《防火墻》PPT完整版

第4章防火墻重點(diǎn)和難點(diǎn)防火墻的主要功能、類別和相關(guān)安全標(biāo)準(zhǔn)防火的設(shè)計(jì)原理掌握防火墻的設(shè)計(jì)原理應(yīng)用防火墻的典型案例防火墻的使用方法、目的及其存在的缺陷了解防火墻的基本概念、功能特點(diǎn)、主要作用及分類防火墻的安全標(biāo)準(zhǔn)4.1概述

防火墻〔Firewall〕是位于兩個(gè)或多個(gè)網(wǎng)絡(luò)間實(shí)施網(wǎng)絡(luò)間訪問控制的一組組件的集合.這組組件包括：主機(jī)系統(tǒng)、路由器、網(wǎng)絡(luò)安全策略和用于網(wǎng)絡(luò)安全控制與管理的軟硬件系統(tǒng)等.并且需要滿足以下三個(gè)條件：1〕網(wǎng)絡(luò)內(nèi)部和外部之間的所有數(shù)據(jù)流必須經(jīng)過防火墻；2〕只有符合安全策略的數(shù)據(jù)流才能通過防火墻；3〕防火墻自身具有高可靠性,應(yīng)對滲透免疫.4.1.1什么是防火墻防火墻是提供信息安全服務(wù)、實(shí)現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施之一,一般安裝在被保護(hù)區(qū)域的邊界處,如圖4.1所示.在圖中,被保護(hù)區(qū)域與Internet網(wǎng)之間的防火墻可以有效控制區(qū)域內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的訪問和數(shù)據(jù)傳輸,進(jìn)而達(dá)到保護(hù)區(qū)域內(nèi)部信息安全的目的,同時(shí),通過防火墻的檢查控制可以過濾掉很多非法信息.Internet防火墻DMZ圖4.1Internet上的防火墻4.1.2使用防火墻的主要目的使用防火墻的主要目的包括以下兩個(gè)方面：1〕嚴(yán)格限制進(jìn)入被保護(hù)區(qū)域的訪問,防止外部入侵和信息污染；例如,對來自外部網(wǎng)絡(luò)的各種訪問進(jìn)行訪問控制、信息過濾等.2〕嚴(yán)格限制離開被保護(hù)區(qū)域的信息,防止信息泄漏；例如,對來訪者在保護(hù)區(qū)域內(nèi)的各種活動(dòng)進(jìn)行審計(jì)跟蹤、檢查需要離開被保護(hù)區(qū)域的信息資源等.4.1.3防火墻的功能1．包過濾包過濾是防火墻所要實(shí)現(xiàn)的最基本功能,它可將不符合要求的包過濾掉.靜態(tài)包過濾只是在網(wǎng)絡(luò)層上對包的地址、端口等信息進(jìn)行判定控制,而動(dòng)態(tài)包過濾是在所有通信層上對包的狀態(tài)進(jìn)行檢測分析,判斷包是否符合安全要求.動(dòng)態(tài)包過濾技術(shù)支持多種協(xié)議和應(yīng)用程序,易擴(kuò)展、易實(shí)現(xiàn).2．審計(jì)和報(bào)警機(jī)制審計(jì)是一種重要的安全措施,用以監(jiān)控通信行為和完善安全策略,檢查安全漏洞和錯(cuò)誤配置,并對入侵者起到一定的威懾作用.報(bào)警機(jī)制是在通信違反相關(guān)策略以后,以多種方式如聲音、郵件、、手機(jī)短信息及時(shí)報(bào)告給管理人員.3．遠(yuǎn)程管理目前防火墻的遠(yuǎn)程管理主要使用三種技術(shù).一是基于Web界面的管理方式；二是GUI界面的管理方式；三是基于命令行的CLI管理方式.這三種技術(shù)各有其優(yōu)點(diǎn),前兩種均采用可視化管理界面來完成對防火墻的配置、管理和監(jiān)控操作.Web管理方式提供了簡單的管理界面,適合那些功能不是很多的防火墻的管理工作.而GUI管理方式能提供豐富的管理界面,適合對防火墻進(jìn)行復(fù)雜的配置,管理多臺防火墻,同時(shí)支持豐富的審計(jì)和日志的功能.4．NAT絕大多數(shù)防火墻都具有網(wǎng)絡(luò)地址轉(zhuǎn)換〔NAT〕功能.目前防火墻一般采用雙向NAT,即：SNAT和DNAT.SNAT用于對內(nèi)部網(wǎng)絡(luò)地址進(jìn)行轉(zhuǎn)換,對外部網(wǎng)絡(luò)隱藏內(nèi)部網(wǎng)絡(luò)的結(jié)構(gòu),使得對內(nèi)部的攻擊更加困難；并可以節(jié)省IP資源,有利于降低成本.DNAT主要用于實(shí)現(xiàn)外網(wǎng)主機(jī)對內(nèi)網(wǎng)和DMZ區(qū)主機(jī)的訪問.

