24边界防火墙的应用

在上一篇中我们对防火墙的主要技术及设计模式进行较详细的介绍，大家已对防火墙从技术深度有一个理性认识。本篇要介绍防火墙的一些经典应用拓扑结构及特殊应用配置。从中我们可以了解到防火墙的一些具体应用方式，为我们配置自己企业防火墙的应用打下基础。当然这里所说的防火墙仍是传统边界防火墙，不包括后面将要介绍的个人防火墙和分布式防火墙。首先介绍的是防火墙的几种典型应用拓扑结构。一、防火墙的主要应用拓扑结构边界防火墙虽然是传统的，但是它的应用最广，技术最为成熟。目前大多数企业网络中所应用的都是边界防火墙。所以了解边界防火墙的应用对于掌握整个防火墙技术非常重要。传统边界防火墙主要有以下四种典型的应用环境，它们分别是：•控制来自互联网对内部网络的访问•控制来自第三方局域网对内部网络的访问•控制局域网内部不同部门网络之间的访问•控制对服务器中心的网络访问下面分别予以介绍。1、控制来自互联网对内部网络的访问这是一种应用最广，也是最重要的防火墙应用环境。在这种应用环境下，防火墙主要保护内部网络不遭受互联网用户（主要是指非法的黑客）的攻击。目前绝大多数企业、特别是中小型企业，采用防火墙的目的就是这个。在这种应用环境中，一般情况下防火墙网络可划分为三个不同级别的安全区域：内部网络：这是防火墙要保护的对象，包括全部的企业内部网络设备及用户主机。这个区域是防火墙的可信区域（这是由传统边界防火墙的设计理念决定的）。外部网络：这是防火墙要防护的对象，包括外部互联网主机和设备。这个区域为防火墙的非可信网络区域（也是由传统边界防火墙的设计理念决定的）。DMZ（非军事区）：它是从企业内部网络中划分的一个小区域，在其中就包括内部网络中用于公众服务的外部服务器，如Web服务器、邮件服务器、FTP服务器、外部DNS服务器等，它们都是为互联网提供某种信息服务。在以上三个区域中，用户需要对不同的安全区域庙宇不同的安全策略。虽然内部网络和DMZ区都属于企业内部网络的一部分，但它们的安全级别（策略）是不同的。对于要保护的大部分内部网络，一般情况下禁止所有来自互联网用户的访问；而由企业内部网络划分出去的DMZ区，因需为互联网应用提供相关的服务，所以在一定程度上，没有内部网络限制那么严格，如Web服务器通常是允许任何人进行正常的访问。或许有人问，这样的话，这些服务器不是很容易初攻击，按原理来说是这样的，但是由于在这些服务器上所安装的服务非常少，所允许的权限非常低，真正有服务器数据是在受保护的内部网络主机上，所以黑客攻击这些服务器没有任何意义，既不能获取什么有用的信息，也不能通过攻击它而获得过高的网络访问权限。另外，建议通过NAT（网络地址转换）技术将受保护的内部网络的全部主机地址映射成防火墙上设置的少数几个有效公网IP地址。这样有两个好处：一则可以对外屏蔽内部网络构和IP地址，保护内部网络的安全；同时因为是公网IP地址共享，所以可以大大节省公网IP地址的使用，节省了企业投资成本。在这种应用环境中，在网络拓扑结构上企事业单位可以有两种选择，这主要是根据单位原有网络设备情况而定。如果企业原来已有边界路由器，则此可充分利用原有设备，利用边界路由器的包过滤功能，添加相应的防火墙配置，这样原来的路由器也就具有防火墙功能了。然后再利用防火墙与需要保护的内部网络连接。对于DMZ区中的公用服务器，则可直接与边界路由器相连，不用经过防火墙。它可只经过路由器的简单防护。在此拓扑结构中，边界路由器与防火墙就一起组成了两道安全防线，并且在这两者之间可以设置一个DMZ区，用来放置那些允许外部用户访问的公用服务器设施。网络拓扑结构如图1所示。如果企业原来没有边界路由器，此时也可不再添加边界路由器，仅由防火墙来保护内部网络。此时DMZ区域和需要保护的内部网络分别连接防火墙的不同LAN网络接口，因此需要对这两部分网络设置不同的安全策略。这种拓扑结构虽然只有一道安全防线，但对于大多数中、小企业来说是完全可以满足的。不过在选购防火墙时就要注意，防火墙一定要有两个以上的LAN网络接口。