2023-4-14傳統(tǒng)防火墻解決方案

綜述前言隨著計算機技術和通信技術的飛速開展，信息化浪潮席卷全球，一種全新的先進生產力的出現已經把人類帶入了一個新的時代。信息技術的開展極大地改變了人們的生活、工作模式，網上新聞、網上購物、遠程教育、電子商務等等各種應用層出不窮，世界各地的信息資源得到了高度的共享。這充分顯示出信息化對社會生產力的巨大變革作用。深信服的平安理念網絡平安可以分為數據平安和效勞平安兩個層次。數據平安是防止信息被非法探聽；效勞平安是使網絡系統(tǒng)提供不間斷的通暢的對外效勞。從嚴格的意義上講，只有物理上完全隔離的網絡系統(tǒng)才是平安的。但為了實際生產以及信息交換的需要，采用完全隔離手段保障網絡平安很少被采用。在有了對外的聯系之后，網絡平安的目的就是使不良用心的人竊聽數據、破壞效勞的本錢提高到他們不能承受的程度。這里的本錢包括設備本錢、人力本錢、時間本錢等多方面的因素。為提高惡意攻擊者的攻擊本錢，深信服的平安理念提供了多層次、多深度的防護體系，。防火墻解決方案網絡攻擊檢測對有效勞攻擊傾向的訪問請求，防火墻采取兩種方式來處理：禁止或代理。對于明確的百害而無一利的數據包如地址欺騙、PingofDeath等，防火墻會明確地禁止。對一些借用正常訪問形式發(fā)生的攻擊，因為不能一概否認，防火墻會啟用代理功能，只將正常的數據請求放行。防火墻處在最前線的位置，承受攻擊分析帶來的資源損耗，從而使內部數據效勞器免受攻擊，專心做好效勞。因為防火墻主動承接攻擊，或主動分析數據防止攻擊，其性能方面有一定的要求。完善的解決方案應該是平安產品從技術設計層面、實際應用層面能夠承受大工作量下的性能、平安需求。訪問控制從外網〔互聯網或廣域網〕進入內部網的用戶，可以被防火墻有效地進行類別劃分，即區(qū)分為外部移動辦公用戶和外部的公共訪問者。防火墻可以允許合法用戶的訪問以及限制其正常的訪問，禁止非法用戶的試圖訪問。限制用戶訪問的方法，簡單講就是策略控制。通過源IP、目的IP、源應用端口、目的端口等對用戶的訪問進行區(qū)分。此外，配合策略控制，還有多種輔助手段增強這種策略控制的靈活性和強度，如日志記錄、流量計數、身份驗證、時間定義、流量控制等。深信服防火墻的規(guī)那么設置采取自上而下的傳統(tǒng)。每條策略可以通過圖形化的方式添加、修改、移動、刪除，也可以通過ID號進行命令行操作。一些細小的特性使使用者感到方便，如可以在添加策略的同時定義Address等。深信服防火墻支持區(qū)域到區(qū)域之間、相同區(qū)域內、區(qū)域到其他所有區(qū)域的策略定義，而且其不同的策略種類具有不同的優(yōu)先級，充分表達出靈活性與實用性。管理方式任何網絡設備都需要合理的管理方式。平安產品要求合理的、豐富的管理方式以提供應管理人員正確的配置、快速的分析手段。在整體的平安系統(tǒng)中，如果涉及數量較大的產品，集中的產品管理、監(jiān)控將降低不必要的重復性工作，提高效率并減少失誤。流量控制IP技術“盡力發(fā)送〞的效勞方式對效勞質量控制能力的欠缺是IP技術開展的桎梏。防火墻作為網絡系統(tǒng)的關鍵位置上其關鍵作用的關鍵設備，對各種數據的控制能力是保證效勞正常運行的關鍵。不同的效勞應用其數據流量有不同的特征，突發(fā)性強的FTP、實時性的語音、大流量的視頻、關鍵性的Telnet控制等。