企业网络系统防火墙应用方案.doc

企业网络系统防火墙应用方案武汉贝安科技有限公司2003年8月目录1.前言32.企业网络系统概述33.安全需求分析53.1风险分析53.2安全需求64.基于网络卫士防火墙的企业网安全方案74.1网络卫士防火墙在企业网中的位置74.2网络卫士防火墙在企业网中的作用94.3 网络卫士防火墙典型配置策略135.企业网建设的其它安全考虑13 1.前言以Internet为代表的全球性信息化浪潮日益深刻，信息网络技术的应用正日益普及和广泛，应用层次正在深入，应用领域从传统的、小型业务系统逐渐向大型、关键业务系统扩展，典型的如行政部门业务系统、金融业务系统、企业商务系统等。伴随网络的普及，安全日益成为影响网络效能的重要问题，而Internet所具有的开放性、国际性和自由性在增加应用自由度的同时，对安全提出了更高的要求。如何使信息网络系统不受黑客和工业间谍的入侵，已成为政府机构、企事业单位信息化健康发展所要考虑的重要事情之一。2.企业网络系统概述作为企业，其网络系统的建设除了要满足企业内部工作人员访问Internet和企业内部相关部门的互访外，还必须能够使公众通过INTRNET访问企业网，查询公众所需的企业信息，了解企业的相关动态。这就要求企业网要有很高的可靠性、安全性和保密性。因此我们在企业网的建设中应采用企业级防火墙技术。在网络方面最好选用具有第三层虚拟网技术的设备，把保密性强的部门（如财务部门或研发部门）划分到同一虚拟网内，使未被授权的人员不能访问其部门的信息。另外，根据企业规模发展的要求，当前所建网络系统应能够满足今后的扩充与升级，这就要求我们所选的网络产品以及安全产品在当今应处于业界领先地位，且易于升级和留有扩充容量。在网络的远程接入方面，要求该网络系统应满足一些出差的企业工作人员随时的能够通过拨号或Internet安全地访问局域网与企业传递信息，防止非法用户的进入。从企业长远发展角度，在同各地区分支机构的连接中，可选用DDN专线同企业核心网连接，安全保密问题也是非常重要的。一般，企业网络拓扑结构如下。InternetWWW、DNS、MAIL/PROXY Server中心LAN路由器交换机/HUBWAN分支LAN分支LAN3.安全需求分析建立网络安全策略的一个重要要素是确保投入安全保护与维护上的代价得到相应的收益。因此，我们必须对网络资源及存在的安全漏洞进行风险评估，对安全威胁进行分析，然后列出用户的安全需求，最后制定合理的安全策略及安全解决方案。3.1风险分析 风险分析的一个步骤是判定需要保护的所有资源，特别是受安全问题影响的资源。这些资源包括：主机、工作站、各种网络设备等硬件；源程序、应用程序、操作系统等软件；在线存储、传输、及备份数据；等等。 针对上述的企业网络系统，尚未建立系统的安全防护体制，存在着明显的安全威胁。（1） 全网易受入侵，特别是对外提供服务的公开服务器如WWW服务器等，更容易成为黑客的攻击目标。而且如果攻击者占领对外提供服务的服务器，则攻击者非常容易进入内部网络。因此对内部网络与外部网之间需使用安全的访问控制系统。（2） 系统的认证强度低。首先，整个网络内部用户及合法的外部用户均拥有同样的安全权限，可以有权地访整个网络任何安全级别的资源。其次，如果通过简单静态的通行字进行身份鉴别，一旦身份鉴别通过，用户即可访问整个网络。侵袭者可以通过三种方式很容易地获取通行字：一是内部的管理人员因安全管理不当而造成泄密；二是通过在公用网上搭线窃取通行字；三是通过假冒，植入嗅探程序，截获通行字。侵袭者一旦掌握了通行字，即可在任何地方通过网络访问全网，并可能造成不可估量的损失。（3） 系统保密性差。如果远程移动用户、企业分支机构通过INTERNET或通过公用网络（如X.25、FR、PSTN）与企业中心内部网建立连接，全部线路上的信息多以明文的方式传送，其中包括登录通行字和一些敏感信息（甚至是涉密信息，如有关企业商务数据信息），可能被侵袭者截获、窃取和篡改，造成泄密。（4） 易受欺骗性。由于网络主要采用的是TCP/IP协议，不法分子就可能获取IP地址，在合法用户关机时，冒充该合法用户，从而窜入网络服务或应用系统，窃取甚至篡改有关信息，乃至会破坏整个网络。（5） 数据易损。由于目前尚无安全的数据库及个人终端安全保护措施，还不能抵御来自网络上的各种对数据库及个人终端的攻击；同时一旦不法分子针对网上传输数据作出伪造、删除、窃取、窜改等攻击，都将造成十分严重的影响和损失。（6） 缺乏对全网的安全控制与管理。当网络出现攻击行为或网络受到其它一些安全威胁时（如内部人员的违规操作等），无法进行实时的监控、报告与预警。