分享
 
 
 

防火墙:永恒的安全策略

王朝other·作者佚名  2008-05-19
窄屏简体版  字體: |||超大  

山东省工商行政管理信息网络系统(简称“金管工程”)的建设目标主要是:实现“两网”、 “三化”、“三服务”和“五项建设任务”。“两网”即全省各级工商行政管理局机关工作网(局域网)和社会服务网(山东红盾信息网);“三化”即全省工商行政管理工作业务管理电脑化、档案存储光盘化、信息查询网络化;“三服务”即为政府的宏观调控提供可靠的决策依据,为工商行政管理机关的监督管理和行政执法服务,为企业(用户)经营提供工商信息咨询服务;“五项建设任务”即覆盖全省各级工商行政管理局信息高速公路网络分系统、工商行政管理业务处理应用分系统、企业信息服务(IC)卡分系统、工商行政管理数据处理分系统、工商行政管理机关办公事务处理分系统。在这一系统中,如何保证系统安全是一个重要环节,其中防火墙的应用成为一个重要手段。

坚守原则是安全措施的起步

为确保信息系统的安全,山东省工商行政管理局在设计内部网时,结合现阶段的实际需要和有关的防火墙技术,制定了以下原则:

重要数据保护原则 保护系统的关键信息不被窃取、不被篡改,保证在需要时能获得可用的数据。

保护硬件资源不被盗用原则 网络入侵者会利用信息资源,如硬盘空间、内存、CPU的运算能力等供自己使用,造成工商系统在需要这些资源时无法获得,所以必须保护所购置的硬件资源不被他人盗用。

保护形象原则 保护系统对外宣传窗口(WWW)服务器的安全,防止Web主页被篡改,防止入侵者以系统网络为跳板攻击其他网络。

提供合理有效的服务原则 从各级工商局内部网的需求来看,内部用户必需的Internet服务主要分为三大类:即电子邮件、FTP和WWW。对其他TCP/IP服务,则应禁止其穿透防火墙与Internet通信。因为第一,SNMP是用于网络系统的管理协议,SNMP中包含的信息均与网络管理控制有关,使其穿透防火墙,流入Internet是非常危险的;第二,NNTP是用于Internet网络新闻组的协议,由于NNTP所实现的Internet新闻自动接收是完全被动的,难以对接收内容及流量进行控制,所以让NNTP穿透防火墙具有很大的安全隐患,因此要求机关工作网中暂不提供Internet上的NNTP服务;第三,Telnet仅局限于各局内部网应用,而且Telnet的信息在网络中是以明文的方式进行传送的,在Internet服务中提供Telnet也是非常危险和不必要的,所以必须禁止Telnet穿透防火墙。

未被允许的信息流禁止通过防火墙原则 在进行需求分析以及防火墙设计时,必须遵循从小到大的原则,即需要什么服务就开设什么服务。缺省情况下,防火墙禁止所有信息通过,然后,根据具体需求,逐步允许指定的信息流通过。

外界Internet用户防止进入内部网原则 将提供给外部用户访问的服务器放在防火墙外的DMZ区(非军事化区),如Web Server、FTP Server、DNS Server。包括:1绝对禁止外部Internet用户穿透防火墙访问内部机关工作网。2用防火墙提供的功能屏蔽SafeMail(屏蔽内部邮件地址)、DNS(屏蔽内部域名)、NAT(屏蔽内部IP地址)、Proxy(屏蔽内部IP地址)。3进行完整的Auditing和Logging,这将有助于及时发现安全漏洞。

划分安全区是设计关键

由于工商业务的需要,在各级工商局都设有内部网段与外部Internet网段接口。在确定方案设计时,首先需确定网络边界的拓扑结构,即规划内部安全网、防火墙、DMZ以及与外部Internet的连接方式。

内部安全网

存放内部信息,仅供内部工作人员使用。在安全等级上,应处于最高位置,必须放在防火墙以内。通过防火墙杜绝外界非法访问,同时限制内部用户任意访问Internet。

非军事化区 在非军事化区(DMZ)中,存放企业内部网中的外界Internet用户信息,如对外公开的Web服务器、域名服务器及FTP服务器等。安全等级比内部网要求低一些,可放置在防火墙外。但“含金量”低并不意味着不需要保护,该区域的内容不允许外界用户肆意修改和损坏。一般来说,其安全保护是通过IP包过滤与操作系统的安全性结合来实现的。

