文/劉化君

有效部署防火墻的兩種方式

文/劉化君

采取基于區(qū)域分割的層疊方式或三角方式來部署防火墻系統(tǒng)，以實現比較安全的網絡環(huán)境。

防火墻是目前最為流行也是應用最為廣泛的網絡安全技術。在構建安全網絡的過程中，防火墻作為第一道安全防線正受到越來越多用戶的關注。

防火墻的設計基于兩大假設：1.在防火墻內部各主機是可信的；2.防火墻外部每一個訪問都是攻擊性的，至少是有被攻擊的可能性。這種假設已不能適應互聯(lián)網的發(fā)展需求。大量事實顯示，來自內外結合的攻擊是當前網絡安全的最大威脅。顯然，單一的防火墻難以消除這一威脅，需要采取綜合的防范措施，其中，如何在網絡系統(tǒng)部署及其配置防火墻是關鍵性的工作。本文討論如何采取層疊方式或區(qū)域分割的三角方式來部署防火墻系統(tǒng)，以實現比較安全的網絡環(huán)境。

圖1 防火墻系統(tǒng)的層疊方式部署方案

部署方案

目前，防火墻作為用來實現網絡安全的一種手段，主要是用來拒絕未經授權用戶的訪問、存取敏感數據，同時允許合法用戶訪問網絡資源不受影響。安裝防火墻的基本原則是只要有惡意侵入的可能，無論是在內網還是在與外部公網的連接處，都應該安裝防火墻。那么，究竟應該在哪些地方部署防火墻呢？通常，防火墻規(guī)則的實施和入侵檢測系統(tǒng)的部署安裝防火墻的位置是在機構內聯(lián)網與互聯(lián)網的接口處，以阻擋來自互聯(lián)網的入侵；如果機構內聯(lián)網規(guī)模較大，并且設置有虛擬局域網（VLAN），可以在各VLAN 之間設置；有時，在與互聯(lián)網連接的各分支機構之間也設置防火墻。這樣加固網絡，看起來比較安全，但并不是一個優(yōu)化的方案。通過分析研究與實踐，我們設計了一個基于區(qū)域分割的層疊方式或三角方式來部署防火墻系統(tǒng)，可以實現比較安全的網絡環(huán)境。層疊方式

基于區(qū)域分割的層疊方式的防火墻系統(tǒng)使用2臺中心防火墻，將DMZ區(qū)域放置在2臺防火墻之間，如圖1所示。其中，連接外部網絡和DMZ區(qū)域的防火墻僅僅承擔一些數據包過濾任務，通常由邊界路由器的訪問控制列表ACL來實現，而連接內部網絡和DMZ區(qū)域的中心防火墻是1臺專用防火墻，實施詳細的訪問控制策略。

三角方式

基于區(qū)域分割的三角方式防火墻系統(tǒng)部署方案如圖2所示（見下頁）。它將區(qū)域分割為內聯(lián)網（軍事化區(qū)域）、互聯(lián)網（外聯(lián)網）和非軍事化區(qū)域（DMZ區(qū)域）3個區(qū)域，通過中心防火墻以三角方式連接起來。例如，將Web服務器、郵件服務器、DNS服務器放置在DMZ區(qū)域，而內部代理服務器、數據庫服務器、文件服務器等服務器都放置在內網中，從而使其得到良好的安全保護。

這種基于區(qū)域分割的三角方式部署的防火墻系統(tǒng)，分為中心防火墻和個人防火墻兩大模塊。中心防火墻布置在1個雙宿主主機上，由IPSec安全子模塊、安全策略管理子模塊和用戶認證子模塊構成，同時，采用一次一密認證機制，即遠程主機與用戶客戶機共享1把密鑰，客戶機首先向遠程主機發(fā)送1個認證請求，遠程主機則回應1個隨機串，客戶機采用自己的密鑰加密這1個隨機串并回送給遠程主機，遠程主機用共享的密鑰進行相同處理，并對比結果，若匹配則認證身份成功，反之則失敗。因此可以很好地支持用戶級的分級安全策略管理。

以職員A使用某客戶機在網絡上檢索信息為例。首先，A發(fā)出認證請求，中心防火墻模塊認證其身份，成功后分發(fā)該用戶的用戶安全策略。然后，A打開瀏覽器連接一個網站(IPSec加密傳輸)，安全策略允許其連接，則該連接請求通過防火墻，客戶機與Web服務器進行正常的信息交換。如果Web服務器不支持IPSec協(xié)議，則客戶機與防火墻之間的傳輸是加密的，防火墻與W e b服務器之間則是非加密的；如果Web服務器支持IPSec協(xié)議的主機，則在防火墻與Web服務器之間采用IPSec隧道模式傳輸數據。當A訪問的某一頁面中含有安全策略禁止的內容時，個人防火墻模塊將丟棄該頁面連接。接下來，如果A想訪問其他某網站，那么管理員級安全策略會禁止這一連接企圖，因此中心防火墻模塊將根據安全策略丟棄這一請求。最后，A注銷用戶，完成一次安全服務。這樣也便于采用動態(tài)配置防火墻策略對防火墻系統(tǒng)進行測試。

