有效部署防火墻的兩種方式

文/劉化君

有效部署防火墻的兩種方式

文/劉化君

采取基于區域分割的層疊方式或三角方式來部署防火墻系統，以實現比較安全的網絡環境。

防火墻是目前最為流行也是應用最為廣泛的網絡安全技術。在構建安全網絡的過程中，防火墻作為第一道安全防線正受到越來越多用戶的關注。

防火墻的設計基于兩大假設：1.在防火墻內部各主機是可信的；2.防火墻外部每一個訪問都是攻擊性的，至少是有被攻擊的可能性。這種假設已不能適應互聯網的發展需求。大量事實顯示，來自內外結合的攻擊是當前網絡安全的最大威脅。顯然，單一的防火墻難以消除這一威脅，需要采取綜合的防范措施，其中，如何在網絡系統部署及其配置防火墻是關鍵性的工作。本文討論如何采取層疊方式或區域分割的三角方式來部署防火墻系統，以實現比較安全的網絡環境。

圖1 防火墻系統的層疊方式部署方案

部署方案

目前，防火墻作為用來實現網絡安全的一種手段，主要是用來拒絕未經授權用戶的訪問、存取敏感數據，同時允許合法用戶訪問網絡資源不受影響。安裝防火墻的基本原則是只要有惡意侵入的可能，無論是在內網還是在與外部公網的連接處，都應該安裝防火墻。那么，究竟應該在哪些地方部署防火墻呢？通常，防火墻規則的實施和入侵檢測系統的部署安裝防火墻的位置是在機構內聯網與互聯網的接口處，以阻擋來自互聯網的入侵；如果機構內聯網規模較大，并且設置有虛擬局域網（VLAN），可以在各VLAN 之間設置；有時，在與互聯網連接的各分支機構之間也設置防火墻。這樣加固網絡，看起來比較安全，但并不是一個優化的方案。通過分析研究與實踐，我們設計了一個基于區域分割的層疊方式或三角方式來部署防火墻系統，可以實現比較安全的網絡環境。層疊方式

基于區域分割的層疊方式的防火墻系統使用2臺中心防火墻，將DMZ區域放置在2臺防火墻之間，如圖1所示。其中，連接外部網絡和DMZ區域的防火墻僅僅承擔一些數據包過濾任務，通常由邊界路由器的訪問控制列表ACL來實現，而連接內部網絡和DMZ區域的中心防火墻是1臺專用防火墻，實施詳細的訪問控制策略。

三角方式

基于區域分割的三角方式防火墻系統部署方案如圖2所示（見下頁）。它將區域分割為內聯網（軍事化區域）、互聯網（外聯網）和非軍事化區域（DMZ區域）3個區域，通過中心防火墻以三角方式連接起來。例如，將Web服務器、郵件服務器、DNS服務器放置在DMZ區域，而內部代理服務器、數據庫服務器、文件服務器等服務器都放置在內網中，從而使其得到良好的安全保護。

這種基于區域分割的三角方式部署的防火墻系統，分為中心防火墻和個人防火墻兩大模塊。中心防火墻布置在1個雙宿主主機上，由IPSec安全子模塊、安全策略管理子模塊和用戶認證子模塊構成，同時，采用一次一密認證機制，即遠程主機與用戶客戶機共享1把密鑰，客戶機首先向遠程主機發送1個認證請求，遠程主機則回應1個隨機串，客戶機采用自己的密鑰加密這1個隨機串并回送給遠程主機，遠程主機用共享的密鑰進行相同處理，并對比結果，若匹配則認證身份成功，反之則失敗。因此可以很好地支持用戶級的分級安全策略管理。

以職員A使用某客戶機在網絡上檢索信息為例。首先，A發出認證請求，中心防火墻模塊認證其身份，成功后分發該用戶的用戶安全策略。然后，A打開瀏覽器連接一個網站(IPSec加密傳輸)，安全策略允許其連接，則該連接請求通過防火墻，客戶機與Web服務器進行正常的信息交換。如果Web服務器不支持IPSec協議，則客戶機與防火墻之間的傳輸是加密的，防火墻與W e b服務器之間則是非加密的；如果Web服務器支持IPSec協議的主機，則在防火墻與Web服務器之間采用IPSec隧道模式傳輸數據。當A訪問的某一頁面中含有安全策略禁止的內容時，個人防火墻模塊將丟棄該頁面連接。接下來，如果A想訪問其他某網站，那么管理員級安全策略會禁止這一連接企圖，因此中心防火墻模塊將根據安全策略丟棄這一請求。最后，A注銷用戶，完成一次安全服務。這樣也便于采用動態配置防火墻策略對防火墻系統進行測試。