与外界Internet连接 通过一个专门的路由器完成,在该路由器上根据需要设置IP包过滤规则,设计拓扑结构时,一般有两种方式:

第一种方式是在安装防火墙的设备上设置两块网卡,其中一块网卡连接内部安全网络,另一块连接非安全网,将对外公开的服务器放置在防火墙和路由器之间,形成DMZ,如图1所示。

这种方式的优点是:

层次清晰 可对内部安全网形成两级保护,第一级保护通过连接Internet的路由器完成,在路由器上设置IP包过滤规则,第二级保护由防火墙提供。这样可以避免防火墙直接暴露在黑客面前,减少被攻击的机会。

分担防火墙的负担 通过这种方式,所有Internet用户只能通过路由器访问DMZ服务器,而不会访问到安装防火墙的设备。

缺点是:

缺乏日志 由于对DMZ服务器的访问通过路由器完成,缺乏完整的日志文件,这就需要在这些服务器的操作系统上完成日志记录。

管理分散 由于两级保护分别通过路由器和防火墙完成,所以需要分别设置和管理。

针对以上问题,可以采用第二种方式,即直接在安装防火墙的设备上安装三块网卡,除两块网卡分别连接内部安全网和外部网之外,还特别增加一块网卡与DMZ连接,使DMZ单独形成一个网段,如图2所示。

这种方式的优点是:

可以在防火墙上生成完整的日志文件 由于对DMZ和内部网的访问在防火墙上设置。所以可以利用防火墙强大的日志功能生成完整的日志。

可以实现管理集中。

缺点是:

影响防火墙的运行性能 由于所有的通信,无论是访问DMZ、Internet还是访问内部网,都必须通过防火墙的控制,大大增加了防火墙的负载,特别是当外界Internet用户访问公开服务器时,其数量和强度都是无法预知的,有时甚至可能耗尽防火墙资源,阻塞正常通信。

防御体系缺乏层次 防火墙直接暴露在Internet上,增加了受攻击的可能性。

不太符合KISS原则(简单就是安全原则) 如配置三块网卡,增加了系统结构的复杂性,不便维护与管理。

经过详细论证,结合实际需求,山东省工商管理局使用了第一种拓扑结构,即两块网卡结构。原因是,由于整个网络分布面广,其公开的Internet服务器势必被许多Internet用户访问,两块网卡配置方式可以减少防火墙上的通信“瓶颈”,便于维护。同时在防黑客入侵方面,层次型的防御体系可以增加系统的安全性。

实施步骤与关注要点

在具体实施防火墙方案时,应遵循下列通用步骤,并掌握每个环节需要注意的问题。

1 需要直接接入Internet 的各级分局,要向Internet有关组织申请合法的域名和IP地址。

2 在内部划分、切割网络和分配IP地址、域名。

3 确定内部网、防火墙、DMZ Internet的运行效率。

4 确定Internet需向内部网段提供的服务。

从目前内部网需求以及TCP/IP各种应用服务的安全性考虑,山东省工商局在内部网与Internet之间提供了电子邮件、Web服务器以及FTP三种Internet应用服务。具体的规范是:

堵塞系统的安全漏洞(Hardening)

在确定一个防火墙设计方案时,必须从安全角度出发,主要考虑防火墙设备和DMZ设备的操作系统安全性。1在防火墙安装时,自动Hardening过程,关闭防火墙不需要的服务进程,删除防火墙中不需要的程序,禁止的未授权的用户登录。2确定DMZ中服务器的安全管理方式,在设计方案时,将全部对外公开的Web服务器、DNS服务器以及FTP服务器等放置在DMZ中,并在DMZ与外部连接的路由器上设置IP包过滤,然后在服务器上进行操作系统的安全控制。

添加路由

因为防火墙不允许动态路由,所以要添加静态路由。在防火墙上添加静态路由指向ISP或DMZ的路由器,在ISP或DMZ的路由器上添加静态路由指向防火墙。

在防火墙上实施网络地址转换(NAT)