圖2 防火墻系統(tǒng)的三角方式部署

硬件防火墻的配置

不同的防火墻在網絡性能、安全性和應用透明性等方面各有利弊。硬件防火墻具有工作速度快、使用方便等特點。通常使用的硬件防火墻產品多數是Cisco公司生產的PIX/ASA防火墻，并且有多種型號可供選擇使用，其中，Cisco Firewall PIX 525就是一款市場占有率較高的典型硬件防火墻。PIX 525是一種機架式標準（即能安裝在標準的機柜里），有2U的高度，正面與Cisco路由器一樣，只有一些指示燈；從背板看，有2個Ethernet端口（RJ-45網卡），1個控制端口（Console），2個USB，1個15針的Failover口，還有3個PCI擴展端口。

防火墻與路由器一樣，在使用之前也需要進行配置。各種防火墻的配置方法基本類似，現以Cisco PIX 525防火墻為例，簡單討論其基本配置規(guī)則和方法。按照圖2所示的基于區(qū)域分割的三角方式部署防火墻系統(tǒng)后，譬如：內聯(lián)網G0(inside，IP：192.168.1.0)、外聯(lián)網G1（outside，IP：192.168.2.0）和DMZ區(qū)域G2（放置對外開放的各種服務器，IP:192.168.3.0），可采取如下訪問控制規(guī)則配置防火墻，實現網絡的安全訪問控制：

1.inside（IP：192.168.1.0/24）可以通過防火墻訪問任何outside，但需要配合static進行靜態(tài)地址轉換。例如：

PIX525(config)# static (inside，outside)192.168.1.6 192.168.2.0，表示內部IP地址192.168.1.6，訪問外部時被翻譯成192.168.2.0全局地址。

PIX525(config)# static (dmz，outside)192.168.3.8 192.168.2.0，表示中間區(qū)域IP地址192.168.3.8，訪問外部時被翻譯成192.168.2.0全局地址。

2.inside可以訪問DMZ區(qū)，內網用戶可以使用管理DMZ中的各種服務器。例如，制定一個允許內網中的客戶機訪問端口80的規(guī)則，其命令為:

使用這個訪問控制列表之后，內部主機訪問外聯(lián)網絡的Web服務器(路由器)受到了限制。

3.outside不能訪問inside區(qū)。inside區(qū)域中存放的是內部數據，這些數據不允許外聯(lián)網用戶進行訪問。outside可以訪問DMZ區(qū)的各種服務器，但需要配合訪問控制列表(ACL)。例如：

4.DMZ既不能訪問outside區(qū)，也不能訪問inside區(qū)。因為DMZ中的服務器是專門用于給外界提供服務的，所以外網可以訪問DMZ，而DMZ中的服務器則沒有必要主動訪問外網。如果允許DMZ訪問inside區(qū)，當入侵者攻陷DMZ時，就可以進一步攻擊內網的重要敏感數據。

ACL實現防火墻的部分功能

由于許多路由器具有很強的IP數據包過濾功能，在實現IP數據包轉發(fā)的同時可以進行包過濾。因此，除了采取專用設備作為防火墻系統(tǒng)之外，對于一般復雜程度的安全策略，也可以通過直接配置路由器的訪問控制列表（ACL）來實現防火墻的部分功能。

以Cisco路由器的過濾規(guī)則為例，若允許來自任何源IP地址和源端口、目的IP地址為192.168.2.0、端口號為80的TCP報文通過，其命令表項為：

若允許來自任何源IP地址、源端口為20、目的IP地址為192.168. 0.0/16，而且目的端口號在1023以上的TCP報文通過，其命令表項為：

注意，此處的0.0.255.255表示16位子網掩碼，與通常的表示方式（255.255.0.0）恰好相反，這是Cisco路由器設備的約定。一個比較復雜的配置示例為：

經過這樣配置路由器過濾功能之后，可以實現較為安全的網絡環(huán)境。

隨著互聯(lián)網技術的飛速發(fā)展，網絡安全問題將愈來愈引起人們的重視。盡管人們研究設計了各種各樣的安全防御技術與方案，但仍然頻頻發(fā)生網絡安全事故。以基于區(qū)域分割的層疊式或三角方式部署和配置防火墻系統(tǒng)，可有效地提高網絡的健壯性。當然，網絡安全單靠防火墻或者某種優(yōu)化配置方案是不夠的，需要有其它安全技術及非技術因素的配合，如數據加密技術、身份認證技術、網絡法規(guī)、網絡管理人員的安全意識等。

(作者單位為南京工程學院)