5．代理

目前代理主要有如下幾種實(shí)現(xiàn)方式：

1〕透明代理〔Transparent

proxy〕：透明代理實(shí)質(zhì)上屬于DNAT的一種,它主要指內(nèi)網(wǎng)主機(jī)需要訪問外網(wǎng)主機(jī)時(shí),不需要做任何設(shè)置,完全意識不到防火墻的存在而完成內(nèi)外網(wǎng)的通信.其原理是防火墻截取內(nèi)網(wǎng)主機(jī)與外網(wǎng)通信,由防火墻本身完成與外網(wǎng)主機(jī)通信,然后把結(jié)果傳給內(nèi)網(wǎng)主機(jī),在這個(gè)過程中,無論內(nèi)網(wǎng)主機(jī)還是外網(wǎng)主機(jī)都意識不到它們在和防火墻通信.2〕傳統(tǒng)代理：傳統(tǒng)代理工作原理與透明代理相似,所不同的是它需要在客戶端設(shè)置代理服務(wù)器,并由該服務(wù)器實(shí)現(xiàn)內(nèi)網(wǎng)與外網(wǎng)間的通信.6．MAC與IP地址的綁定把MAC地址與IP地址綁定在一起,主要用于防止那些受到控制〔不允許訪問外網(wǎng)〕的內(nèi)部用戶通過更換IP地址來訪問外網(wǎng).7．流量控制〔帶寬管理〕和統(tǒng)計(jì)分析、流量計(jì)費(fèi)

流量控制可以分為基于IP地址的控制和基于用戶的控制.基于IP地址的控制是對通過防火墻各個(gè)網(wǎng)絡(luò)接口的流量進(jìn)行控制,基于用戶的控制是通過用戶登錄來控制每個(gè)用戶的流量,從而防止某些應(yīng)用或用戶占用過多的資源.流量統(tǒng)計(jì)是建立在流量控制基礎(chǔ)之上的.一般防火墻通過對基于IP、服務(wù)、時(shí)間、協(xié)議等進(jìn)行統(tǒng)計(jì),并可以與管理界面實(shí)現(xiàn)掛接,實(shí)時(shí)或者以統(tǒng)計(jì)報(bào)表的形式輸出結(jié)果.流量計(jì)費(fèi)從而也是非常容易實(shí)現(xiàn)的.

8．VPN

在以往的網(wǎng)絡(luò)安全產(chǎn)品中,VPN是一個(gè)單獨(dú)產(chǎn)品,現(xiàn)在大多數(shù)廠商把VPN與防火墻捆綁在一起,進(jìn)一步增強(qiáng)和擴(kuò)展了防火墻的功能,這也是一種產(chǎn)品整合的趨勢.

