2015-4-14传统防火墙解决方案

第第 1 章章 综述综述 1 1 前言前言 随着计算机技术和通信技术的飞速发展 信息化浪潮席卷全球 一种全新的先进生产 力的出现已经把人类带入了一个新的时代 信息技术的发展极大地改变了人们的生活 工 作模式 网上新闻 网上购物 远程教育 电子商务等等各种应用层出不穷 世界各地的 信息资源得到了高度的共享 这充分显示出信息化对社会生产力的巨大变革作用 1 2 深信服的安全理念深信服的安全理念 网络安全可以分为数据安全和服务安全两个层次 数据安全是防止信息被非法探听 服务安全是使网络系统提供不间断的通畅的对外服务 从严格的意义上讲 只有物理上完 全隔离的网络系统才是安全的 但为了实际生产以及信息交换的需要 采用完全隔离手段 保障网络安全很少被采用 在有了对外的联系之后 网络安全的目的就是使不良用心的人 窃听数据 破坏服务的成本提高到他们不能承受的程度 这里的成本包括设备成本 人力 成本 时间成本等多方面的因素 为提高恶意攻击者的攻击成本 深信服的安全理念提供了多层次 多深度的防护体系 第第 2 章章 防火墙解决方案防火墙解决方案 2 1 网络攻击检测网络攻击检测 对有服务攻击倾向的访问请求 防火墙采取两种方式来处理 禁止或代理 对于明确 的百害而无一利的数据包如地址欺骗 Ping of Death 等 防火墙会明确地禁止 对一些借 用正常访问形式发生的攻击 因为不能一概否定 防火墙会启用代理功能 只将正常的数 据请求放行 防火墙处在最前线的位置 承受攻击分析带来的资源损耗 从而使内部数据 服务器免受攻击 专心做好服务 因为防火墙主动承接攻击 或主动分析数据避免攻击 其性能方面有一定的要求 完 善的解决方案应该是安全产品从技术设计层面 实际应用层面能够承受大工作量下的性能 安全需求 2 2 访问控制访问控制 从外网 互联网或广域网 进入内部网的用户 可以被防火墙有效地进行类别划分 即区分为外部移动办公用户和外部的公共访问者 防火墙可以允许合法用户的访问以及限 制其正常的访问 禁止非法用户的试图访问 限制用户访问的方法 简单讲就是策略控制 通过源 IP 目的 IP 源应用端口 目的 端口等对用户的访问进行区分 此外 配合策略控制 还有多种辅助手段增强这种策略控 制的灵活性和强度 如日志记录 流量计数 身份验证 时间定义 流量控制等 深信服防火墙的规则设置采取自上而下的传统 每条策略可以通过图形化的方式添加 修改 移动 删除 也可以通过 ID 号进行命令行操作 一些细小的特性使使用者感到方 便 如可以在添加策略的同时定义 Address 等 深信服防火墙支持区域到区域之间 相同区域内 区域到其他所有区域的策略定义 而且其不同的策略种类具有不同的优先级 充分体现出灵活性与实用性 2 3 管理方式管理方式 任何网络设备都需要合理的管理方式 安全产品要求合理的 丰富的管理方式以提供 给管理人员正确的配置 快速的分析手段 在整体的安全系统中 如果涉及数量较大的产 品 集中的产品管理 监控将降低不必要的重复性工作 提高效率并减少失误 2 4 流量控制流量控制 IP 技术 尽力发送 的服务方式对服务质量控制能力的欠缺是 IP 技术发展的桎梏 防 火墙作为网络系统的关键位置上其关键作用的关键设备 对各种数据的控制能力是保证服 务正常运行的关键 不同的服务应用其数据流量有不同的特征 突发性强的 FTP 实时性 的语音 大流量的视频 关键性的 Telnet 控制等 如果防火墙系统不能针对不同的应用做 出合理的带宽分配和流量控制 某一个用户的应用会在一定的时间内独占全部或大部分带 宽资源 从而导致关键业务流量丢失 实时性业务流量中断等 目前很多 IP 网络设备包括防火墙设备在流量管理上采取了不同的实现方法 具有流量 管理机制的防火墙设备可以给用户最大的两或控制带宽效率的手段 从而保证服务的连续 性 合理性 2 5 网络层攻击保护网络层攻击保护 基于安全区段的防火墙保护选项基于安全区段的防火墙保护选项 防火墙用于保护网络的安全 具体做法是先检查要求从一个安全区段到另一区段的通 路的所有连接尝试 然后予以允许或拒绝 缺省情况下 防火墙拒绝所有方向的所有信息 流 通过创建策略 定义允许在预定时间通过指定源地点到达指定目的地点的信息流的种 类 您可以控制区段间的信息流 范围最大时 可以允许所有类型的信息流从一个区段中 的任何源地点到其它所有区段中的任何目的地点 而且没有任何预定时间限制 范围最小 时 可以创建一个策略 只允许一种信息流在预定的时间段内 在一个区段中的指定主机 与另一区段中的指定主机之间流动 为保护所有连接尝试的安全 防火墙设备使用了一种动态封包过滤方法 即通常所说 的状态式检查 使用此方法 防火墙设备在 TCP 包头中记入各种不同的信息单元 源和 目的 IP 地址 源和目的端口号 以及封包序列号 并保持穿越防火墙的每个 TCP 会话的 状态 防火墙也会根据变化的元素 如动态端口变化或会话终止 来修改会话状态 当 响应的 TCP 封包到达时 防火墙设备会将其包头中包含的信息与检查表中储存的相关会 话的状态进行比较 