2015-4-14传统防火墙解决方案

1、第1章综述 2015-4-14传统防火墙解决方案 1.1前言 随着计算机技术和通信技术的飞速发展，信 息化浪潮席卷全球，一种全新的先进生产力的出 现已经把人类带入了一个新的时代。 信息技术的 发展极大地改变了人们的生活、工作模式，网上 新闻、网上购物、远程教育、电子商务等等各种 应用层出不穷，世界各地的信息资源得到了高度 的共享。这充分显示出信息化对社会生产力的巨 大变革作用。 1.2深信服的安全理念 网络安全可以分为数据安全和服务安全两 个层次。数据安全是防止信息被非法探听；服务 安全是使网络系统提供不间断的通畅的对外服 务。从严格的意义上讲，只有物理上完全隔离的 网络系统才是安全的。但为了

2、实际生产以及信息 交换的需要，采用完全隔离手段保障网络安全很 少被采用。在有了对外的联系之后，网络安全的 目的就是使不良用心的人窃听数据、破坏服务的 成本提高到他们不能承受的程度。这里的成本包 括设备成本、人力成本、时间成本等多方面的因 素。 为提高恶意攻击者的攻击成本，深信服的安 全理念提供了多层次、多深度的防护体系，。 第2章防火墙解决方案 2.1网络攻击检测 对有服务攻击倾向的访问请求，防火墙采取 两种方式来处理：禁止或代理。对于明确的百害 而无一利的数据包如地址欺骗、Pi ng of Death 等，防火墙会明确地禁止。对一些借用正常访问 形式发生的攻击，因为不能一概否定，防火墙会 启

3、用代理功能，只将正常的数据请求放行。防火 墙处在最前线的位置，承受攻击分析带来的资源 损耗，从而使内部数据服务器免受攻击， 专心做 好服务。 因为防火墙主动承接攻击，或主动分析数据 避免攻击，其性能方面有一定的要求。完善的解 决方案应该是安全产品从技术设计层面、实际应 用层面能够承受大工作量下的性能、安全需求。 2.2访问控制 从外网（互联网或广域网）进入内部网的用 户，可以被防火墙有效地进行类别划分， 即区分 为外部移动办公用户和外部的公共访问者。防火 墙可以允许合法用户的访问以及限制其正常的 访问，禁止非法用户的试图访问。 限制用户访问的方法，简单讲就是策略控 制。通过源IP、目的IP、源

4、应用端口、目的端 口等对用户的访问进行区分。此外，配合策略控 制，还有多种辅助手段增强这种策略控制的灵活 性和强度，如日志记录、流量计数、身份验证、 时间定义、流量控制等。 深信服防火墙的规则设置采取自上而下的 传统。每条策略可以通过图形化的方式添加、修 改、移动、删除，也可以通过ID号进行命令行 操作。一些细小的特性使使用者感到方便，如可 以在添加策略的同时定义 Address等。 深信服防火墙支持区域到区域之间、 相同区 域内、区域到其他所有区域的策略定义，而且其 不同的策略种类具有不同的优先级，充分体现出 灵活性与实用性。 2.3管理方式 任何网络设备都需要合理的管理方式。 安全 产品要

5、求合理的、丰富的管理方式以提供给管理 人员正确的配置、快速的分析手段。在整体的安 全系统中，如果涉及数量较大的产品，集中的产 品管理、监控将降低不必要的重复性工作，提高 效率并减少失误。 2.4流量控制 IP技术“尽力发送”的服务方式对服务质 量控制能力的欠缺是IP技术发展的桎梏。防火 墙作为网络系统的关键位置上其关键作用的关 键设备，对各种数据的控制能力是保证服务正常 运行的关键。不同的服务应用其数据流量有不同 的特征，突发性强的FTP、实时性的语音、大流 量的视频、关键性的Telnet控制等。如果防火墙 系统不能针对不同的应用做出合理的带宽分配 和流量控制，某一个用户的应用会在一定的时间

