防火墻就一起組成了兩道安全防線,并且在這兩者之間可以設置一個DMZ區,用來放置那些允許外部用戶訪問的公用服務器設施。網絡拓撲結構如圖1所示。

      如果企業原來沒有邊界路由器,此時也可不再添加邊界路由器,僅由防火墻來保護內部網絡。此時DMZ區域和需要保護的內部網絡分別連接防火墻的不同LAN網絡接口,因此需要對這兩部分網絡設置不同的安全策略。這種拓撲結構雖然只有一道安全防線,但對于大多數中、小企業來說是完全可以滿足的。不過在選購防火墻時就要注意,防火墻一定要有兩個以上的LAN網絡接口。它與我們前面所介紹的“多宿主機”結構是一樣的。這種應用環境的網絡拓撲結構如圖2所示。

      2、 控制來自第三方網絡對內部網絡的訪問

      這種應用主要是針對一些規模比較大的企事業單位,它們的企業內部網絡通常要與分支機構、合作伙伴或供應商的局域網進行連接,或者是同一企業網絡中存在多個子網。在這種應用環境下,防火墻主要限制第三方網絡(以上所說的其它單位局域網或本單位子網)對內部網絡的非授權訪問。

      在這種防火墻應用網絡環境中,根據企業是否需要非軍事區(放置一些供第三方網絡用戶訪問的服務器)可以有兩種具體的網絡配置方案:

      (1)需要DMZ區。這種情況是企業需要為第三方網絡提供一些公用服務器,供日常訪問。這種網絡環境與上面所介紹的限制互聯網用戶非法訪問企業內部網絡一樣,整個網絡同樣可分為三個區域:

      內部網絡:這是防火墻要保護的對象,包括全部企業內部網絡中需要保護的設備和用戶主機。為防火墻的可信網絡區域,需對第三方用戶透明隔離(透明是指“相當于不存在的”意思)。

      外部網絡:防火墻要限制訪問的對象,包括第三方網絡主機和設備。為防火墻的非可信網絡區域。

      DMZ(非軍事區):由企業內部網絡中一些外部服務器組成,包括公眾Web服務器、郵件服務器、FTP服務器、外部DNS服務器等。這些公眾服務器為第三方網絡提供相應的網絡信息服務。

      需要保護的內部網絡和DMZ區的安全策略也是不同的:需要保護的內部網絡一般禁止來自第三方的訪問,而DMZ則是為第三方提供相關的服務,允許第三方的訪問。

      同樣必要時可通過NAT(網絡地址轉換)對外屏蔽內部網絡結構,保護內網安全。

      我們仍考慮企業原有邊界路由器設備,通過配置后它同樣可以擔當包過濾防火墻角色。這時的DMZ區就可直接連接邊界路由器的一個LAN接口上,而無需經過防火墻。而保護內部網絡通過防火墻與邊界路由器連接。網絡拓撲結構如圖3所示。如果企業沒有邊界路由器,則DMZ區和內部網絡分別接在防火墻的兩個不同的LAN接口上,構成多宿主機模式。

      (2)、 沒有DMZ區:此應用環境下整個網絡就只包括內部網絡和外部網絡兩個區域。某些需要向第三方網絡提供特殊服務的服務器或主機與需要保護的內部網絡通過防火墻的同一LAN接口連接,作為內部網絡的一部分,只是通過防火墻配置對第三方開放內部網絡中特定的服務器/主機資源。網絡拓撲結構如圖4所示。但要注意的是,這種配置可能帶來極大的安全隱患,因為來自第三方網絡中的攻擊者可能破壞和控制對他們開放的內部服務器/主機,并以此為據點,進而破壞和攻擊內部網絡中的其它主機/服務器等網絡資源。

      以上是考慮了企業是否需要DMZ區的兩種情況。與上面介紹的對互聯網用戶訪問控制的應用環境一樣,在這種應用環境中,同樣可以考慮企業單位原來是否已有邊界路由器。這種應用環境下,企業同樣可以沒有邊界路由器。如果沒有邊界路由器,則須把如圖3和圖4所示網絡拓撲結構按如圖2所示進行相應的改變,此時如圖3和圖4所示網絡中,防火墻須直接與第三方網絡連接,DMZ區與受保護的內部網絡分別連接防火墻的兩個不同的LAN接口。不過要注意,如圖3所示的網絡結構中,DMZ區就相當于沒有任何保護,其實也稱不上“DMZ區”,所以在企業沒有邊界路由器的情況下,通常不采用如圖3所示網絡結構,而是采用圖4所示結構,把一些安全級別相對較低的服務器連接與內部受保護的網絡連接在一起,只是在防火墻上對這些公眾服務器進行特殊權限配置即可。
      3、 控制內部網絡不同部門之間的訪問