圖2 防火墻系統的三角方式部署

硬件防火墻的配置

不同的防火墻在網絡性能、安全性和應用透明性等方面各有利弊。硬件防火墻具有工作速度快、使用方便等特點。通常使用的硬件防火墻產品多數是Cisco公司生產的PIX/ASA防火墻，并且有多種型號可供選擇使用，其中，Cisco Firewall PIX 525就是一款市場占有率較高的典型硬件防火墻。PIX 525是一種機架式標準（即能安裝在標準的機柜里），有2U的高度，正面與Cisco路由器一樣，只有一些指示燈；從背板看，有2個Ethernet端口（RJ-45網卡），1個控制端口（Console），2個USB，1個15針的Failover口，還有3個PCI擴展端口。

防火墻與路由器一樣，在使用之前也需要進行配置。各種防火墻的配置方法基本類似，現以Cisco PIX 525防火墻為例，簡單討論其基本配置規則和方法。按照圖2所示的基于區域分割的三角方式部署防火墻系統后，譬如：內聯網G0(inside，IP：192.168.1.0)、外聯網G1（outside，IP：192.168.2.0）和DMZ區域G2（放置對外開放的各種服務器，IP:192.168.3.0），可采取如下訪問控制規則配置防火墻，實現網絡的安全訪問控制：

1.inside（IP：192.168.1.0/24）可以通過防火墻訪問任何outside，但需要配合static進行靜態地址轉換。例如：

PIX525(config)# static (inside，outside)192.168.1.6 192.168.2.0，表示內部IP地址192.168.1.6，訪問外部時被翻譯成192.168.2.0全局地址。

PIX525(config)# static (dmz，outside)192.168.3.8 192.168.2.0，表示中間區域IP地址192.168.3.8，訪問外部時被翻譯成192.168.2.0全局地址。

2.inside可以訪問DMZ區，內網用戶可以使用管理DMZ中的各種服務器。例如，制定一個允許內網中的客戶機訪問端口80的規則，其命令為:

使用這個訪問控制列表之后，內部主機訪問外聯網絡的Web服務器(路由器)受到了限制。

3.outside不能訪問inside區。inside區域中存放的是內部數據，這些數據不允許外聯網用戶進行訪問。outside可以訪問DMZ區的各種服務器，但需要配合訪問控制列表(ACL)。例如：

4.DMZ既不能訪問outside區，也不能訪問inside區。因為DMZ中的服務器是專門用于給外界提供服務的，所以外網可以訪問DMZ，而DMZ中的服務器則沒有必要主動訪問外網。如果允許DMZ訪問inside區，當入侵者攻陷DMZ時，就可以進一步攻擊內網的重要敏感數據。

ACL實現防火墻的部分功能

由于許多路由器具有很強的IP數據包過濾功能，在實現IP數據包轉發的同時可以進行包過濾。因此，除了采取專用設備作為防火墻系統之外，對于一般復雜程度的安全策略，也可以通過直接配置路由器的訪問控制列表（ACL）來實現防火墻的部分功能。

以Cisco路由器的過濾規則為例，若允許來自任何源IP地址和源端口、目的IP地址為192.168.2.0、端口號為80的TCP報文通過，其命令表項為：

若允許來自任何源IP地址、源端口為20、目的IP地址為192.168. 0.0/16，而且目的端口號在1023以上的TCP報文通過，其命令表項為：

注意，此處的0.0.255.255表示16位子網掩碼，與通常的表示方式（255.255.0.0）恰好相反，這是Cisco路由器設備的約定。一個比較復雜的配置示例為：

經過這樣配置路由器過濾功能之后，可以實現較為安全的網絡環境。

隨著互聯網技術的飛速發展，網絡安全問題將愈來愈引起人們的重視。盡管人們研究設計了各種各樣的安全防御技術與方案，但仍然頻頻發生網絡安全事故。以基于區域分割的層疊式或三角方式部署和配置防火墻系統，可有效地提高網絡的健壯性。當然，網絡安全單靠防火墻或者某種優化配置方案是不夠的，需要有其它安全技術及非技術因素的配合，如數據加密技術、身份認證技術、網絡法規、網絡管理人員的安全意識等。

(作者單位為南京工程學院)