4.1.4防火墻的作用及分類1．防火墻的主要作用在計(jì)算機(jī)網(wǎng)絡(luò)中,增加防火墻設(shè)備的投入可以提高內(nèi)部網(wǎng)絡(luò)的安全性能,這些安全性主要表現(xiàn)在以下幾個(gè)方面：1〕防止來自被保護(hù)區(qū)域外部的攻擊.2〕防止信息外泄和屏蔽有害信息.3〕集中安全管理.4〕安全審計(jì)和告警.5〕增強(qiáng)保密性和強(qiáng)化私有權(quán)；6〕訪問控制和其他安全作用等.2．防火墻的分類根據(jù)防火墻的應(yīng)用與發(fā)展可將其分為五種類型：包過濾防火墻、電路層防火墻、應(yīng)用層防火墻、動(dòng)態(tài)包過濾防火墻和自適應(yīng)代理防火墻.根據(jù)防火墻所采用的技術(shù)特點(diǎn)可將其分為三種類型:包過濾技術(shù)防火墻、代理技術(shù)防火墻和混合技術(shù)防火墻.包過濾技術(shù)和代理技術(shù)原理分別如下：〔1〕包過濾防火墻包過濾防火墻又稱分組過濾路由器,或網(wǎng)絡(luò)級防火墻,它工作在網(wǎng)絡(luò)層上,如圖4.2〔a〕所示.數(shù)據(jù)包從源發(fā)地發(fā)出并需要穿過防火墻時(shí),一般通過檢查單個(gè)包的源地址、目的地址、所封裝的協(xié)議〔TCP、UDP等〕、端口、ICMP包的類型、輸入/輸出接口等信息來決定是否允許此數(shù)據(jù)包穿過防火墻.有時(shí)還需要進(jìn)一步檢查數(shù)據(jù)包中的路由選擇表、特定的IP選項(xiàng)、校驗(yàn)特殊的IP分段參數(shù)等以防止發(fā)生電子欺騙攻擊.包過濾的處理方式分靜態(tài)包過濾和動(dòng)態(tài)包過濾兩種,參見圖4.2〔b〕、〔c〕.靜態(tài)包過濾只是在網(wǎng)絡(luò)層上對當(dāng)前數(shù)據(jù)包進(jìn)行過濾處理；而動(dòng)態(tài)包過濾則是利用狀態(tài)表在所有通信層上對當(dāng)前數(shù)據(jù)包進(jìn)行過濾處理,判斷該數(shù)據(jù)包是否符合安全要求.〔b〕靜態(tài)包過濾〔c〕動(dòng)態(tài)包過濾狀態(tài)表包過濾〔a〕包過濾原理包過濾的主要優(yōu)點(diǎn)：不用改動(dòng)應(yīng)用程序；一個(gè)過濾路由器能協(xié)助保護(hù)整個(gè)網(wǎng)絡(luò)；數(shù)據(jù)包過濾對用戶透明；過濾路由器速度快、效率高.包過濾的主要缺點(diǎn)：不能徹底防止地址欺騙；某些應(yīng)用協(xié)議不適合于數(shù)據(jù)包過濾；正常的數(shù)據(jù)包過濾路由器無法執(zhí)行某些安全策略；數(shù)據(jù)包工具存在很多局限性.圖4.2包過濾防火墻原理通常,路由器便是一個(gè)"傳統(tǒng)"的包過濾防火墻,這種防火墻是基于源地址和目的地址、應(yīng)用或協(xié)議以及每個(gè)IP包的端口作出是否允許通過的判斷的,而大多數(shù)路由器僅是通過這些信息來決定是否轉(zhuǎn)發(fā)包,它不能判斷出一個(gè)IP包來自何方,將去向何方.包過濾防火墻使用所有規(guī)則對包中的信息進(jìn)行逐個(gè)檢查,只要被檢查的包能滿足所要求的幾項(xiàng)規(guī)則即可,如果沒有一條規(guī)則能符合,防火墻就使用默認(rèn)規(guī)則,要求丟棄該包.其次,通過定義基于TCP或UDP數(shù)據(jù)包的端口號,防火墻能判斷是否允許建立特定的連接,如TELNET、FTP連接.專門的防火墻系統(tǒng)一般在包過濾基礎(chǔ)上增加了某些功能,如狀態(tài)檢測等.〔2〕代理防火墻代理防火墻又稱網(wǎng)關(guān),它是通過編制的專門軟件〔代理軟件〕來弄清用戶應(yīng)用層的信息流量,并能在用戶層和應(yīng)用協(xié)議層間提供訪問控制；而且還可用來保持一個(gè)所有應(yīng)用程序使用的記錄.

