1.3.3 網(wǎng)絡(luò)防火墻部署規(guī)劃

防火墻適用于用戶網(wǎng)絡(luò)系統(tǒng)的邊界，屬于用戶網(wǎng)絡(luò)邊界的安全保護(hù)設(shè)備。所謂網(wǎng)絡(luò)邊界即采用不同安全策略的兩個(gè)網(wǎng)絡(luò)連接處，如用戶和Internet之間、同一企業(yè)內(nèi)部同部門的網(wǎng)絡(luò)之間等。防火墻的目的就是在網(wǎng)絡(luò)連接之間建立一個(gè)安全控制點(diǎn)，通過設(shè)定一定的篩選機(jī)制來決定允許或拒絕數(shù)據(jù)包通過，實(shí)現(xiàn)對(duì)進(jìn)入網(wǎng)絡(luò)內(nèi)部的服務(wù)和訪問的審計(jì)和控制。網(wǎng)絡(luò)防火墻是內(nèi)、外網(wǎng)絡(luò)數(shù)據(jù)傳輸?shù)谋亟?jīng)之路。

1. 防火墻的主要功能

防火墻的主要功能，一般來說主要有以下幾個(gè)方面。

創(chuàng)建一個(gè)阻塞點(diǎn)

防火墻在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間建立一個(gè)檢查點(diǎn)，這就要求所有的數(shù)據(jù)包都要通過這個(gè)檢查點(diǎn)。一旦這些檢查點(diǎn)清楚地建立，防火墻設(shè)備就可以監(jiān)視、過濾和檢查所有進(jìn)來和出去的流量。網(wǎng)絡(luò)安全產(chǎn)業(yè)稱這些檢查點(diǎn)為“阻塞點(diǎn)”。通過強(qiáng)制所有進(jìn)出流量都通過這些檢查點(diǎn)，網(wǎng)絡(luò)管理員可以集中在較少地方來實(shí)現(xiàn)安全目的。如果沒有這樣一個(gè)供監(jiān)視和控制信息的點(diǎn)，系統(tǒng)或安全管理員則要在許多的地方來進(jìn)行監(jiān)測(cè)。其實(shí)這個(gè)檢查點(diǎn)也就是我們所說的網(wǎng)絡(luò)邊界。

隔離不同的網(wǎng)絡(luò)

防火墻最基本的功能就是隔離內(nèi)外網(wǎng)絡(luò)，不僅確保不讓非法用戶入侵，更要保證內(nèi)部信息的不外泄。非法用戶的入侵主要是通過獲取對(duì)方的用戶名和密碼，以及其他一些重要的信息來實(shí)現(xiàn)的，甚至企業(yè)網(wǎng)絡(luò)的內(nèi)部數(shù)據(jù)更是黑客覬覦已久的“肥肉”。內(nèi)部網(wǎng)絡(luò)中不被人注意的一個(gè)細(xì)節(jié)可能包含了有關(guān)安全的線索，從而為攻擊者留下可乘之機(jī)。使用防火墻則可以屏蔽這些內(nèi)部細(xì)節(jié)，如Finger和DNS等服務(wù)。Finger服務(wù)可以顯示主機(jī)的所有用戶的注冊(cè)名、真名、最后登錄時(shí)間和使用Shell類型等，F(xiàn)inger顯示的信息非常容易被攻擊者截獲。攻擊者通過所獲取的信息可以知道一個(gè)系統(tǒng)使用的頻繁程度，這個(gè)系統(tǒng)是否有用戶正在連線上網(wǎng)等信息。

強(qiáng)化網(wǎng)絡(luò)安全策略

通過以防火墻為中心的安全方案配置，能將所有安全軟件（如密碼、加密、身份證和審計(jì)等）設(shè)置在防火墻上。這比將網(wǎng)絡(luò)安全分散到每個(gè)主機(jī)上，管理更集中而且更經(jīng)濟(jì)。各種安全措施的有機(jī)結(jié)合，更能有效地對(duì)網(wǎng)絡(luò)安全性能起到加強(qiáng)作用。