如果相符 允许响应封包通过防火墙 如果不相符 则丢弃该封包 防火墙选项用于保护区段的安全 具体做法是先检查要求经过某一接口离开和到达该 区域的所有连接尝试 然后予以准许或拒绝 为避免来自其它区段的攻击 可以启用防御 机制来检测并避开以下常见的网络攻击 下列选项可用于具有物理接口的区段 这些选项 不适用于子接口 SYN Attack SYN 攻击 ICMP Flood ICMP 泛滥 UDP Flood UDP 泛滥 和 Port Scan Attack 端口扫描攻击 对于网络层的攻击 大多数从技术角度无法判断该数据包的合法性 如 SYN flood UDP flood 通常防火墙采用阀值来控制该访问的流量 通常防火墙对这些选项提供了缺省 值 对于在实际网络上该阀值的确定 通常要对实施防火墙的网络实际情况进行合理的分 析 通过对现有网络的分析结果确定最终的设定值 比如 网络在正常工作的情况下的最 大 Syn 数据包值为 3000 考虑到网络突发流量 对现有值增加 20 则该值作为系统的设 定值 在实际应用中 这些参数要随时根据网络流量情况进行动态监控的更新 第第 3 章章 深信服防火墙的典型深信服防火墙的典型部署及应用部署及应用 3 1 高可靠全链路冗余应用环境高可靠全链路冗余应用环境 电信网络和许多骨干网络的可靠性要求很高 不允许出现因为设备的故障造成网络的 不可用 因此在电信网络和骨干网络中加入防火墙的时候也必须考虑到这个问题 下图为 深信服防火墙在骨干网络中应用的例子 正常情况下两台防火墙均处于工作状态 可以分别承担相应链路的网络通讯 当其中 一台防火墙发生意外宕机 网络故障 硬件故障等情况时 该防火墙的网络通讯自动切换 到另外一台防火墙 从而保证了网络的正常使用 切换过程不需要人为操作和其他系统的 参与 切换时间可以以秒计算 同时 防火墙之间的其中一条链路用于实现状态表传送 当一台防火墙故障时 这台防火墙上的连接可以透明的 完整的迁移到另一台防火墙上 用户不会觉察到有任何变化 防火墙之间的另外一条链路用于数据通讯 增加网络链路的 冗余 增强可靠性 3 2 旁路环境下双机热备环境旁路环境下双机热备环境 本案例环境防火墙部署是在大型数据中心 IDC 经常使用的方案 利用交换机划分 VLAN 的功能 相当于将交换机模块根据不同的 VLAN 分成几个交换模块使用 一个 VLAN 连接在防火墙的外部接口和上联路由器的接口 另外几个 VLAN 连接内部网和防火 墙的内部接口 所有外部流量从路由器接口进入交换机然后通过二层交换直接进入防火墙 的外部接口 经过防火墙的内部接口后在进入交换机 最后进入内部核心网络 3 3 骨干网内网分隔环境骨干网内网分隔环境 据赛迪 CCID 统计报告 网络攻击有 70 以上来自于企业内部 因此 保护公司网络 的安全不仅要保护来自互联网的侵害而且要防止内部的攻击 深信服防火墙从 3 个到 8 个千兆接口可进行模块化扩展 除了可以用作多 DMZ 区设 置外 还可以将内网进行多重隔离保护 通过防火墙将公司内部不同部门的网络或关键服 务器划分为不同的网段 彼此隔离 这样不仅保护了企业内部网和关键服务器 使其不受 来自 Internet 的攻击 也保护了各部门网络和关键服务器不受来自企业内部其它部门的网 络的攻击 内网分隔的另一个目的是 防止问题的扩大 如果有人闯进您的一个部门 或 者如果病毒开始蔓延 网段能够限制造成的损坏进一步扩大 3 4 混合模式接入环境混合模式接入环境 深信服防火墙支持各种接入模式 分别为 透明模式 路由模式和混合模式 并 支持各种模式之上的 NAT 模式 透明工作模式 防火墙工作在透明模式下不影响原有网络设计和配置 用户不需 要对保护网络主机属性进行重新设置 方便了用户的使用 路由工作模式 防火墙相当于静态路由器 提供静态路由功能 混合工作模式 防火墙在透明模式和路由模式同时工作 极大提高网络应用的灵 活性 下图为企业的典型应用 需要防火墙支持混合工作模式 而许多防火墙不支持这 种接入模式 给企业的应用带来不便 例如 某企业内网的地址为保留地址 10 10 10 2 24 10 10 10 50 24 企业的对外 WWW 服务器 MAIL 服务器 DNS 服务器的内部地址分别为 10 10 10 10 10 10 10 101 10 10 10 102 防火墙的内端口地址为 10 10 10 1 防 火墙外网地址为 202 100 100 3 对于服务器和 Internet 之间防火墙可使用透明方式 内网与服务器或 Internet 之 间可以使用 NAT 方式 方便灵活部署防火墙 3 5 支持支持 VLAN 环境环境 VLAN Virtual Local Area Network 中文一般译为虚拟局域网络 是一种在交换机上通 过端口 地址等方式划分虚拟网络的技术 在没有配置路由的情况下 不同 VLAN 之间是 不能进行通讯的 目前的网络环境中 许多企业也通过 VLAN 进行网络安全保护 例如 将财务部门划为一个 VLAN 等 下图为一个企业划分 VLAN 的示意图 此企业划分了 4 个 VLAN 并