代理防火墻工作在應(yīng)用層或會話層上,使用代理軟件來完成對數(shù)據(jù)報(bào)的檢測判斷,最后決定其能否穿過防火墻.這種代理軟件主要由代理服務(wù)器、客戶代理和協(xié)議分析三個(gè)部分構(gòu)成.代理防火墻的工作原理如圖4.3所示.代理防火墻分應(yīng)用層代理和電路層代理兩種.應(yīng)用層代理防火墻〔稱應(yīng)用層網(wǎng)關(guān)〕工作在應(yīng)用層上,主要保存Internet上那些最常用和最近訪問過的內(nèi)容.應(yīng)用層代理增強(qiáng)了網(wǎng)絡(luò)安全性,并為用戶提供方便快捷的訪問,其工作原理如圖4.4所示.電路層代理防火墻〔稱電路層網(wǎng)關(guān)〕工作在會話層上,主要實(shí)現(xiàn)兩個(gè)通信節(jié)點(diǎn)間的包轉(zhuǎn)換任務(wù),并將包提交給應(yīng)用層進(jìn)行處理,其工作原理如圖4.5所示.協(xié)議分析代理服務(wù)器客戶代理應(yīng)用層網(wǎng)關(guān)電路層網(wǎng)關(guān)TCPSocketTCPSocket圖4.3代理防火墻的工作原理圖4.4應(yīng)用層網(wǎng)關(guān)防火墻

圖4.5電路層網(wǎng)關(guān)防火墻代理技術(shù)的優(yōu)點(diǎn)：易于配置和生成各項(xiàng)記錄；能靈活控制進(jìn)出流量和過濾數(shù)據(jù)內(nèi)容；能為用戶提供透明的加密機(jī)制；可以靈活集成各種安全手段.代理技術(shù)的缺點(diǎn)：與路由器相比其速度較慢；對用戶的透明度不高；不同的服務(wù)代理需要不同的服務(wù)器支持,并且不能保證免受各種協(xié)議弱點(diǎn)的限制；不能保證底層協(xié)議的安全性.〔3〕兩類防火墻技術(shù)的比較根據(jù)包過濾和代理技術(shù)的原理,兩類防火墻技術(shù)對比見表4.1.比較包過濾防火墻代理防火墻優(yōu)點(diǎn)價(jià)格較低；系統(tǒng)開銷少，處理速度較快內(nèi)置安全的Proxy應(yīng)用程序，并將數(shù)據(jù)包進(jìn)行安全化處理；不允許數(shù)據(jù)包穿過防火墻，能較好地禁止數(shù)據(jù)驅(qū)動(dòng)式攻擊缺點(diǎn)系統(tǒng)配置較復(fù)雜，容易造成配置缺陷，從而產(chǎn)生漏洞；由于僅對數(shù)據(jù)包進(jìn)行包過濾處理，而不對數(shù)據(jù)包進(jìn)行安全化處理，所以允許數(shù)據(jù)包直接穿過防火墻，無法禁止數(shù)據(jù)驅(qū)動(dòng)式攻擊；不能理解網(wǎng)絡(luò)的其他協(xié)議層信息系統(tǒng)開銷大，處理速度較慢；對用戶的透明度低，不能確保底層協(xié)議的安全性表4.1包過濾防火墻與代理防火墻的優(yōu)缺點(diǎn)對比4.1.5防火墻的安全標(biāo)準(zhǔn)防火墻是一種用于網(wǎng)絡(luò)安全保護(hù)的專用設(shè)備,其設(shè)計(jì)和使用必須遵照有關(guān)的安全準(zhǔn)則.在國內(nèi),防火墻設(shè)備必須符合國家制定的相關(guān)標(biāo)準(zhǔn),必須通過安全部門的安全技術(shù)檢驗(yàn)和相關(guān)認(rèn)證才能有效使用.1．關(guān)于防火墻的國家標(biāo)準(zhǔn)2．有關(guān)安全產(chǎn)品檢驗(yàn)和銷售方面的規(guī)定4.2防火墻設(shè)計(jì)原理