它与我们前面所介绍的“多宿主机”结构是一样的。这种应用环境的网络拓扑结构如图2所示。2、控制来自第三方网络对内部网络的访问这种应用主要是针对一些规模比较大的企事业单位,它们的企业内部网络通常要与分支机构、合作伙伴或供应商的局域网进行连接，或者是同一企业网络中存在多个子网。在这种应用环境下，防火墙主要限制第三方网络（以上所说的其它单位局域网或本单位子网）对内部网络的非授权访问。在这种防火墙应用网络环境中，根据企业是否需要非军事区（放置一些供第三方网络用户访问的服务器）可以有两种具体的网络配置方案：（1）需要DMZ区。这种情况是企业需要为第三方网络提供一些公用服务器,供日常访问。这种网络环境与上面所介绍的限制互联网用户非法访问企业内部网络一样，整个网络同样可分为三个区域：内部网络：这是防火墙要保护的对象，包括全部企业内部网络中需要保护的设备和用户主机。为防火墙的可信网络区域，需对第三方用户透明隔离（透明是指“相当于不存在的”外部网络：防火墙要限制访问的对象，包括第三方网络主机和设备。为防火墙的非可信网络区域。DMZ（非军事区）：由企业内部网络中一些外部服务器组成，包括公众Web服务器、邮件服务器、FTP服务器、外部DNS服务器等。这些公众服务器为第三方网络提供相应的网络信息服务。需要保护的内部网络和DMZ区的安全策略也是不同的：需要保护的内部网络一般禁止来自第三方的访问，而DMZ则是为第三方提供相关的服务，允许第三方的访问。同样必要时可通过NAT（网络地址转换）对外屏蔽内部网络结构，保护内网安全。我们仍考虑企业原有边界路由器设备，通过配置后它同样可以担当包过滤防火墙角色。这时的DMZ区就可直接连接边界路由器的一个LAN接口上，而无需经过防火墙。而保护内部网络通过防火墙与边界路由器连接。网络拓扑结构如图3所示。如果企业没有边界路由器，则DMZ区和内部网络分别接在防火墙的两个不同的LAN接口上，构成多宿主机模式。(2)、没有DMZ区：此应用环境下整个网络就只包括内部网络和外部网络两个区域。某些需要向第三方网络提供特殊服务的服务器或主机与需要保护的内部网络通过防火墙的同一LAN接口连接，作为内部网络的一部分，只是通过防火墙配置对第三方开放内部网络中特定的服务器/主机资源。网络拓扑结构如图4所示。但要注意的是，这种配置可能带来极大的安全隐患，因为来自第三方网络中的攻击者可能破坏和控制对他们开放的内部服务器/主机，并以此为据点，进而破坏和攻击内部网络中的其它主机/服务器等网络资源。以上是考虑了企业是否需要DMZ区的两种情况。与上面介绍的对互联网用户访问控制的应用环境一样，在这种应用环境中，同样可以考虑企业单位原来是否已有边界路由器。这种应用环境下，企业同样可以没有边界路由器。如果没有边界路由器，则须把如图3和图4所示网络拓扑结构按如图2所示进行相应的改变，此时如图3和图4所示网络中，防火墙须直接与第三方网络连接，DMZ区与受保护的内部网络分别连接防火墙的两个不同的LAN接口。不过要注意，如图3所示的网络结构中，DMZ区就相当于没有任何保护，其实也称不上“DMZ区”，所以在企业没有边界路由器的情况下，通常不采用如图3所示网络结构，而是采用图4所示结构，把一些安全级别相对较低的服务器连接与内部受保护的网络连接在一起，只是在防火墙上对这些公众服务器进行特殊权限配置即可。内制科缩图内制科缩图43、控制内部网络不同部门之间的访问