如果防火墻系統(tǒng)不能針對不同的應用做出合理的帶寬分配和流量控制，某一個用戶的應用會在一定的時間內獨占全部或大局部帶寬資源，從而導致關鍵業(yè)務流量喪失、實時性業(yè)務流量中斷等。目前很多IP網絡設備包括防火墻設備在流量管理上采取了不同的實現方法。具有流量管理機制的防火墻設備可以給用戶最大的兩或控制帶寬效率的手段，從而保證效勞的連續(xù)性、合理性。網絡層攻擊保護基于平安區(qū)段的防火墻保護選項防火墻用于保護網絡的平安，具體做法是先檢查要求從一個平安區(qū)段到另一區(qū)段的通路的所有連接嘗試，然后予以允許或拒絕。缺省情況下，防火墻拒絕所有方向的所有信息流。通過創(chuàng)立策略，定義允許在預定時間通過指定源地點到達指定目的地點的信息流的種類，您可以控制區(qū)段間的信息流。范圍最大時，可以允許所有類型的信息流從一個區(qū)段中的任何源地點到其它所有區(qū)段中的任何目的地點，而且沒有任何預定時間限制。范圍最小時，可以創(chuàng)立一個策略，只允許一種信息流在預定的時間段內、在一個區(qū)段中的指定主機與另一區(qū)段中的指定主機之間流動。為保護所有連接嘗試的平安，防火墻設備使用了一種動態(tài)封包過濾方法，即通常所說的狀態(tài)式檢查。使用此方法，防火墻設備在TCP包頭中記入各種不同的信息單元—源和目的IP地址、源和目的端口號，以及封包序列號—并保持穿越防火墻的每個TCP會話的狀態(tài)?！卜阑饓σ矔鶕兓脑?，如動態(tài)端口變化或會話終止，來修改會話狀態(tài)?！钞旐憫腡CP封包到達時，防火墻設備會將其包頭中包含的信息與檢查表中儲存的相關會話的狀態(tài)進行比擬。如果相符，允許響應封包通過防火墻。如果不相符，那么丟棄該封包。防火墻選項用于保護區(qū)段的平安，具體做法是先檢查要求經過某一接口離開和到達該區(qū)域的所有連接嘗試，然后予以準許或拒絕。為防止來自其它區(qū)段的攻擊，可以啟用防御機制來檢測并避開以下常見的網絡攻擊。以下選項可用于具有物理接口的區(qū)段〔這些選項不適用于子接口〕：SYNAttack〔SYN攻擊〕、ICMPFlood〔ICMP泛濫〕、UDPFlood〔UDP泛濫〕和PortScanAttack〔端口掃描攻擊〕。對于網絡層的攻擊，大多數從技術角度無法判斷該數據包的合法性，如SYNflood,UDPflood，通常防火墻采用閥值來控制該訪問的流量。通常防火墻對這些選項提供了缺省值。對于在實際網絡上該閥值確實定，通常要對實施防火墻的網絡實際情況進行合理的分析，通過對現有網絡的分析結果確定最終的設定值。比方，網絡在正常工作的情況下的最大Syn數據包值為3000，考慮到網絡突發(fā)流量，對現有值增加20%，那么該值作為系統(tǒng)的設定值。在實際應用中，這些參數要隨時根據網絡流量情況進行動態(tài)監(jiān)控的更新。深信服防火墻的典型部署及應用高可靠全鏈路冗余應用環(huán)境電信網絡和許多骨干網絡的可靠性要求很高，不允許出現因為設備的故障造成網絡的不可用，因此在電信網絡和骨干網絡中參加防火墻的時候也必須考慮到這個問題，以下圖為深信服防火墻在骨干網絡中應用的例子。正常情況下兩臺防火墻均處于工作狀態(tài)，可以分別承當相應鏈路的網絡通訊。