在防火墻安全策略中,應(yīng)包括安全目標(biāo)、防火墻設(shè)備選購、配置和設(shè)計(jì)等主要內(nèi)容.1．防火墻設(shè)備選購策略選購防火墻需要考慮防火墻的安全性、高效性、實(shí)用性和可管理性問題,同時(shí),還應(yīng)考慮防火墻設(shè)備的完善性和及時(shí)的售后服務(wù)體系.〔1〕了解防火墻的基本性能防火墻設(shè)備其基本性能一般應(yīng)包括如下內(nèi)容：1〕防火墻能嚴(yán)格執(zhí)行所配置的安全策略,并能靈活改變所需的安全策略.4.2.1防火墻的安全策略2〕防火墻除具備基本的鑒別功能外,還應(yīng)支持多種先進(jìn)技術(shù),如包過濾技術(shù)、加密技術(shù)、身份識別與驗(yàn)證、信息的保密性保護(hù)、信息的完整性校驗(yàn)、系統(tǒng)的訪問控制機(jī)制和授權(quán)管理等技術(shù).3〕防火墻過濾語言應(yīng)該具有靈活性,支持多種過濾屬性,如源和目的IP地址、協(xié)議類型、源和目的TCP/UDP端口以及入出接口等.4〕防火墻應(yīng)包含集中化的SMTP訪問能力,以簡化本地與遠(yuǎn)程系統(tǒng)的SMTP連接,實(shí)現(xiàn)本地E-mail集中處理,還應(yīng)具備集中處理和過濾拔號訪問的能力.5〕安全操作系統(tǒng)是防火墻設(shè)備的一個(gè)組成部分,當(dāng)使用其他安全工具時(shí),要保證防火墻主機(jī)的完整性,而且安全操作系統(tǒng)應(yīng)能整體安裝.防火墻及操作系統(tǒng)應(yīng)該可更新,并能用簡易的方法解決系統(tǒng)故障等.〔2〕制定和理解防火墻的安全政策選購防火墻前,應(yīng)認(rèn)真制定和理解安全政策,要事先考慮把防火墻放在網(wǎng)絡(luò)系統(tǒng)的哪一個(gè)位置上,才能滿足網(wǎng)絡(luò)安全需求,才能確定選購防火墻時(shí)所能接受的風(fēng)險(xiǎn)水平.選購防火墻必須是切合實(shí)際,既要考慮滿足整個(gè)網(wǎng)絡(luò)系統(tǒng)的安全要求,又要考慮網(wǎng)絡(luò)安全措施的可行性.無論如何考慮,最終選購的防火墻設(shè)備應(yīng)能將網(wǎng)絡(luò)風(fēng)險(xiǎn)水平降到可接受的程度,而且是以較小的代價(jià)換來的.〔3〕防火墻的經(jīng)濟(jì)性關(guān)于經(jīng)濟(jì)性問題,除價(jià)格因素外,還應(yīng)考慮管理費(fèi)用、維護(hù)費(fèi)用以及耗材費(fèi)用等因素.按照購買或?qū)崿F(xiàn)防火墻需要的經(jīng)費(fèi)來度量所提出的解決方案是十分重要的.在滿足安全性、實(shí)用性的基礎(chǔ)上考慮經(jīng)濟(jì)性問題是切合實(shí)際的.〔4〕防火墻的完善性和售后服務(wù)體系防火墻不是一般的網(wǎng)絡(luò)設(shè)備,也不是隨意買賣的產(chǎn)品,因此,必須選購經(jīng)國家安全部門檢測通過的設(shè)備2．配置策略在制訂防火墻的配置策略時(shí),首先要根據(jù)安全目標(biāo)要求全面列出策略要點(diǎn),然后認(rèn)真分析和配置,通常需要考慮：〔1〕哪些服務(wù)是允許的、哪些是被禁止的和如何使用服務(wù)；〔2〕如何限制和過濾網(wǎng)絡(luò)安全策略中指定的服務(wù),才能達(dá)到網(wǎng)絡(luò)安全的目標(biāo).另外,防火墻系統(tǒng)環(huán)境配置也是防火墻配置策略中的一個(gè)重要環(huán)節(jié).