企業網絡防火墻設計及選型

防火墻作為外部網絡及內部網絡中間的一道天然屏障，能有效阻止來自外部的網絡攻擊，并管理來自內部的數據訪問，從而有效增加了企業網絡的安全性。通過有效的防火墻部署策略，可以令企業業務正常開展，讓企業內部網絡高度安全。

一、防火墻常見設計方案

1.防火墻設計的幾個考慮因素

防火墻的設計要考慮其可用性、安全性、可擴展性、可靠性、經濟性及標準等。如安全性是否通過國際計算機安全協會（ICSA）的認證，是否支持擴展等。

2.防火墻位置選擇

防火墻通常有兩種放置方法：放在路由器前面；放在路由器后面。兩者各有優缺點，筆者認為把防火墻放到路由器的后面效果更好，原因有三：（1）網絡邊界的路由器負責網絡互聯、數據包的轉發，防火墻負責數據包過濾等安全防護的工作保護內部網絡，提高網絡速度；（2）路由器上的接口類型豐富，能適應更多的廣域網的接入技術；（3）通過防火墻在內部之間劃分不同的區域，如內部網絡區域，DMZ區域、外部網絡區域。這種區域的劃分，可以有效管理來自內部和外部的數據，讓網絡更安全。對于一些要公開的服務及應用，將它劃在DMZ區，可以有效地避免與內部網絡更嚴格的安全策略相矛盾的情況。

3.防火墻常見設計方案

（1）典型設計。防火墻置于邊界路由器與交換機之間隔離內網和外網，保護內部網絡安全，如圖1所示。

（2）多區域劃分。在支持區域劃分的防火墻上，為了更好地實施域間策略，增加網絡安全性，通常通過防火墻將網絡劃分為多個區域，如外部區域、內部區域、DMZ區域等。DMZ區域通常用于放置企業對外提供服務的服務器。如圖2所示。

（3）容錯防火墻集配置。由于防火墻位于網絡關鍵路徑，若其發生故障，則不同區域的網絡將不能相互訪問，可能會導致企業業務的中斷。在企業對網絡安全要求高且需要防火墻提供全天候網絡保護的情況下，可以采用容錯防火墻集的方式實現容錯，從而實現穩定的可靠的服務。

容錯防火墻集有兩種不同的配置方法，分別是“主動/被動容錯防火墻集”、“主動/主動容錯防火墻集”。“主動/被動容錯防火墻集”將防火墻分為主防火墻與備份防火墻，主防火墻處理所有通信，備用防火墻不執行通信，也不執行篩選，只保持活動狀態。主從之間通過心跳線來相互檢測雙方是否正常的運行，一旦主防火墻不工作，備用防火墻則馬上接替主防火墻工作，如圖3所示。

“主動/主動容錯防火墻集”這種配置方式，兩個防火墻主動偵聽發到虛擬IP地址的所有請求，主動篩選不同的通信，兩者同時負擔網絡所有的通信。因此，相對來說“主動/主動容錯防火墻集”利用率高，能處理更大的通信量；當其中一個防火墻有問題時，另外一個防火墻主動承擔另外一個防火墻的通信。其設計只需將圖3所示中的備份防火墻改為主防火墻就行了。

二、防火墻的種類及選擇

1.ISA SERVER防火墻

該防火墻屬于應用層防火墻，工作在TCP/IP 堆棧的“應用層”上，可以攔截進出某應用程序的所有封包。理論上，這一類防火墻可以完全阻絕外部的數據流進到受保護的機器里。使用瀏覽器所產生的數據流或是使用 FTP 時的數據流都是屬于這一層。

使用該防火墻可以實現拒絕應用層上的服務，如FTP/WWW/TELNET等的服務，還可以禁止QQ，MSN網絡應用軟件等的通信。但其由于需要把數據還原到應用層，其系統資源的開銷也比傳統的包過濾防火墻要高，因此安裝ISA的服務器有一定的性能要求，否則ISA將會成為網絡的瓶頸。

使用ISA SERVER作為企業網絡防火墻時，通常將網絡劃分為不可信的外部網絡以及可信的內部網絡。兩個區域內網網絡的客戶端分為三種類型：

第一種是WEB代理客戶端ISA SERVER作為代理服務器來用，只需要在代理客戶端IE瀏覽器的internet選項上設置http代理服務器為ISA服務器即可。這種客戶端只可以上網，不可以進行如QQ之類的通信。此種客戶端的安全限制比較高，比較適合企業的某些僅可以上網頁查找資料的部門，如財務部。由于其利用ISA SERVER上的緩存功能，上網的速度較快。