      這種應用環境就是在一個企業內部網絡之間,對一些安全敏感的部門進行隔離保護。通過防火墻保護內部網絡中敏感部門的資源不被非法訪問。這些所謂的“敏感部門”通常是指人事部門、財務部門和市場部門等,在這些部門網絡主機中的數據對于企業來說是非常重要,它的工作不能完全離開企業網絡,但其中的數據又不能隨便供網絡用戶訪問。這時有幾種解決方案通常是采用VLAN配置,但這種方法需要配置三層以上交換機,同時配置方法較為復雜。另一種有效的方法就是采用防火墻進行隔離,在防火墻上進行相關的配置(比起VLAN來簡單許多)。通過防火墻隔離后,盡管同屬于一個內部局域網,但是其他用戶的訪問都需要經過防火墻的過濾,符合條件的用戶才能訪問。這類防火墻通常不僅通過包過濾來篩選數據包的,而且還要對用戶身份的合法性(在防火墻中可以設置允許哪此些用戶訪問)進行識別。通常為自適應代理服務器型防火墻,這種防火墻方案還可以有日志記錄功能,對網管員了解網絡安全現狀及改進非常重要。網絡拓撲結構如圖5所示。


      4、 控制對服務器中心的網絡訪問

      對于一個服務器中心,比如主機托管中心,其眾多服務器需要對第三方(合作伙伴、互聯網用戶等)開放,但是所有這些服務器分別屬于不同用戶所有,其安全策略也各不相同。如果把它們都定義在同一個安全區域中,顯然不能滿足各用戶的不同需求,這時我們就得分別設置。要按不同安全策略保護這些服務器,可以有兩種方法:

      (1)、為每個服務器單獨配置一個獨立的防火墻,網絡如圖6所示。這種方案是一種最直接、最傳統的方法。配置方法也最容易,但這種方案無論從經濟上、還是從使用和管理的靈活可靠性上都不是最好的。一則需要購買與托管理服務器數據一樣多的防火,對托管中心來說投資非常之大;而且托管中心管理員面對這么多防火墻,其管理難度可想而知。


      (2)、采用虛擬防火墻方式,網絡結構如圖7所示。這主要是利用三層交換機的VLAN(虛擬局域網)功能,先為每一臺連接在三層交換機上的用戶服務器所連接的網絡配置成一個單獨的VLAN子網,然后通過對高性能防火墻對VLAN子網的配置,就相當于將一個高性能防火墻劃分為多個虛擬防火墻,其最終效果如圖6一樣。這種方案雖然配置較為復雜,但是這也只是首次配置,一旦配置好了,其后的使用和管理就相當方便了,就像用交換機管理多個VLAN子網一樣來管理每個用戶服務器,而且這種方案在現實中比較經濟可行。
      二、防火墻的應用配置

      在傳統邊界防火墻應用配置中,最主要體現在DMZ(非軍事區)、VPN(虛擬專用網)、DNS(域名服務器)和入侵檢測配置等幾個方面。下面具體介紹。

      1、 DMZ(非軍事區)應用配置

      DMZ這個概念在這幾篇防火墻介紹教程中我們多次講到,由此可見它非常重要,為此我們有必要再次對這樣一個防火墻技術進行更深入的研究。

      DMZ是作為內外網都可以訪問的公共計算機系統和資源的連接點,在其中放置的都是一些可供內、外部用戶寬松訪問的服務器,或提供通信基礎服務的服務器及設備。比如企事業單位的Web服務器、E-mail(郵件)服務器、VPN網關、DNS服務器、撥號所用的Modem池等等。這些系統和資源都不能放置在內部保護網絡內,否則會因內部網絡受到防火墻的訪問限制而無法正常工作。DMZ區通常放置在帶包過濾功能的邊界路由器與防火墻之間。其典型網絡結構如圖8所示。當然這里的邊界路由器也可以是一臺專門的硬件防火墻,只是在此想充分利用企業原有設備,節省企業投資。