依據(jù)網(wǎng)絡(luò)安全目標(biāo),防火墻系統(tǒng)環(huán)境配置需要考慮：1〕取消危險(xiǎn)的系統(tǒng)調(diào)用；2〕限制命令的執(zhí)行權(quán)限；3〕取消IP的轉(zhuǎn)發(fā)功能；4〕檢查每個(gè)分組的接口；5〕采用復(fù)雜的隨機(jī)連接序號；6〕駐留分組過濾模塊；7〕取消動(dòng)態(tài)路由功能；8〕采用多個(gè)安全內(nèi)核等可能導(dǎo)致安全問題發(fā)生的內(nèi)容.3．服務(wù)訪問策略防火墻的一般服務(wù)訪問策略是：嚴(yán)格限制或禁止外部用戶對網(wǎng)絡(luò)的訪問,特殊情況下,可通過強(qiáng)認(rèn)證方式允許外部用戶訪問某些內(nèi)部主機(jī)和服務(wù)；嚴(yán)格限制內(nèi)部用戶對外部網(wǎng)絡(luò)的訪問,必要時(shí),嚴(yán)格控制訪問所規(guī)定的外部主機(jī)和服務(wù).4．防火墻設(shè)計(jì)策略通常有三種設(shè)計(jì)策略,第一種：安全策略中明確禁止的服務(wù)一律關(guān)閉,其余服務(wù)全部開放；第二種：安全策略中明確允許的服務(wù)一律開放,其余服務(wù)全部關(guān)閉；第三種：安全策略中有明確規(guī)定的服務(wù)一律按規(guī)定執(zhí)行,其余服務(wù)均酌情考慮.4.2.2防火墻的體系結(jié)構(gòu)1．雙宿/多宿主機(jī)模式這種模式是在堡壘主機(jī)上配置兩塊或兩塊以上的網(wǎng)卡實(shí)現(xiàn)的.其中,一塊網(wǎng)卡用于外部網(wǎng)絡(luò),而其余網(wǎng)卡則用于內(nèi)部網(wǎng)絡(luò),并通過代理服務(wù)系統(tǒng)來實(shí)現(xiàn)防火墻的各種功能.其網(wǎng)絡(luò)拓樸結(jié)構(gòu)如圖4.6所示.2．屏蔽主機(jī)模式這種模式是在雙宿/多宿主機(jī)模式的基礎(chǔ)上增加外部過濾路由設(shè)備實(shí)現(xiàn)的.堡壘主機(jī)通過一個(gè)外部過濾路由器與外部網(wǎng)絡(luò)進(jìn)行連接,再通過代理服務(wù)系統(tǒng)將外部過濾路由器傳來的信息與內(nèi)部網(wǎng)絡(luò)聯(lián)系在一起,從而起到保護(hù)內(nèi)部網(wǎng)絡(luò)的作用.其網(wǎng)絡(luò)拓樸結(jié)構(gòu)如圖4.7所示.圖4.6雙宿/多宿主機(jī)模式堡壘主機(jī)外部網(wǎng)絡(luò)圖4.7屏蔽主機(jī)模式堡壘主機(jī)外部網(wǎng)絡(luò)R3．屏蔽子網(wǎng)模式這種模式是在屏蔽主機(jī)模式的基礎(chǔ)上增加內(nèi)部過濾路由設(shè)備實(shí)現(xiàn)的.堡壘主機(jī)使用兩個(gè)過濾路由器,分別與內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)連接,再通過代理服務(wù)系統(tǒng)處理經(jīng)過過濾路由器的信息.其網(wǎng)絡(luò)拓樸結(jié)構(gòu)如圖4.8所示.堡壘主機(jī)外部網(wǎng)絡(luò)RR外部過濾路由內(nèi)部過濾路由圖4.8屏蔽子網(wǎng)模式4.2.3應(yīng)用防火墻的典型案例1．網(wǎng)絡(luò)安全解決方案在眾多的網(wǎng)絡(luò)安全解決方案中,使用防火墻技術(shù)的典型拓樸結(jié)構(gòu)有以下兩種形式,分別如圖4.9和圖4.10所示.InternetR防火墻DMZWINSDHCP專線MailServerWebServerDNSServerRR專線專線總部第二分部第一分部代理服務(wù)器三層交換機(jī)圖4.9典型網(wǎng)絡(luò)安全解決方案之一Internet各種專用網(wǎng)RRPSTN撥號用戶VPN通道DDN專線VPN通道各種網(wǎng)絡(luò)服務(wù)圖4.10典型網(wǎng)絡(luò)安全解決方案之二撥號訪問服務(wù)器在網(wǎng)絡(luò)安全解決方案一中,防火墻是主要的安全防護(hù)設(shè)備,把它放在連接外網(wǎng)的路由器后,再把整個(gè)企業(yè)的Web服務(wù)器、郵件服務(wù)器mailServer、域名服務(wù)器放在DMZ區(qū),就能有效保護(hù)這些服務(wù)器的安全,同時(shí),能夠嚴(yán)格控制外部網(wǎng)絡(luò)對內(nèi)部企業(yè)網(wǎng)絡(luò)的訪問.