武漢北大青鳥 > IT技術教程 > 網絡工程教程 >

企業防火墻,要這樣構建才夠安

時間:2013-09-13來源:北大青鳥徐東校區

   要幾個防火墻?

  在防火墻的設計原理上歷來有不少爭論,爭論的一個主要問題是到底擁有幾個防火墻是好的。筆者以為兩個防火墻一般不會比一個防火墻好多少。因為在大多數的攻擊事件中,防火墻自身的漏洞很少成為問題。黑客們通常并不需要攻克防火墻,因為他們可以通過開放的端口進入,并利用防火墻之后的服務器上的漏洞。此外,防火墻本身并沒有什么吸引黑客攻擊的地方,因為任何明智的管理員都會將配置防火墻使其丟棄那些連接防火墻的企圖。例如,即使在用戶的防火墻上有一個已知的SSH漏洞,這種威脅也只能來自防火墻指定的受到良好保護的管理工作站,更別說這種工作站被關閉的情況了。事實上,防火墻的大問題在于其維護上的薄弱、糟糕的策略及網絡設計。在與防火墻有關的安事件中,人的因素造成的破壞占到了大約99%的比例。更糟的是,如果你運行多個廠商的防火墻,那么其成本將迫使用戶放棄一些需要特別關注的問題。用戶將有限的資源花費在強化一種平臺上,而不要面出擊。

  防火墻的設計目標

  一種良好的防火墻策略和網絡設計應當能夠減少(而不是根除)下面的這些安風險:

  ◆來自互聯網的攻擊DMZ服務的攻擊

  ◆企業網絡的任一部分攻擊互聯網

  ◆企業用戶或服務器攻擊DMZ服務器

  ◆DMZ服務器攻擊用戶、服務器,或者損害自身。

  ◆來自合伙人和外延網(extranet)的威脅

  ◆來自通過WAN連接的遠程部門的威脅

  這些目標聽起來也許有點太過頭了,因為這基本上并不是傳統的方法,不過它卻其自身的道理。

  點是非常明顯的,那就是限制通過互聯網試圖訪問DMZ服務器的服務端口,這就很大地減少了它們被攻克的機會。例如,在一個SMTP郵件服務器上,允許互聯網的通信通過25號TCP端口。因此,如果這臺SMTP服務器碰巧在其服務器服務或程序中有一個漏洞,它也不會被暴露在互聯網上,蠕蟲和黑客總在關心80號端口的漏洞。

  下一條聽起來可能有點兒古怪,我們為什么要關心通過自己的網絡來保護公共網絡呢?當然,任何公民都不應當散布惡意代碼,這是起碼的要求。但這樣做也是為了更好地保護我們自己的的網絡連接。以SQL slammer 蠕蟲為例,如果我們部署了更好的防火墻策略,那么就可以防止對互聯網的拒絕服務攻擊 ,同時還節省了互聯網資源。

  挺不好對付的是內部威脅。多數昂貴的防火墻并不能借助傳統的設計來防止網絡免受內部攻擊者的危害。如一個惡意用戶在家里或其它地方將一臺感染惡意代碼的筆記本電腦掛接到網絡上所造成的后果可想而知。一個良好的網絡設計和防火墻策略應當能夠保護DMZ服務器,使其免受服務器和用戶所帶來的風險,就如同防御來自互聯網的風險一樣。

  事情還有另外一方面。因為DMZ服務器暴露在公共的互聯網上,這就存在著它被黑客或蠕蟲破壞的可能。管理員采取措施限制DMZ服務器可能對內部服務器或用戶工作站所造成的威脅是至關重要的。此外,一套穩健的防火墻策略還可以防止DMZ服務器進一步損害自身。如果一臺服務器被黑客通過某種已知或未知的漏洞給破壞了,他們做的件事情就是使服務器下載一個rootkit.防火墻策略應當防止下載這種東西。

  還可以進一步減少來自外延網(Extranet)合伙人及遠程辦公部門WAN的威脅。連接這些網絡的路由器使用了廣域網技術,如幀中繼、VPN隧道、租用私有線路等來,這些路由器也可以由防火墻來其安。利用每一臺路由器上的防火墻特性來實施安性太過于昂貴,這樣不但造成硬件成本高,更主要的是其設置和管理上難度也很大。企業的防火墻借助于超過傳統防火墻的附加功能可以提供簡單而集中化的廣域網和外延網的安管理。

  關鍵在于防火墻能夠限制不同網絡區域的通信,這些區域是根據邏輯組織和功能目的劃分的。但防火墻不能限制并保護主機免受同一子網內的其它主機的威脅,因為數據不會通過防火墻接受檢查。這也就是為什么防火墻支持的區域越多,它在一個設計科學的企業網絡中也就越有用。由于一些主要的廠商都支持接口的匯聚,所以區域劃分實現起來也就簡單多了。單獨一個千兆比特的端口可以輕松地支持多個區域,并且比幾個快速以太網端口的執行速度更快。

  實施一套良好的防火墻策略

  安防火墻架構的要關鍵組件是策略的設計。實現這些目標的尤為重要的概念是使用原則的需要。在防火墻的策略中,這只是意味著除非有一個明確的原因要求使用某種服務,這種服務默認地必須被阻止或拒絕。為實施默認的服務阻止規則,在所有策略集的末尾只需要局性地實施一種防火墻策略,即丟棄一切的規則,意思就是防火墻的默認行為是丟棄來自任何源到達任何目的地的任何服務的數據包。這條規則在任何的防火墻策略中是后一條規則,因為在某種通信在有機會進入之前,它已經被封殺了。一旦實施了這種基本的行為,就需要對特定的源、特定的服務、對特定的目標地址的訪問等實施在一些精心設計的規則。一般而言,這些規則越精密,網絡也就越安。

  例如,用戶可被準許使用對外的一些常見服務端口,如HTTP,FTP,媒體服務等,但其它的服務和程序除非有了明確的原因才準許通信。在根據企業的需要找到一種特別的原因后,就需要在驗證和核準后增加一些嚴格控制的針對性規則。管理員們常犯的一個錯誤是他們將用戶的權限擴展到了服務和DMZ網絡。適用于用戶的向外轉發數據的規則通常并不適用于服務器。在認真考慮之后,管理員會找到Web服務器并不需要瀏覽Web的理由。服務器就是服務器,它主要是提供服務,而很少成為客戶端。一個根本的問題是DMZ或服務器幾乎不應當先發起通信。服務器典型情況下會接受請求,但幾乎不可能接受來自公共的互聯網的請求服務,除非是企業合伙人的XML及EDI應用。其它的例外還有一些,如提供驅動程序和軟件更新的合法廠商的站點,但所有的例外,都應當嚴格而精密地定義。遵循這些嚴格的標準可以大地減少服務器被損害的可能,能達到這樣一種程度,只要部署了這種策略,即使服務器沒有打補丁,也能防止內部子網的蠕蟲傳播。

責任編輯:秩名

分享到:

作者: 武漢北大青鳥 原載: 武漢北大青鳥徐東校區 www.gaidft.icu
版權所有,轉載時必須以鏈接形式注明作者和原始出處及本聲明

027-87660036

開班信息

只為了方便您就學 徐東校區

武漢市洪山區友誼大道504號金馬凱旋家居北大青鳥徐東校區2樓(地鐵8號線徐東站D出口徐東平價旁)

全真項目實戰 入學簽就業協議

Copyright (c) 2006-2020 武漢宏鵬職業培訓學校 版權所有 All Rights Reserved.

在線咨詢