      之所以要把DMZ區放在邊界路由器與防火墻之間,那是因為邊界路由器作為網絡安全的第一防線,可以起到一定的安全過濾作用,因為它具有包過濾功能,通常它不會設置的太嚴。而防火墻作為網絡的第二道,也是最后一道防線,它的安全級別肯定要比邊界路由器上設置的要高許多。如果把用于公共服務嚦嚦的一些服務器放置在防火墻之后,顯然因安全級別太高,外部用戶無法訪問到這些服務器,達不到公共服務的目的。


      以上所介紹的是一種典型網絡應用環境,有些企事業單位用戶網絡,可能需要兩類DMZ,即所謂的“外部DMZ”和“內部DMZ”。外部DMZ放置的是內部網絡和互聯網用戶都可以寬松訪問的系統和資源,如以上所說的Web服務器、E-mail(郵件)服務器、VPN網關、DNS服務器、撥號所用的Modem池等等。這部分網絡需單獨連在主防火墻的一個LAN端口;內部DMZ所放置是內部網絡中用防火墻所保護的內部網絡中需要供內部網絡用戶共享的系統和資源(如內部郵件服務器、內部Web服務器、內部FTP服務器等),當然外部網絡用戶是不能訪問此DMZ區資源的。內部DMZ放置在主防火墻與內部防火墻之間。它的典型網絡結構如圖9所示。


      如果企業沒有邊界路由器,則外部DMZ區就要單獨放置在主防火墻的一個LAN端口上,這也就要求主防火墻具有2個以上LAN接口,因為內部DMZ區也需與主防火墻的一個LAN接口單獨連接,以此來配置多宿主機模式。其它連接如圖9一樣。
      典型的防火墻策略是主防火墻采用NAT模式,而內部防火墻采用透明模式工作,以減少內部網絡結構的復雜程度,提高網絡連接性能。除遠程訪問和VPN訪問外,來自互聯網的網絡訪問只能限制在外部DMZ區對外開放的資源上,不可進入內部DMZ區,更不可能進入受保護的內部網絡之中。

      VPN(虛擬企業專網)是目前最新的網絡技術之一,它的主要優點通過公網,利用隧道技術進行虛擬連接,相比專線連接來說可以大幅降低企業通信成本(降低幅度在70%左右),加上隨上VPN技術的發展,VPN通信的安全問題已基本得到解決,所以目前它是一種企業首選通信方式,得到了廣大企業用戶的認可和選擇。目前存在幾個典型的VPN隧道協議,包括IPsec、PPTP、L2TP等。通過VPN技術可以實現對用戶內部網絡的擴展,同時為用戶帶來網絡使用成本上的巨大節省。

      在防火墻網絡中對VPN服務器進行配置的方法有兩種:

      (1)、傳統邊界防火墻方式

      這一方式中,VPN服務器位于邊界防火墻之后,防火墻必須打開內外網絡之間相應的VPN通信服務端口,這可能帶來安全隱患,這也是傳統邊界防火墻不能很好地VPN通信的原因。因為VPN通信中數據包內容是加密過的,所以邊界防火墻無法檢測內外網絡之間的通信內容,也就無法從中獲取過濾信息,這樣防火墻很難有效地實現對網絡的訪問控制、審計和病毒檢測。因為VPN服務器與傳統邊界2、 VPN通信配置防火墻的上述矛盾,所以遠程攻擊者對很可能將VPN服務器作為攻擊內部網絡的跳板,給內部網絡帶來非常大的不安全因素。為了提高網絡的安全性,最好再加上如圖9中配置的第二道防火墻:內部防火墻,把VPN服務器放置在外部DMZ區中。

      (2)、使用VPN專用防火墻

      針對傳統邊界防火墻與VPN通信的上述矛盾,網絡設備開發商就特定為VPN通信開發VPN防火墻。集成VPN技術的防火墻,就可以正確識別VPN通信中的數據包,并且加密的數據包也只在外部VPN客戶端與防火墻之間,有交地避免了前種方案中數據包無法識別的弊端。但不是所有廠商的防火墻都支持內置的VPN服務增值功能。此方案的典型配置如圖10所示。

      3、DNS

      DNS服務器可為互聯網提供域名解析服務,對任何網絡應用都十分關鍵。同時在其中也包括了非常重要的網絡配置信息,如用戶主機名和IP地址等。正因如此,對DNS服務器要采取特別的安全保護措施。