采用方案一實(shí)現(xiàn)網(wǎng)絡(luò)安全防護(hù)的具體措施如下：1〕由防火墻實(shí)現(xiàn)NAT功能,限制企業(yè)內(nèi)部的代理服務(wù)器執(zhí)行NAT功能,只允許代理服務(wù)器去外網(wǎng)訪問,企業(yè)內(nèi)部所有VLAN之間通過內(nèi)部的三層交換機(jī)實(shí)現(xiàn)互訪,企業(yè)內(nèi)部的其他用戶只能通過代理服務(wù)器上網(wǎng)訪問,可根據(jù)安全需要直接在三層交換機(jī)上進(jìn)行訪問控制.在三層交換機(jī)上指定代理服務(wù)器為其缺省路由,同時(shí),在代理服務(wù)器上指明防火墻的內(nèi)網(wǎng)IP地址為其缺省網(wǎng)關(guān).2〕把Web服務(wù)器、郵件服務(wù)器、電子郵件服務(wù)器和域名服務(wù)器放到DMZ區(qū),并設(shè)置安全策略允許內(nèi)部網(wǎng)和外部網(wǎng)的所有機(jī)器訪問DMZ區(qū).3〕在防火墻上設(shè)置到企業(yè)內(nèi)部各子網(wǎng)的靜態(tài)路由以保證企業(yè)內(nèi)部各子網(wǎng)都能通過防火墻連接到internet.4〕如果企業(yè)總部需要通過專線與其他分部安全連接時(shí),也需要在防火墻上增加靜態(tài)路由以保證各分部與總部的Web服務(wù)器和郵件服務(wù)器間的聯(lián)系.在網(wǎng)絡(luò)安全解決方案二中,一臺防火墻設(shè)備將企業(yè)內(nèi)部各種專用網(wǎng)絡(luò)與外部網(wǎng)絡(luò)安全隔離,并允許內(nèi)部網(wǎng)絡(luò)的所有用戶訪問外部網(wǎng)絡(luò).對于企業(yè)內(nèi)部各種專用網(wǎng)中的用戶,允許其通過DDN專線訪問Internet；對于企業(yè)許可的撥號用戶,允許其通過撥號VPN并經(jīng)嚴(yán)格訪問控制后可獲取企業(yè)內(nèi)部網(wǎng)中的各種服務(wù)資源,還可以通過防火墻與企業(yè)內(nèi)部各專用網(wǎng)中的用戶進(jìn)行加密通信.2．網(wǎng)絡(luò)安全配置方案為了實(shí)現(xiàn)網(wǎng)絡(luò)安全解決方案,還需要進(jìn)一步落實(shí)安全策略,制定網(wǎng)絡(luò)安全配置方案,例如：假設(shè)某企業(yè)采用一個(gè)防火墻后的網(wǎng)絡(luò)解決方案為：1〕建立DMZ網(wǎng)絡(luò),把郵件服務(wù)器、流媒體服務(wù)器等放入該區(qū),并將該區(qū)中的服務(wù)器映射到外網(wǎng)地址上以供Internet網(wǎng)絡(luò)用戶訪問；2〕禁止Internet網(wǎng)絡(luò)用戶訪問企業(yè)內(nèi)部網(wǎng)；3〕允許企業(yè)內(nèi)部網(wǎng)絡(luò)用戶通過地址轉(zhuǎn)換方式<NAT>訪問Internet網(wǎng)絡(luò)；4〕允許撥號用戶通過撥號訪問服務(wù)器訪問企業(yè)內(nèi)部網(wǎng).