某政府部門網絡防火墻架設及實施分析

摘 要:本文根據筆者多年工作的實踐經驗，以某政府部門內網防火墻設計方案為例，對該部門網絡防火墻架設及實施作了具體地分析，謹供大家作參考之用。

關鍵詞:防火墻安全策略安全性規則實施

中圖分類號:TP319.3文獻標識碼:A文章編號:1674-098X(2011)05(b)-0027-01

1 定義存取控制的安全策略

存取控制安全策略的定義可以管理用戶或一些應用服務程序訪問政府部門網絡，起到保護某政府部門內部網絡資源的作用。通過討論規定如:要求該部門工作人員在上班時間只能訪問Internet網上的我們規定的網站，在休息午餐時間可以開放對Internet網上特定網站訪問，當管理員對系統進行維護時，就不能對網絡進行訪問。防火墻產品在使用時，規定的存取控制參數必須是簡單明了的，能夠讓管理員理解便于其操作的方式來定義，最好使用圖形接口來操作。而且第一個規則的設定，能夠包含任何網絡對象，還可以判斷規則沖突性，還能抵擋外來惡意攻擊。

2 認證機制

防火墻認證的應用為當使用者與目的主機聯機時，在通訊被允許進行之前，認證的機制服務可安全的確認他們身份的有效性，且不需要修改服務器或客戶端應用軟件。認證服務是可完全的被整合到政府部門整體的安全政策內，并能經由防火墻圖形使用者接口集中管理。所有的認證會期也都能經由防火墻日志瀏覽器來監視和追蹤。

Cheek Point Firewall-1提供使用者的認證:針對FTP、TELNET、HTTP和RLOGLN提供透通的使用者認證;客戶端認證:可針對特定IP地址的使用者授予存取的權限;通透的會期認證:提供以會期為基礎的任何一種應用，服務的認證等。

認證的機制包括固定的密碼，如0S及防火墻的密碼;以及動態的密碼，如S/key、SectrID、RADIUS等。如要使用固定的密碼認證，建議使用防火墻的密碼較安全，但是固定密碼還是容易被監聽，最好是使用One Time Password的方式，以防止被竊取。

3 內容的安全性

防火墻所提供的內容安全能力，可達到最高層次的應用服務協議檢測，以保護使用者政府部門資源。Check Point Fire Wall-1包含計算機病毒和惡意Java與ActiveX APPlets的內容安全性檢查，經由圖形的接口可集中管理。另外提供開放平臺的安全企業連接(OPSEC)架構的API，可整合第三者廠商內容過濾的應用。

主要的應用如下。

URL過濾:可維護該政府部門寶貴的網絡頻寬和增加網絡另一層次的控制，允許網絡管理者存取特定網頁，并可確保工作人員只能下傳和存取的網頁信息。

電子郵件的支持:通過SMTP的連接提供高度的控制以保護網絡。可在一個標準的應用程序地址之后，隱藏一個外出的郵件地址，或可隱藏內部的網絡結構與真正的內部的使用者，或丟棄超過所給與郵件信息的容量等。

FTP的支持:FTP指令(如PUT/GET)的內容安全性，可限制文件名稱和檔案反病毒檢查等。

4 網絡地址翻譯(NAT)

網絡地址翻譯對Internet而言，可隱藏內部的網絡地址，克服了IP地址數量的限制，可維護一個政府部門的內部地址的完整性，對映內部非注過冊IP地址以一個合法有效的IP對外，可完整存取Internet防火墻提供兩種操作模式。

動態的模式:當維持已注冊IP地址給予使用者存取Internet的時候和隱藏內部實際IP地址的網絡資源，可使用動態的模式達到地址轉譯。動態的模式可將內部所有IP地址的連接，經過防火墻與單一個合法的IP地址對外。

靜態的模式:可應用在一個網絡IP地址很早就被分派使用和你需要提供真正的地址，以便用戶在Internet能存取他們，靜態模式的地址轉譯可解決上述問題。靜態的模式提供一個對一個的對映在對外公開IP地址和內部真正的IP地址之間。

5 加密(VPN)

私人的網絡利用一些公用網絡的設施稱為虛擬私人網絡或者VPN。一個VPN與一個專屬的私人的網絡相比較，優點顯然是是減少昂貴的費用與更多的彈性。在公開的網絡環境中，某政府部門的信息可能在網際網絡傳輸過程中遭受竊聽與篡改，可利用加密功能在Internet上建立安全的通訊頻道，可確保在某政府部門內部的資源具備完整的隱私性、真實性與資料完整性。

6 規則實施

制定規則看起是一件很簡單的事，但付諸實施卻是件困難的事，經過不斷的測試和有用信息的收集篩選，對防火墻制定的規則才能實施。在這個過程中我們需要了解某政府部門對內對外的應用以及所對應的源地址、目的地址、TCP或UDP的端口，并根據不同應用的執行頻繁程度對策率在規則表中的位置進行排序，然后才能實施配置。由于防火墻進行規則查找時是順序執行的，那么我們把常用的規則如果放在首位這樣就提高了防火墻的工作效率。其次，管理員要隨時了解網絡中出現的病毒報警和系統漏洞，要及時準備更新制定新的防火大墻策略。針對某政府部門的實際情況我們還設定了規則啟用計劃，因為有些規則是在需要時才被啟用和關閉的，這樣就很好的保證了策略的安全運行，另外，為了避開上網高峰和攻擊高峰，規定把一些應用服務放到晚上或凌晨來實施，比如遠程數據庫的同步、遠程信息采集等等，規則的啟用計劃可以讓網絡管理員根據需要來詳細的制定，保證了網絡系統有條不紊安全的運行。

在防火墻架設中，我們還建議讓管理員進行日志監控，它是一種十分有效的安全管理手段。管理員在作日志監控時，要針對網絡需要去做，不是把所有認為可以做日志的信息都進行采集，這樣做雖然看上去很完美，但每天進出網絡的信自有上百條甚至更多，如果都記載了，那么那些是我們直正需要的呢?這樣查找起來又是一件很繁瑣的事情，另外，雖然市面上有一些可以幫助管理員收集信息的軟件，但能確保這些軟件安全嗎?如果是需要的，那也可能需要不斷的開發，況且價格也很貴的。所以進行日志監控管理員要采集到最有用最關鍵的真正的日志信息。

一般而言，系統的告警信息是有必要記錄的，但對于流量信息是應該有選擇的。有時候為了檢查某個問題我們可以新建一條與該問題匹配的策略并對其進行觀測。比如:內網發現蠕蟲病毒，該病毒可能會針對主機系統某UDP端口進行攻擊，網管員雖然已經將該病毒清除，但為了監控有沒有其他的主機受感染，我們可以為該端口增加一條策略并進行日志來檢測網內的流量。

另外，該部門網絡防火墻可以針對超出經驗閥值的報文做出響應，如丟棄、告警、日志等動作，但是所有的告警或日志是需要認真分析的，系統的告警支持根據經驗值來確定的，比如對于工作站和服務器來說所產生的會話數是完全不同的，所以有時會發現系統告知一臺郵件服務器在某端口發出攻擊，而很有可能是這臺服務器在不斷的重發一些沒有響應的郵件造成的。

對于設備管理也應該設定一些規則，對于該部門網絡防火墻而言，設備管理方面通常可以通過遠程Web管理界面的訪問以及Internet外網口被Ping來實現，但這種方式是不太安全的，因為有可能防火墻的內置Web服務器會成為攻擊的對象。所以建議遠程網管應該通過IPsecVPN的方式來實現對內端口網管地址的管理。