      為了安全起見,建議在防火墻網絡中,對內部DNS服務器和外部DNS服務器進行分開放置。為互聯網服務的外部DNS服務器不應該包含對外禁止訪問的內部網絡系統的相關服務,需要專門放置在內部DNS服務器上。如果將內部網絡的相關服務需放置在外部DNS服務器上,則會為非法攻擊者提供攻擊對象目標信息。這種將內部DNS服務器和外部DNS服務器分隔開的網絡配置方案通常稱之為“分割DNS”。圖11描述了一個典型的“DNS分割”的例子:
      在這種典型防火墻DNS服務器配置網絡結構中,內部DNS服務器專用來為內部網絡系統進行名稱解析,使得內部網絡用戶可以通過它連接到其它內部系統,其中就包括內部防火墻和內部DMZ;外部DNS使得外部網絡能夠解析出主防火墻、外部DNS服務器、外部DMZ區的主機名字,但不能解析出內部網絡系統主機的名字。

      6、入侵檢測

      安全檢測是信息保障的一個重要環節,也新型防火墻的一個重要功能。目前主要的安全檢測技術包括入侵檢測、漏洞掃描和病毒檢測。

      入侵檢測系統(Intrusion Detection System,IDS)能夠對網絡中未經授權用戶的訪問進行報警,某些時候還能夠通過其它手段預防這種非法網絡行為。它只能發現已發生的非法訪問,而且檢測本身不能提供安全保護的作用,但是很多入侵檢測產品能夠和防火墻這類網絡安全保護產品聯動,一旦入侵檢測發現攻擊行為,它可以通知防火墻修改安全規則,阻止后續的攻擊網流。

      入侵檢測方式目前主要分為三類:基于主機的入侵檢測、基于網絡的入侵檢測和基于應用的入侵檢測。

      建議將基于主機的入侵檢測和基于應用的入侵檢測產品配置在關鍵業務服務器上,以檢測主機應用層次的網絡攻擊行為,尤其是基于用戶的攻擊行為檢測。這屬于一種高級的入侵檢測手段,它所檢測的范圍覆蓋整個網絡和應用。必須清楚,這兩類產品有極大的安全缺陷:

      (1)、 時間上的滯后性,由于它們的檢測資料來源是主機操作系統/應用的日志記錄,因此難以做到實時反應;
      (2)、其檢測分析結果的準確性完全依賴于主機操作系統日志記錄的全面性和準確性;
      (3)、占用較多主機資源。

      如果防火墻具有一定的入侵檢測功能,則可以在主防火墻上打開此功能,在防火墻上使用入侵檢測功能可以相當程度地抵制來自外部網絡的DoS(拒絕服務攻擊)攻擊和地址欺騙攻擊。

      部署在某些區域的入侵檢測產品如果能和相關的防火墻在網絡上可通,則可以發揮它們之間的聯動功能,提高安全效率。

      在漏洞和病毒檢測方面,邊界防火墻比較難以實現,而在個人防火墻和分布式防火墻中卻較容易。因為它們之中軟件功能非常強大,而且還可以實時自動聯網升級。以實現對最新的系統和病毒進行跟蹤檢測的目的,最大限度地保證檢測的有效性。所以在個人防火墻就有好幾種防火墻的叫法,如病毒防火墻、網絡防火墻和郵件防火墻等。從這些名字我們要吧看出這些防火墻的主要功能。

      好了,關于防火墻的主要應用網絡結構及應用配置就介紹至此。下一篇將介紹防火墻的一些最新技術,敬請關注!


    ▓止談風月(www.zonaiam.com)

    我們的口號:沒有最高質量的產品我們無法生存

                      沒有非常的創意我們不如不干
    支持(0中立(0反對(0單帖管理 | 引用 | 回復 回到頂部

    返回版面帖子列表

    邊界防火墻的應用








    簽名  

    本站聯系電話:0755-25925567
    成 人 网 站国产免费观看

    <p id="lkccd"></p>

      <td id="lkccd"></td>
      <acronym id="lkccd"></acronym>
      <table id="lkccd"><ruby id="lkccd"></ruby></table>
      <td id="lkccd"></td>
      <p id="lkccd"><strong id="lkccd"></strong></p>