这种应用环境就是在一个企业内部网络之间，对一些安全敏感的部门进行隔离保护。通过防火墙保护内部网络中敏感部门的资源不被非法访问。这些所谓的“敏感部门”通常是指人事部门、财务部门和市场部门等，在这些部门网络主机中的数据对于企业来说是非常重要,它的工作不能完全离开企业网络，但其中的数据又不能随便供网络用户访问。这时有几种解决方案通常是采用VLAN配置，但这种方法需要配置三层以上交换机，同时配置方法较为复杂。另一种有效的方法就是采用防火墙进行隔离，在防火墙上进行相关的配置（比起VLAN来简单许多）。通过防火墙隔离后，尽管同属于一个内部局域网，但是其他用户的访问都需要经过防火墙的过滤，符合条件的用户才能访问。这类防火墙通常不仅通过包过滤来筛选数据包的，而且还要对用户身份的合法性（在防火墙中可以设置允许哪此些用户访问）进行识别。通常为自适应代理服务器型防火墙，这种防火墙方案还可以有日志记录功能，对网管员了解网络安全现状及改进非常重要。网络拓扑结构如图5所示。*展和灯防火*展和灯防火H4、控制对服务器中心的网络访问对于一个服务器中心，比如主机托管中心，其众多服务器需要对第三方（合作伙伴、互联网用户等）开放，但是所有这些服务器分别属于不同用户所有，其安全策略也各不相同。如果把它们都定义在同一个安全区域中，显然不能满足各用户的不同需求，这时我们就得分别设置。要按不同安全策略保护这些服务器，可以有两种方法：（1）、为每个服务器单独配置一个独立的防火墙，网络如图6所示。这种方案是一种最直接、最传统的方法。配置方法也最容易，但这种方案无论从经济上、还是从使用和管理的灵活可靠性上都不是最好的。一则需要购买与托管理服务器数据一样多的防火，对托管中心来说投资非常之大；而且托管中心管理员面对这么多防火墙，其管理难度可想而知。（2）、采用虚拟防火墙方式，网络结构如图7所示。这主要是利用三层交换机的VLAN（虚拟局域网）功能，先为每一台连接在三层交换机上的用户服务器所连接的网络配置成一个单独的VLAN子网，然后通过对高性能防火墙对VLAN子网的配置，就相当于将一个高性能防火墙划分为多个虚拟防火墙，其最终效果如图6一样。这种方案虽然配置较为复杂，但是这也只是首次配置，一旦配置好了，其后的使用和管理就相当方便了，就像用交换机管理多个VLAN子网一样来管理每个用户服务器，而且这种方案在现实中比较经济可行。图7、防火墙的应用配置在传统边界防火墙应用配置中，最主要体现在DMZ（非军事区）、VPN（虚拟专用网）、DNS（域名服务器）和入侵检测配置等几个方面。下面具体介绍。1、DMZ（非军事区）应用配置DMZ这个概念在这几篇防火墙介绍教程中我们多次讲到，由此可见它非常重要，为此我们有必要再次对这样一个防火墙技术进行更深入的研究。DMZ是作为内外网都可以访问的公共计算机系统和资源的连接点，在其中放置的都是一些可供内、外部用户宽松访问的服务器，或提供通信基础服务的服务器及设备。比如企事业单位的Web服务器、E-mail（邮件）服务器、VPN网关、DNS服务器、拨号所用的Modem池等等。这些系统和资源都不能放置在内部保护网络内，否则会因内部网络受到防火墙的访问限制而无法正常工作。DMZ区通常放置在带包过滤功能的边界路由器与防火墙之间。其典型网络结构如图8所示。当然这里的边界路由器也可以是一台专门的硬件防火墙，只是在此想充分利用企业原有设备，节省企业投资。之所以要把DMZ区放在边界路由器与防火墙之间，那是因为边界路由器作为网络安全的第一防线，可以起到一定的安全过滤作用，因为它具有包过滤功能，通常它不会设置的太严。而防火墙作为网络的第二道，也是最后一道防线，它的安全级别肯定要比边界路由器上设置的要高许多。如果把用于公共服务呖呖的一些服务器放置在防火墙之后，显然因安全级别太高，外部用户无法访问到这些服务器，达不到公共服务的目的。［外部网豁〕边矗窗由謎(D1LZK|raK^Bri«Rn［外部网豁〕边矗窗由謎(D1LZK|raK^Bri«Rn以上所介绍的是一种典型网络应用环境，有些企事业单位用户网络，可能需要两类DMZ,即所谓的“外部DMZ”和“内部DMZ”。外部DMZ放置的是内部网络和互联网用户都可以宽松访问的系统和资源，如以上所说的Web服务器、E-mail（邮件）服务器、VPN网关、DNS服务器、拨号所用的Modem池等等。这部分网络需单独连在主防火墙的一个LAN端口；内部DMZ所放置是内部网络中用防火墙所保护的内部网络中需要供内部网络用户共享的系统和资源（如内部邮件服务器、内部Web服务器、内部FTP服务器等），当然外部网络用户是不能访问此DMZ区资源的。