包過濾

包過濾是所有防火墻都具有的基本功能。由最初的IP地址、端口判定控制，到今天的判斷通信報(bào)文協(xié)議頭的各部分，以及通信協(xié)議的應(yīng)用層命令、內(nèi)容、用戶認(rèn)證、用戶規(guī)則甚至狀態(tài)檢測(cè)等，無不標(biāo)志著包過濾的進(jìn)步。特別是狀態(tài)監(jiān)測(cè)技術(shù)，可以支持多種協(xié)議和應(yīng)用程序，并可以很容易地實(shí)現(xiàn)應(yīng)用層的擴(kuò)充。它在現(xiàn)有協(xié)議棧中加載一個(gè)檢測(cè)模塊，模塊在網(wǎng)絡(luò)層截取數(shù)據(jù)包，然后在所有的通信層上抽取有關(guān)的狀態(tài)信息，根據(jù)該狀態(tài)位判斷該通信是否符合安全策略。

網(wǎng)絡(luò)地址轉(zhuǎn)換

網(wǎng)絡(luò)地址轉(zhuǎn)換（Network Address Translation，NAT）功能似乎已經(jīng)成了防火墻的“隱身術(shù)”，絕大多數(shù)防火墻都加入了該功能。目前防火墻一般采用雙向NAT：SNAT和DNAT。SNAT用于對(duì)內(nèi)部網(wǎng)絡(luò)地址進(jìn)行轉(zhuǎn)換，對(duì)外部網(wǎng)絡(luò)隱藏內(nèi)部網(wǎng)絡(luò)的結(jié)構(gòu)，使得對(duì)內(nèi)部的攻擊更加困難，并可以節(jié)省IP資源，有利于降低成本。而DNAT主要實(shí)現(xiàn)外網(wǎng)主機(jī)對(duì)內(nèi)網(wǎng)和DMZ區(qū)主機(jī)的訪問。

流量控制和統(tǒng)計(jì)分析

流量控制可以分為基于IP地址的控制和基于用戶的控制?；贗P地址的控制是對(duì)通過防火墻各個(gè)網(wǎng)絡(luò)接口的流量進(jìn)行控制?；谟脩舻目刂剖峭ㄟ^用戶登錄來控制每個(gè)用戶的流量，從而防止某些應(yīng)用或用戶占用過多的資源。并且通過流量控制可以保證重要用戶和重要接口的連接。流量統(tǒng)計(jì)是建立在流量控制基礎(chǔ)之上的。一般防火墻通過對(duì)基于IP、服務(wù)、時(shí)間和協(xié)議等進(jìn)行統(tǒng)計(jì)，并可以與管理界面實(shí)現(xiàn)掛接，實(shí)時(shí)或者以統(tǒng)計(jì)報(bào)表的形式輸出結(jié)果。

URL級(jí)信息過濾

是代理模塊常常實(shí)現(xiàn)的一部分，很多廠家把這個(gè)功能單獨(dú)提取出來，它其實(shí)是和代理模塊一起實(shí)現(xiàn)的。URL過濾用來控制內(nèi)部網(wǎng)絡(luò)對(duì)某些站點(diǎn)的訪問，如禁止訪問某些站點(diǎn)、禁止訪問站點(diǎn)下的某些目錄、只允許訪問某些站點(diǎn)或者其下面的文件和目錄等。

2. 防火墻在網(wǎng)絡(luò)中的位置

網(wǎng)絡(luò)防火墻的主要作用就是隔離和控制網(wǎng)絡(luò)訪問，既可以部署在局域網(wǎng)中的不同子網(wǎng)之間，也可以部署在企業(yè)網(wǎng)絡(luò)和Internet之間。在部署了防火墻的網(wǎng)絡(luò)中，網(wǎng)絡(luò)訪問只能夠按照既定的方向傳輸，而反方向傳來的數(shù)據(jù)則會(huì)被防火墻攔截，為防火墻的不信任區(qū)域。例如，在如圖1-2所示的網(wǎng)絡(luò)結(jié)構(gòu)中，網(wǎng)絡(luò)D對(duì)所有網(wǎng)絡(luò)都是不信任的，即其他網(wǎng)絡(luò)發(fā)送過來的所有文件都要經(jīng)過攔截；網(wǎng)絡(luò)A對(duì)網(wǎng)絡(luò)D和網(wǎng)絡(luò)C是信任的，而對(duì)網(wǎng)絡(luò)B是不信任的；網(wǎng)絡(luò)C信任網(wǎng)絡(luò)D而不信任網(wǎng)絡(luò)A；網(wǎng)絡(luò)B信任連接到的所有網(wǎng)絡(luò)。