當其中一臺防火墻發(fā)生意外宕機、網絡故障、硬件故障等情況時，該防火墻的網絡通訊自動切換到另外一臺防火墻，從而保證了網絡的正常使用。切換過程不需要人為操作和其他系統(tǒng)的參與，切換時間可以以秒計算。同時，防火墻之間的其中一條鏈路用于實現狀態(tài)表傳送，當一臺防火墻故障時，這臺防火墻上的連接可以透明的、完整的遷移到另一臺防火墻上，用戶不會覺察到有任何變化。防火墻之間的另外一條鏈路用于數據通訊，增加網絡鏈路的冗余，增強可靠性。旁路環(huán)境下雙機熱備環(huán)境本案例環(huán)境防火墻部署是在大型數據中心〔IDC〕經常使用的方案，利用交換機劃分VLAN的功能，相當于將交換機模塊根據不同的VLAN分成幾個交換模塊使用，一個VLAN連接在防火墻的外部接口和上聯路由器的接口，另外幾個VLAN連接內部網和防火墻的內部接口。所有外部流量從路由器接口進入交換機然后通過二層交換直接進入防火墻的外部接口，經過防火墻的內部接口后在進入交換機，最后進入內部核心網絡。骨干網內網分隔環(huán)境據賽迪(CCID)統(tǒng)計報告，網絡攻擊有70%以上來自于企業(yè)內部，因此，保護公司網絡的平安不僅要保護來自互聯網的侵害而且要防止內部的攻擊。深信服防火墻從3個到8個千兆接口可進行模塊化擴展，除了可以用作多DMZ區(qū)設置外，還可以將內網進行多重隔離保護。通過防火墻將公司內部不同部門的網絡或關鍵效勞器劃分為不同的網段，彼此隔離。這樣不僅保護了企業(yè)內部網和關鍵效勞器，使其不受來自Internet的攻擊，也保護了各部門網絡和關鍵效勞器不受來自企業(yè)內部其它部門的網絡的攻擊。內網分隔的另一個目的是：防止問題的擴大。如果有人闖進您的一個部門，或者如果病毒開始蔓延，網段能夠限制造成的損壞進一步擴大?；旌夏Ｊ浇尤氕h(huán)境深信服防火墻支持各種接入模式，分別為：透明模式、路由模式和混合模式，并支持各種模式之上的NAT模式。透明工作模式：防火墻工作在透明模式下不影響原有網絡設計和配置，用戶不需要對保護網絡主機屬性進行重新設置，方便了用戶的使用。路由工作模式：防火墻相當于靜態(tài)路由器，提供靜態(tài)路由功能?；旌瞎ぷ髂Ｊ剑悍阑饓υ谕该髂Ｊ胶吐酚赡Ｊ酵瑫r工作，極大提高網絡應用的靈活性。以下圖為企業(yè)的典型應用，需要防火墻支持混合工作模式，而許多防火墻不支持這種接入模式，給企業(yè)的應用帶來不便。例如：某企業(yè)內網的地址為保存地址.2/24，企業(yè)的對外WWW效勞器、MAIL效勞器、DNS效勞器的內部地址分別為、、，防火墻的內端口地址為，防火墻外網地址為對于效勞器和Internet之間防火墻可使用透明方式，內網與效勞器或Internet之間可以使用NAT方式，方便靈活部署防火墻。支持VLAN環(huán)境VLAN(VirtualLocalAreaNetwork)中文一般譯為虛擬局域網絡，是一種在交換機上通過端口、地址等方式劃分虛擬網絡的技術。在沒有配置路由的情況下，不同VLAN之間是不能進行通訊的，目前的網絡環(huán)境中，許多企業(yè)也通過VLAN進行網絡平安保護，例如：將財務部門劃為一個VLAN等。以下圖為一個企業(yè)劃分VLAN的示意圖：此企業(yè)劃分了4個VLAN，并且通過