第二種是NAT客戶端，這種客戶端只需要配置網關及DNS等信息，即可通過ISA代理服務器通向外網。這種客戶端的沒有安全限制，可用于對訪問外網沒有安全限制的部門或者對外提供服務部門，如郵件服務器、Web服務器。

第三種是防火墻客戶端，通常這種客戶端的設置是為了防止這些客戶端受到來自內網的攻擊。這種客戶端需要在機器上安裝ISA的專用的客戶端，這類客戶端需要認證才能訪問外網，通常這種客戶端已經適合企業內部的服務器。如果有必要，也可以在ISA SERVER上多安裝一塊網卡，單獨劃分出一個DMZ區域來部署企業對外的服務器。

由于網絡出口要經過ISA SERVER，當企業內部的客戶端數較多時，外部網絡訪問的速度將會變慢。顯然一臺ISA SERVER是不能滿足要求的。這種情況可用多臺ISA SERVER配置成陣列，以解決網速瓶頸問題。每一臺ISA 服務器都是陣列成員，由配置存儲服務器來對陣列成員進行統一的配置。只有ISA的企業版才具有陣列的功能。

2.LINUX的IPTABLES

基于WINDOWS操作系統平臺的ISA SERVER其部署不僅軟件成本相對較高，且其對硬件環境要求也較高，對于企業來說會有一定的成本壓力，相比之下免費的LINUX操作系統由于其運行穩定、效率較好且對硬件要求較低，越來越多的企業用其來部署企業服務器，其自帶的IPTABLES防火墻與ISA功能相似，具有包過濾、網絡地址轉換、QOS等功能。其不但能檢測到網絡層與傳輸層的數據包，亦可以檢測到應用層數據。

LINUX通過IPTABLES編輯器編寫過濾規則，來實現LINUX包過濾、網絡地址轉換、QOS等功能。從IPTABLES體系架構來看，IPTABLES通過以下4張表實現相應功能：表FILTER用于數據包過濾；表NAT用于網絡地址轉換；表MANGLE用于修改數據包字段從而實現QOS功能； RAW表則是實現IPTABLES的高級附加功能，如網址過濾等。

鑒于部署LINUX平臺下的IPTABLES防火墻的成本低、功能強的特點，越來越受資金有限卻又對安全有相當要求的企業的青睞。但值得提的一點是，使用IPTABLES來搭建的防火墻需要技術人員有相當的水平，其初始配置人工成本也較高，但整體來說性價比高，是企業理想的選擇。

3.專用硬件防火墻

無論WINDOWS+ISA，還是LINUX+IPTABLES防火墻，其數據過濾及轉發都是基于軟件來實現的，因此數據處理速度會受到一定的限制，其性能不如硬件防火墻。硬件防火墻可分為兩種，一種是基于PC架構的，其本質也是通過軟件來實現的，如思科的PIX系列防火墻；另外一種是基于獨立的ASIC芯片來實現的，如思科公司的ASA。總體來說，軟件防火墻以及基于PC架構的硬件防火墻在性能、處理速度、穩定性上略遜基于ASIC芯片的純硬件防火墻。

在硬件防火墻的選擇上，主要考慮的是預算、品牌、業務需求、穩定性、并發連接數、售后服務支持等。由于一線品牌硬件防火墻特別是基于ASIC芯片的，如思科的ASA系列其價格相對較高，常見于對數據安全要求與穩定性比較高的中大型企業中。另外針對中大型企業，也可以選擇H3C SecPath系列，其相對思科ASA系列來說具有更高的性價比，售后技術支持服務也更完善。針對中小企業，在預算不多的情況下，可以選擇二三線品牌，如中怡數寬SAFEcon系列。

4.路由器包過濾防火墻

在路由器上實現包過濾防火墻的核心是訪問控制列表ACL，通過配置ACL規則，可以在保證合法用戶通過的同時拒絕非法用戶的訪問。ACL規則配置在路由器的接口上，并且具有方向性，每個接口的出站方向和入站方向均可配置獨立的ACL進行包過濾。

路由器是基于軟件來實現包的轉發與過濾的，如果在路由器上配置太多的ACL規則，路由器會用掉較多的時間進行規則匹配，這會嚴重影響路由器數據轉發速度，同時由于路由器通常位于網絡邊界，這勢必導致路由器成為網絡的瓶頸。

（作者單位：中山市技師學院）