论防火墙技术设计策略

张 宁

古时候,人们常在寓所之间砌起一道砖墙,一旦火灾发生它能够防止火势蔓延到别的寓所。自然,此种砖墙因此而得名“防火墙”。现在,如果一个网络接入到Internet上,在与外界进行通信时,势必也会存在着“火灾发生”的可能。如何确保网络安全?作为网络安全产品中的防火墙技术,是目前最为成熟的技术。

一、防火墙设计首要、重点问题

防火墙的自我保护能力(安全性)是设计时的首要、重点问题。

1.专用服务器端口

为降低设计上的难度,通过在防火墙上增设专用服务器端口,来与主机进行连接。除专用服务器外,防火墙不接受任何其他端口的直接访问。由于管道通信是单独的通道,所以不管是内网主机还是外网主机都无法窃听到该通信,显然是很安全的。

2.透明应用代理

提供对高层应用服务。管理员在防火墙产品上配置相关规则,这些配置对用户来说完全是透明的。用户访问Web、FTP等服务时,自由进行代理转发,外部网络不能通过代理主动访问内部网络,从而有效保证了内部网络的安全。

二、防火墙体系结构构建

常见的几种构建方式分析如下:

1.双宿主机

双宿主机将内外网络隔离,防火墙内部的网络系统与外部的网络系统都与双宿主机通信。这样,内外网络之间的IP数据流是完全切断的,只有入侵者得到双宿主机的访问权,才会侵入内部网络。所以为了保证内部网安全,双宿主机应禁止网络层的路由功能,避免防火墙上过多的用户账号。

2.屏蔽主机

主机与内部网相连,使用一台单独的过滤路由器强迫所有到达路由器的数据包被发送到被屏蔽主机,任何试图访问内部系统或服务器的外部系统都须与此主机相连。过滤路由器能否正确配置是这种防火墙结构安全的关键,因此过滤路由器中的路由表应严加保护。

3.屏蔽子网

在以上基础上,增加一个DMZ(隔离区),进一步将内网与外网隔开。采取两个过滤路由器,攻击者就算攻入了主机,还得通过内部路由器。所以原则上说,此种方式的网络是安全的。

三、应对常见攻击方式的策略

1.病毒

尽管某些防火墙产品提供了在数据包通过时进行病毒扫描的功能,但仍然很难将所有的病毒(或特洛伊木马程序)阻止在网络外面,黑客很容易欺骗用户下载一个程序从而让恶意代码进入内部网。

策略:设定安全等级,严格阻止系统在未经安全检测的情况下执行下载程序;或者通过常用的基于主机的安全方法来保护网络。

2.口令字

对口令字的攻击方式有两种:穷举和嗅探。穷举针对来自外部网络的攻击,来猜测防火墙管理的口令字。嗅探针对内部网络的攻击,通过监测网络获取主机给防火墙的口令字。

策略:设计主机与防火墙通过单独接口通信(即专用服务器端口)、采用一次性口令或禁止直接登录防火墙。

3.邮件

在这种攻击中,垃圾邮件制造者将一条消息复制成成千上万份,并按一个巨大的电子邮件地址清单发送这条信息,当用户不经意打开邮件时,恶意代码即可进入。

策略:打开防火墙上的过滤功能,在内网主机上采取相应阻止措施。

4.IP地址

黑客利用一个类似于内部网络的IP地址,以“逃过”服务器检测,从而进入内部网达到攻击的目的。

策略:通过打开内核rp_filter功能,丢弃所有来自网络外部但却有内部地址的数据包;同时将特定IP地址与MAC绑定,只有拥有相应MAC地址的用户才能使用被绑定的IP地址进行网络访问。

四、基本决策

1.方案选择

市场上的防火墙大致有软件防火墙和硬件防火墙两大类。软件防火墙需运行在一台标准的主机设备上,依托网络在操作系统上实现防火墙的各种功能,因此也称“个人”防火墙,其功能有限,基本上能满足单个用户。硬件防火墙则是把硬件和软件都单独设计,并集成在一起,运行于自己专用的系统平台上。由于硬件防火墙集合了软件方面的功能,因此更为强大,目前已普遍使用。

2.结构透明

防火墙的透明性是指防火墙对于用户是透明的。以网桥的方式将防火墙接入网络,网络和用户无需做任何设置和改动,也根本意识不到防火墙的存在。用户根据自己企业的网络规模,以及安全策略来选择合适的防火墙的构造结构,如果经济实力雄厚,可采用屏蔽子网的拓扑结构。

3.坚持策略

①管理主机与防火墙专用服务器端口连接,形成单独管理通道,防止来自内外部的攻击。

②使用FTP、News等服务代理,以提供高水平的审计和潜在的安全性。

③支持“除非明确允许,否则就禁止”的安全防范原则。

④确定可接受的风险水平。

4.实施措施

好的防火墙产品应向使用者提供完整的安全检查功能,应有完善及时的售后服务。但一个安全的网络仍必须靠使用者的观察与改进,企业要达到真正的安全仍需内部的网络管理者不断记录、追踪、改进,定期对防火墙和相应操作系统用补丁程序进行升级。

以上从防火墙所具有的功能出发,分别介绍了防火墙技术在设计时的重点问题、防火墙体系结构的构建、常见攻击方式的防范及基本设计决策。全文在分析的基础上给出了具体的解决方法,企业在设计过程中应根据自身条件出发,选择最优的策略。

作者单位:广东省佛山市高级技工学校(西校区)