根據(jù)上述解決方案,可為該網(wǎng)絡(luò)制定如圖4.11所示的安全配置方案.R郵件服務(wù)器<>DNS<>鏡像服務(wù)器<>流媒體服務(wù)器<>InternetPSTN~DMZ圖4.11網(wǎng)絡(luò)安全配置方案舉例撥號訪問服務(wù)器3．某校信息安全實(shí)驗(yàn)室解決方案圖4.12是某校為解決網(wǎng)絡(luò)安全技術(shù)實(shí)踐而建立的基于防火墻體系的實(shí)驗(yàn)室解決方案.該方案通過四臺堡壘主機(jī)〔每臺主機(jī)帶四塊網(wǎng)卡〕將3個(gè)內(nèi)網(wǎng)和1個(gè)外網(wǎng)互連成一個(gè)安全網(wǎng)絡(luò).內(nèi)網(wǎng)中的任何一臺主機(jī)都可以訪問外網(wǎng)資源,任意兩臺主機(jī)都可以相互訪問.內(nèi)網(wǎng)到外網(wǎng)的訪問,以及兩個(gè)內(nèi)網(wǎng)間的互訪等都是通過代理技術(shù)實(shí)現(xiàn)的.外網(wǎng)2134圖4.12某校信息安全實(shí)驗(yàn)室解決方案從圖4.12可以看出,數(shù)據(jù)包從一個(gè)網(wǎng)絡(luò)到另一個(gè)網(wǎng)絡(luò)〔包括到外網(wǎng)〕必須經(jīng)過兩臺堡壘主機(jī)的嚴(yán)密監(jiān)控才可能實(shí)現(xiàn),這樣就可以通過靈活配置兩臺堡壘主機(jī)的功能來實(shí)現(xiàn)較復(fù)雜的網(wǎng)絡(luò)安全技術(shù),以滿足實(shí)踐教學(xué)的需要.圖4.12所示的解決方案與圖4.9所示的解決方案十分類似,區(qū)別在于一個(gè)是面向企業(yè)應(yīng)用,另一個(gè)是面向教學(xué)實(shí)踐,另外,圖4.12中的4個(gè)堡壘主機(jī)間是直連的.4．網(wǎng)站托管主機(jī)網(wǎng)絡(luò)安全方案一個(gè)企業(yè)為了擁有自己的Internet服務(wù)平臺,如屬于自己的Web、Email和FTP服務(wù)器等,除了自己投資創(chuàng)建外,還可以選擇服務(wù)器托管方案.相比之下,服務(wù)器托管方案既方便快捷、又經(jīng)濟(jì)實(shí)用.目前,服務(wù)器托管方案主要有兩種形式,"整機(jī)托管"和"虛擬主機(jī)".當(dāng)企業(yè)選擇托管方式建立網(wǎng)站后,網(wǎng)站安全問題是不容忽視的,關(guān)于網(wǎng)站托管主機(jī)的安全問題涉及內(nèi)容較多,例如管理問題、法律問題、經(jīng)濟(jì)問題、技術(shù)問題等.在圖4.13所示的方案中,由于托管主機(jī)都具有合法IP地址,所以無須進(jìn)行地址轉(zhuǎn)換,故直接將防火墻配置為透明模式,這種模式可以有效防止基于IP的攻擊.防火墻的非信任端與路由器相連,而信任端則與交換機(jī)相連,并且將所托管的主機(jī)也連接到該交換機(jī)上.配置防火墻時(shí)可重點(diǎn)考慮以下內(nèi)容：1〕嚴(yán)格配置安全策略2〕設(shè)置完整的日志記錄并實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)流量及時(shí)發(fā)現(xiàn)和屏蔽惡意訪問.3〕采取多重過濾措施,保證服務(wù)器的安全.R網(wǎng)站托管主機(jī)Internet圖4.13網(wǎng)站托管主機(jī)網(wǎng)絡(luò)安全方案WebDNSEmail防火墻遠(yuǎn)程控制管理4.2.4防火墻的缺陷防火墻作為網(wǎng)絡(luò)邊界上的主要安全設(shè)備,并不是堅(jiān)不可摧的,據(jù)有關(guān)資料報(bào)道,防火墻被攻破的概率已接近