内部DMZ放置在主防火墙与内部防火墙之间。它的典型网络结构如图9所示。［脾・［脾・如果企业没有边界路由器，则外部DMZ区就要单独放置在主防火墙的一个LAN端口上，这也就要求主防火墙具有2个以上LAN接口，因为内部DMZ区也需与主防火墙的一个LAN接口单独连接，以此来配置多宿主机模式。其它连接如图9一样。典型的防火墙策略是主防火墙采用NAT模式，而内部防火墙采用透明模式工作，以减少内部网络结构的复杂程度，提高网络连接性能。除远程访问和VPN访问外，来自互联网的网络访问只能限制在外部DMZ区对外开放的资源上，不可进入内部DMZ区，更不可能进入受保护的内部网络之中。VPN（虚拟企业专网）是目前最新的网络技术之一，它的主要优点通过公网，利用隧道技术进行虚拟连接，相比专线连接来说可以大幅降低企业通信成本（降低幅度在70%左右），加上随上VPN技术的发展，VPN通信的安全问题已基本得到解决，所以目前它是一种企业首选通信方式，得到了广大企业用户的认可和选择。目前存在几个典型的VPN隧道协议，包括IPsec、PPTP、L2TP等。通过VPN技术可以实现对用户内部网络的扩展，同时为用户带来网络使用成本上的巨大节省。在防火墙网络中对VPN服务器进行配置的方法有两种：(1丿、传统边界防火墙方式这一方式中，VPN服务器位于边界防火墙之后，防火墙必须打开内外网络之间相应的VPN通信服务端口，这可能带来安全隐患，这也是传统边界防火墙不能很好地VPN通信的原因。因为VPN通信中数据包内容是加密过的，所以边界防火墙无法检测内外网络之间的通信内容，也就无法从中获取过滤信息，这样防火墙很难有效地实现对网络的访问控制、审计和病毒检测。因为VPN服务器与传统边界2、VPN通信配置防火墙的上述矛盾，所以远程攻击者对很可能将VPN服务器作为攻击内部网络的跳板，给内部网络带来非常大的不安全因素。为了提高网络的安全性，最好再加上如图9中配置的第二道防火墙：内部防火墙，把VPN服务器放置在外部DMZ区中。(2)、使用VPN专用防火墙针对传统边界防火墙与VPN通信的上述矛盾，网络设备开发商就特定为VPN通信开发VPN防火墙。集成VPN技术的防火墙，就可以正确识别VPN通信中的数据包，并且加密的数据包也只在外部VPN客户端与防火墙之间，有交地避免了前种方案中数据包无法识别的弊端。但不是所有厂商的防火墙都支持内置的VPN服务增值功能。此方案的典型配置如图10所示。■■II3、DNSDNS服务器可为互联网提供域名解析服务，对任何网络应用都十分关键。同时在其中也包括了非常重要的网络配置信息，如用户主机名和IP地址等。正因如此，对DNS服务器要采取特别的安全保护措施。为了安全起见，建议在防火墙网络中，对内部DNS服务器和外部DNS服务器进行分开放置。为互联网服务的外部DNS服务器不应该包含对外禁止访问的内部网络系统的相关服务，需要专门放置在内部DNS服务器上。如果将内部网络的相关服务需放置在外部DNS服务器上，则会为非法攻击者提供攻击对象目标信息。这种将内部DNS服务器和外部DNS服务器分隔开的网络配置方案通常称之为“分割DNS”。图11描述了一个典型的“DNS分割”的例子：

Ititntiei□O图11^»Dizk?]壮listItitntiei□O图11^»Dizk?]壮list务我FTFlf^-H在这种典型防火墙DNS服务器配置网络结构中，内部DNS服务器专用来为内部网络系统进行名称解析，使得内部网络用户可以通过它连接到其它内部系统，其中就包括内部防火墙和内部DMZ；外部DNS使得外部网络能够解析出主防火墙、外部DNS服务器、外部DMZ区的主机名字，但不能解析出内部网络系统主机的名字。6、入侵检测安全检测是信息保障的一个重要环节，也新型防火墙的一个重要功能。目前主要的安全检测技术包括入侵检测、漏洞扫描和病毒检测。入侵检测系统(IntrusionDetectionSystem，IDS)能够对网络中未经授权用户