6、内独占全部或大部分带宽资源，从而导致关键业 务流量丢失、实时性业务流量中断等。 目前很多IP网络设备包括防火墙设备在流 量管理上采取了不同的实现方法。具有流量管理 机制的防火墙设备可以给用户最大的两或控制 带宽效率的手段，从而保证服务的连续性、合理 性。 2.5网络层攻击保护 基于安全区段的防火墙保护选项 防火墙用于保护网络的安全，具体做法是先 检查要求从一个安全区段到另一区段的通路的 所有连接尝试，然后予以允许或拒绝。缺省情况 下，防火墙拒绝所有方向的所有信息流。通过创 建策略，定义允许在预定时间通过指定源地点到 达指定目的地点的信息流的种类，您可以控制区 段间的信息流。范围最大时，可以允许

7、所有类型 的信息流从一个区段中的任何源地点到其它所 有区段中的任何目的地点，而且没有任何预定时 间限制。范围最小时，可以创建一个策略，只允 许一种信息流在预定的时间段内、在一个区段中 的指定主机与另一区段中的指定主机之间流动。 为保护所有连接尝试的安全，防火墙设备使 用了一种动态封包过滤方法，即通常所说的状态 式检查。使用此方法，防火墙设备在 TCP包头 中记入各种不同的信息单元 一源和目的IP地 址、源和目的端口号，以及封包序列号一并保持 穿越防火墙的每个TCP会话的状态。（防火墙 也会根据变化的元素，如动态端口变化或会话终 止，来修改会话状态。）当响应的TCP封包到 达时，防火墙设备会将其

8、包头中包含的信息与检 查表中储存的相关会话的状态进行比较。 如果相 符，允许响应封包通过防火墙。如果不相符，则 丢弃该封包。 防火墙选项用于保护区段的安全，具体做法 是先检查要求经过某一接口离开和到达该区域 的所有连接尝试，然后予以准许或拒绝。为避免 来自其它区段的攻击，可以启用防御机制来检测 并避开以下常见的网络攻击。下列选项可用于具 有物理接口的区段（这些选项不适用于子接口）： SYN Attack（SYN 攻击）、ICMP Flood （ ICMP 泛滥）、UDP Flood （ UDP 泛滥）和 Port Sean Attack （端口扫描攻击）。 对于网络层的攻击，大多数从技术角度无

9、法 判断该数据包的合法性，如SYN flood, UDP flood，通常防火墙米用阀值来控制该访问的流 量。通常防火墙对这些选项提供了缺省值。 对于 在实际网络上该阀值的确定，通常要对实施防火 墙的网络实际情况进行合理的分析， 通过对现有 网络的分析结果确定最终的设定值。比如，网络 在正常工作的情况下的最大 Syn数据包值为 3000,考虑到网络突发流量，对现有值增加20%， 则该值作为系统的设定值。 在实际应用中，这些参数要随时根据网络流 量情况进行动态监控的更新。 第3章深信服防火墙的典型部署及应用 3.1高可靠全链路冗余应用环境 电信网络和许多骨干网络的可靠性要求很 高，不允许出现因为

10、设备的故障造成网络的不可 用,因此在电信网络和骨干网络中加入防火墙的 时候也必须考虑到这个问题，下图为深信服防火 墙在骨干网络中应用的例子。 正常情况下两台防火墙均处于工作状态，可 以分别承担相应链路的网络通讯。当其中一台防 火墙发生意外宕机、网络故障、硬件故障等情况 时，该防火墙的网络通讯自动切换到另外一台防 火墙，从而保证了网络的正常使用。 切换过程不 需要人为操作和其他系统的参与，切换时间可以 以秒计算。同时，防火墙之间的其中一条链路用 于实现状态表传送，当一台防火墙故障时，这台 防火墙上的连接可以透明的、完整的迁移到另一 台防火墙上，用户不会觉察到有任何变化。防火 墙之间的另外一条链路