同时，当事故发生后，也无法提供黑客攻击行为的追踪线索及破案依据，即缺乏对网络的可控性与可审查性。3.2安全需求 确切了解网络信息系统需要解决哪些安全问题是建立合理安全需求的基础。基于企业计算机网络系统拓扑结构及实际应用情况，需要解决如下安全问题：l 企业中心局域网内部的安全问题，包括安全域的划分以及VLAN的实现l 在网络边界（企业中心LAN与INETRNET或WAN之间）如何实现安全性，包括网络的隔离与相互访问控制l 应用系统如何保证安全性l 如何防止黑客对网络、主机、服务器等的入侵l 如何实现数据库与个人终端的安全l 跨公共网络进行信息传输的安全保密性4.基于网络卫士防火墙的企业网安全方案Internet的发展给企业带来了革命性的改革和开放。他们正努力通过利用Internet来提高办事效率和市场反应速度，以便更具竞争力。通过Internet，企业可以从异地取回重要数据，同时又要面对Internet开放带来的数据安全的新挑战和新危险：即客户、销售商、移动用户、异地员工和内部员工的安全访问；以及保护企业的机密信息不受黑客和工业间谍的入侵。因此企业必须加筑安全的战壕，而这个战壕就是防火墙。防火墙技术是建立在现代通信网络技术和信息安全技术基础上的应用性安全技术，越来越多地应用于专用网络与公用网络的互联环境之中，尤其以接入Internet网络为最甚。4.1网络卫士防火墙在企业网中的位置防火墙是指设置在不同网络（如可信任的企业内部网和不可信的公共网）或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口，能根据企业的安全政策控制（允许、拒绝、监测）出入网络的信息流，且本身具有较强的抗攻击能力。它是提供信息安全服务，实现网络和信息安全的基础设施。 在逻辑上，防火墙是一个分离器，一个限制器，也是一个分析器，有效地监控了内部网和Internet之间的任何活动，保证了内部网络的安全。一个企业内部网通过一个边界路由器与Internet相连，防火墙安装于边界路由器与内部网之间，通常防火墙有两个端口（即两块物理网卡），其中一个端口接外部路由器，另以端口接内部网（如接内部路由器、交换机等）。 为适应越来越多的用户向Internet上提供服务时对服务器保护的需要，网络卫士防火墙（基本配置有三个接口）采用分别保护的策略对用户上网的对外服务器实施保护，它提供一专用接口将对外服务器作为一个独立网络处理，对外服务器既是内部网的一部份，又与内部网关完全隔离。这就是安全服务器网络（ SSN）技术，对SSN上的主机既可单独管理，也可设置成通过FTP、Telnet等方式从内部网上管理。InternetWWW、DNS、MAIL/PROXY Server中心LAN路由器WAN分支LAN分支LAN防火墙4.2网络卫士防火墙在企业网中的作用l 实现企业内部局域网与INTERNET之间的隔离与相互访问控制如采用如下访问控制安全策略：允许内部那些主机（基于IP地址）访问INTERNET；不容许内部那些主机（基于IP地址）访问INTERNET；允许内部那些用户（基于一次性强口令认证）访问INTERNET，而不受主机IP地址的限制；允许内部主机或用户访问INTERNET哪钟或哪些服务（如WWW、FTP、SMTP等），而不允许访问哪些服务；允许内部用户访问INTERNET的时间；完全禁止INTERNET用户访问内部网。l 实现对内部网各网段之间的访问控制通常，专用的内部网防火墙被用来隔离内部网络的一个网段与另一个网段。这样，就能防止影响一个网段的问题穿过整个网络传播。因为针对某些重要业务网络系统，它的一些局域网的某个网段可能比另一个网段更受信任，或者某个网段比另一个更敏感。而在它们之间设置防火墙就可以限制局部网络安全问题对全局网络造成的影响。网络卫士防火墙系统通过设置虚拟网卡，可以实现对内部网不同网段的隔离与访问控制。 防火墙的每一个接口代表一块物理网卡，每块物理网卡可重载十个虚拟网卡。因此，每个端口可以配置十一个IP地址，从而防火墙的一个端口就可以管理十一个子网，极大地扩展了设备的功能（如不必再使用专用的内部防火墙）。l 实现对公开服务器的安全保护网络卫士防火墙系统采用SSN方式实现对公开服务器的安全保护。SSN的方法提供的安全性要比传统的“隔离区（DMZ）”方法好得多，因为SSN与外部网之间有防火墙保护，SSN与内部网之间也有防火墙的保护，而DMZ只是一种在内、外部网络网关之间存在的一种防火墙方式。换言之，一旦SSN受破坏，内部网络仍会处于防火墙的保护之下，而一旦DMZ受到破坏，内部网络便暴露于攻击之下。