因为机关内部网采用的是私有地址,若要与外部通信,需要公网地址。防火墙的网络地址转换(NAT)即可完成私有的IP地址与注册的公网地址之间的转换。

NAT分静态地址和动态地址两种转换模式,静态地址转换支持一对一的永久地址映射,而动态地址转换则是根据内部用户的需求临时分配公网地址,其地址映射是暂时的。

在防火墙上实施DNS

在设置防火墙之后,所有的DNS的请求都必须经过防火墙转发。这时,可根据需要将DNS系统设为内部DNS、FW、DNS及DMZ、DNZ结构。在ISP注册全部域名,向ISP提供全部DMZ域名服务器地址;修改DMZ域名服务器,在其中加入指针记录指向防火墙,所有接收到的电子邮件由防火墙转发;修改内部网域名服务器,将所有对Internet的域名解析请求送给防火墙;配置防火墙的DNS,作为连接内部网和Internet的中介。

关于FTP的考虑

FTP作为另一个常用的Internet服务,也应该提供内部用户。目前防火墙能提供三种FTP边连接方式:透明的FTP Proxy、非透明的FTP Proxy以及Browser FTP。FTP Proxy将FTP通信分为两段,进行用户验证,屏蔽内部地址。用户验证有多种选择,也可加进自己的验证方法。根据需求,为普通用户提供基于Web的FTP访问,而对于特定的用户允许其申请FTP口令,以便使用非透明FTP Proxy。

关于HTTP的考虑

允许机关内部网用户通过浏览器浏览外部站点是当前最基本的Internet服务,由防火墙提供的HTTP Proxy,可以屏蔽内部地址。同时配合IP Filter设置,可以阻止外部的HTTP请求,并提供特定地址的内部设备HTTP请求的控制。

关于e-mail的考虑

e-mail作为最基本的Internet服务之一,应当首先提供内部网用户的服务。与Internet的邮件交换将由DMZ中的邮件服务器来完成。

关于IP Filter

IP Filter是基于IP的最基本的保护,所有的上述涉及到的各种服务

 
 
 
免责声明:本文为网络用户发布,其观点仅代表作者个人观点,与本站无关,本站仅提供信息存储服务。文中陈述内容未经本站证实,其真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
2023年上半年GDP全球前十五强
 百态   2023-10-24
美众议院议长启动对拜登的弹劾调查
 百态   2023-09-13
上海、济南、武汉等多地出现不明坠落物
 探索   2023-09-06
印度或要将国名改为“巴拉特”
 百态   2023-09-06
男子为女友送行,买票不登机被捕
 百态   2023-08-20
手机地震预警功能怎么开?
 干货   2023-08-06
女子4年卖2套房花700多万做美容:不但没变美脸,面部还出现变形
 百态   2023-08-04
住户一楼被水淹 还冲来8头猪
 百态   2023-07-31
女子体内爬出大量瓜子状活虫
 百态   2023-07-25
地球连续35年收到神秘规律性信号,网友:不要回答!
 探索   2023-07-21
全球镓价格本周大涨27%
 探索   2023-07-09
钱都流向了那些不缺钱的人,苦都留给了能吃苦的人
 探索   2023-07-02
倩女手游刀客魅者强控制(强混乱强眩晕强睡眠)和对应控制抗性的关系
 百态   2020-08-20
美国5月9日最新疫情:美国确诊人数突破131万
 百态   2020-05-09
荷兰政府宣布将集体辞职
 干货   2020-04-30
倩女幽魂手游师徒任务情义春秋猜成语答案逍遥观:鹏程万里
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案神机营:射石饮羽
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案昆仑山:拔刀相助
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案天工阁:鬼斧神工
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案丝路古道:单枪匹马
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:与虎谋皮
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:李代桃僵
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:指鹿为马
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案金陵:小鸟依人
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案金陵:千金买邻
 干货   2019-11-12
 
推荐阅读
 
 
 
>>返回首頁<<
 
靜靜地坐在廢墟上,四周的荒凉一望無際,忽然覺得,淒涼也很美
© 2005- 王朝網路 版權所有