如今許多用戶接入Internet的方式都是局域網(wǎng)共享接入，因此，相對(duì)而言防火墻的不信任區(qū)域就是廣域網(wǎng)，利用路由器來實(shí)現(xiàn)內(nèi)部網(wǎng)絡(luò)和廣域網(wǎng)的互聯(lián)，路由器所在的位置也應(yīng)當(dāng)是防火墻的位置，許多路由器產(chǎn)品也集成了防火墻的功能。

當(dāng)防火墻擁有兩個(gè)端口時(shí)，其中一個(gè)端口用來連接路由器，另一個(gè)端口用來連接內(nèi)部網(wǎng)絡(luò)，如圖1-3所示。

以上介紹的連接方式和安裝位置只是最普通的幾種，若照葫蘆畫瓢自然不會(huì)受到預(yù)計(jì)的效果，具體應(yīng)用的網(wǎng)絡(luò)環(huán)境不同，所采用的連接方式并不是完全相同的。

3. 連接企業(yè)網(wǎng)絡(luò)和Internet

在局域網(wǎng)和Internet之間部署防火墻是最常用的應(yīng)用方案，不過網(wǎng)絡(luò)用戶根據(jù)自己具體需要的不同，有兩種連接方式可供選擇。

如果用戶網(wǎng)絡(luò)原來已存在邊界路由器，則可充分利用原有設(shè)備，利用邊界路由器的包過濾功能，添加相應(yīng)的防火墻配置，這樣原來的路由器也就具有防火墻功能了。然后再利用防火墻與需要保護(hù)的內(nèi)部網(wǎng)絡(luò)連接。對(duì)于DMZ區(qū)中的公用服務(wù)器，則可直接與邊界路由器相連，不用經(jīng)過防火墻。它可只經(jīng)過路由器的簡單防護(hù)。在這種網(wǎng)絡(luò)環(huán)境中，邊界路由器與防火墻就一起組成了兩道安全防線（如圖1-4所示），并且在這兩者之間可以設(shè)置一個(gè)DMZ區(qū)，用來放置那些允許外部用戶訪問的公用服務(wù)器設(shè)施。

如果用戶網(wǎng)絡(luò)中不存在邊界路由器，則此時(shí)直接由防火墻來保護(hù)內(nèi)部網(wǎng)絡(luò)（如圖1-5所示）。此時(shí)DMZ區(qū)域和需要保護(hù)的內(nèi)部網(wǎng)絡(luò)分別連接防火墻的不同局域網(wǎng)接口，因此需要對(duì)這兩部分網(wǎng)絡(luò)設(shè)置不同的安全策略。這種網(wǎng)絡(luò)中雖然只有一道安全防線，但對(duì)于大多數(shù)中、小企業(yè)來說是完全可以滿足的。不過在選購防火墻時(shí)就要注意，防火墻一定要有兩個(gè)以上的局域網(wǎng)接口。

4. 連接內(nèi)部網(wǎng)絡(luò)和第三方網(wǎng)絡(luò)

這種連接方式對(duì)于一般規(guī)模的網(wǎng)絡(luò)而言應(yīng)用不是很多，但是在大型企事業(yè)計(jì)算機(jī)網(wǎng)絡(luò)中，往往有多個(gè)合作伙伴或者社會(huì)結(jié)構(gòu)，此時(shí)就需要用到這種連接方式了，如圖1-6所示。在這種網(wǎng)絡(luò)環(huán)境中通常是將安全性要求較低的服務(wù)器直接連接在網(wǎng)絡(luò)防火墻的LAN端口上，通過防火墻對(duì)這些服務(wù)器做一些簡單的配置，可以提供第三方網(wǎng)絡(luò)所需的功能即可。

5. 連接網(wǎng)絡(luò)的不同部門

這種連接方式在安全性要求較高的企業(yè)網(wǎng)絡(luò)中比較常見，例如跨國公司等，公司內(nèi)部網(wǎng)絡(luò)包含多個(gè)部門的子網(wǎng)絡(luò)，而有些局域網(wǎng)的數(shù)據(jù)是不允許其他用戶隨意訪問的，因此，就要在這些局域網(wǎng)中設(shè)置防火墻進(jìn)行隔離。在如圖1-7所示的網(wǎng)絡(luò)中，同是一個(gè)企業(yè)的內(nèi)部網(wǎng)絡(luò)，可以將需要受到保護(hù)的重要部門和一些服務(wù)器通過防火墻連接至其他網(wǎng)絡(luò)。