另外，利用网络卫士防火墙的应用安全控制功能，可以实现URL阻断及HTTP、FTP协议下交互操作命令和指令的过滤。如控制访问WWW服务器的URL、目录文件等，同时控制用户的操作（如GET、PUT等），防止用户对服务器文件的非法修改等。再者，网络卫士防火墙系统还提供IP映射功能。如果企业希望内部网络中的服务器可以让Internet用户访问的话，可以利用映射功能，为内部网络服务器作静态地址映射，这样Internet用户就可以通过防火墙系统直接访问该服务器了。l 实现对远程移动用户的安全认证与访问权限控制企业客户、伙伴及员工如果想通过Internet连接到内部网络，可以使用网络卫士防火墙系统的一次性口令认证功能。用户只要通过系统认证，就可以通过防火墙访问内部网络。 一次性口令认证机制极大地提高了访问控制的安全性，有效阻止非授权用户进入网络，从而保证网络系统的可用性。 一次性口令用户认证的基本过程是：首先用户向防火墙发送身份认证请求，并指明自己的用户名，防火墙收到请求后，向用户提出挑战，用户收到挑战后，结合自己的口令，产生答复，防火墙判断用户答复是否正确，并给出相应信息，如果用户连续三次认证失败则在一定时间内禁止该用户认证。由于采用一次性的口令认证机制，即使窃听者在网络上截取到口令，也无法在利用这个口令与内部网建立连接。另外，网络卫士防火墙系统可以根据企业安全策略，将一次性口令认证与防火墙其它安全机制结合使用，实现对用户访问权限的控制，即控制经过认证用户访问的网络、网段、主机、协议、用户等。同时，一次性口令认证方式也可以用来控制内部网络用户的对外访问。l 代理内部用户访问INTERNET网络卫士防火墙提供了NAT功能，并可根据用户需要灵活配置。当内部网用户需要对外访问时，防火墙系统将会代替用户进行访问，并将结果透明地返回用户，相当于一个IP层代理，从而解决企业IP地址不足的问题，同时隐藏了内部网的结构，强化了内部网的安全。l 防止内部用户IP盗用网络卫士防火墙具有IP与MAC捆绑功能，它保护内部网某一台机器的 IP 地址不被另一台内部机器盗用。也就是说，如果要保护的机器与防火墙直接相连，可以将此机器的 IP 与其物理网卡捆绑，这样其他内部机器就不可能使用它的 IP。l 实现对专线资源的流量管理与控制流量不足是企业网络管理者遇到的最麻烦的问题之一，由于一些用户使用如FTP之类大量消耗网络资源的应用，占用了大部分流量，影响了其它用户正常使用网络。对于专线用户，这个问题特别严重。 网络卫士防火墙系统可方便的根据IP地址等对流量进行控制，以防止线路资源的不正常消耗，有效地管理专线资源，从而使网络得到充分利用。l 防攻击与入侵检测 网络卫士防火墙系统采用多种手段或方式防止攻击行为并实现对入侵的检测：网络卫士防火墙采用专用安全操作系统，安全级别高。网络卫士防火墙采用无IP地址技术，使攻击者找不到攻击目标。网络卫士防火墙具有较强的抗攻击能力，如抗IP假冒攻击、抗源路由攻击、抗极小碎片攻击等。防电子欺骗（防IP地址欺骗）：网络卫士防火墙的防电子欺骗功能是保证数据包的IP地址与网关接口相符，防止通过修改IP地址的方法进行非授权访问。攻击检测功能：网络卫士防火墙系统可以检测到对网络或内部主机的所有TCP/UDP扫描以及多种拒绝服务攻击，如SynFlooding攻击、Land of Attack攻击、Ping of Dead攻击等。对外部扫描以及攻击的响应能力。网络卫士防火墙可以对来自外部网络的扫描和多种攻击进行实时响应。l 安全记录与审计所有的访问都经过防火墙，那么，防火墙就能记录下这些访问并作出日志记录，同时也能提供网络使用情况的统计数据，便于企业管理者掌握企业网络的使用状况。另外，收集一个网络的使用和误用情况也是非常重要的。首先的理由是可以清楚防火墙是否能够抵挡攻击者的探测和攻击，并且清楚防火墙的控制是否充足。而网络使用统计对网络需求分析和威胁分析等而言也是非常重要的。4.3 网络卫士防火墙典型配置策略l 禁止INTERNET PING内部网络和WWW 服务器l 禁止SSN区的WWW服务器访问内部网络l 允许SSN区的其他工作站访问外部网络l 允许外部网络及内部网络访问WWW服务器的服务：WWW、DNS、POP3、SMTPl 允许内部网络访问WWW服务器的服务：FTP、TELNET l 允许某种或某些数据包到达SSN区，禁止外部网络及内部网络对SSN区的其他访问l 禁止外部网络访问内部网络l 允许内部网络访问INTERNETl 设置防黑客或入侵检测的范围l 开放一些一次性口令认证用户并设置其访问权