11、用于数据通讯， 增加网络 链路的冗余，增强可靠性。 ILiii VLin t biin tlnnVian Vixn Vlssn TFm 1020310W却JO曲 图4高可靠全籬路冗余应用环境 3.2旁路环境下双机热备环境 本案例环境防火墙部署是在大型数据中心 （IDC ）经常使用的方案，利用交换机划分 VLAN的功能，相当于将交换机模块根据不同的 VLAN分成几个交换模块使用，一个 VLAN连 接在防火墙的外部接口和上联路由器的接口， 另 外几个VLAN连接内部网和防火墙的内部接口。 所有外部流量从路由器接口进入交换机然后通 过二层交换直接进入防火墙的外部接口， 经过防 火墙的内部接口后在进入

12、交换机，最后进入内部 核心网络。 剧 机 1 机 KL 6 机 那sii 机-UL 45 3.3骨干网内网分隔环境 据赛迪(CCID)统计报告，网络攻击有 70% 以上来自于企业内部，因此，保护公司网络的安 全不仅要保护来自互联网的侵害而且要防止内 部的攻击。 深信服防火墙从3个到8个千兆接口可进行 模块化扩展，除了可以用作多 DMZ区设置外， 还可以将内网进行多重隔离保护。通过防火墙将 公司内部不同部门的网络或关键服务器划分为 不同的网段，彼此隔离。这样不仅保护了企业内 部网和关键服务器，使其不受来自In ternet的攻 击，也保护了各部门网络和关键服务器不受来自 企业内部其它部门的网络的

13、攻击。内网分隔的另 一个目的是：防止问题的扩大。如果有人闯进您 的一个部门，或者如果病毒开始蔓延，网段能够 限制造成的损坏进一步扩大。 u.a a人:HE脉人皿胆A tKUk I J2乩门3；iil 4务器】 勞瞬务船 骨干刚內刚分隔环境 3.4混合模式接入环境 深信服防火墙支持各种接入模式，分别 为：透明模式、路由模式和混合模式，并支 持各种模式之上的NAT模式。 透明工作模式：防火墙工作在透明模式下不 影响原有网络设计和配置，用户不需要对保护 网络主机属性进行重新设置，方便了用户的使 用。 路由工作模式：防火墙相当于静态路由器， 提供静态路由功能。 混合工作模式：防火墙在透明模式和路由模

14、式同时工作，极大提高网络应用的灵活性。 下图为企业的典型应用，需要防火墙支持 混合工作模式，而许多防火墙不支持这种接 入模式，给企业的应用带来不便。例如： 某企业内网的地址为保留地址 /24-0/24，企业的对外 WWW服务器、MAIL服务器、DNS服务器 的内部地址分别为0、 01、02，防火墙的内 端口地址为 ，防火墙外网地址为 对于服务器和Internet之间防火墙可使 用透明方式，内网与服务器或Internet之间 可以使用NAT方式，方便

15、灵活部署防火墙。 A 1 貉山 41；，L|、I.札祜IS Internet aai. icoiioa 翼 jSl j务器 -亠 ，E *.X IO n 12. 4 ID 血 10-50/曲 内部网络 3 7 Z合模式接入环境 3.5支持VLAN 环境 VLAN(Virtual Local Area Network) 中文一 般译为虚拟局域网络，是一种在交换机上通过端 口、地址等方式划分虚拟网络的技术。在没有配 置路由的情况下，不同 VLAN之间是不能进行 通讯的，目前的网络环境中，许多企业也通过 VLAN进行网络安全保护，例如：将财务部门划 为一个VLAN等。 下图为一个企业划分VLAN的示意图： 户 vi 萼户怔 E斗和之百 )rL-jnk. , fi.izrw L ra 対Triink - H 冷 13迥紅 VI x.t 和駆 IlASt I a IU 支持