对于很多用户来说,安装和使用防火墙已经是摆到桌面上的问题了。但我们发现,多数用户对防火墙仍缺乏必要的了解。而相关的文章和专题或者过于学术化,与实际应用有一定距离,或者仅仅是围绕厂商的宣传材料,对用户缺乏指导意义。这些正是我们这次希望解决的问题,我们力求从用户的需求出发,提出和解决问题。经过对一些典型用户调查分析,我们提炼出用户的主要典型环境和典型需求,在《微电脑世界》评测实验室中创造出了一个有代表性的用户“典型平安软件公司”,通过介绍典型平安软件公司使用防火墙实施安全策略的过程,来帮助广大用户理解防火墙产品,用好防火墙产品。
下面我们看看典型平安软件公司是如何来制定安全策略的。
典型平安软件公司包括开发部、市场部、销售部、技术支持部和办公室,总体规模约为100人。典型平安软件公司使用了多种操作系统,包括Windows 2000 Professional、Windows 98和最新的Windows XP。通过DDN专线接入Internet,分配有一个真实IP。典型平安软件公司以往是通过简单的NAT系统实现Internet访问的,公司现决定安装代理/防火墙系统,满足如下三方面的需要。
1. 禁止外部网络对公司内部网络的非法访问,保护公司信息安全
具体包括:能够有效防止现有的各种网络攻击;对于系统新发现的安全问题,能够进行及时升级; 根据公司安全策略的变化,能够方便地对其进行调整和实施。
2. 满足公司员工因公访问Internet的需要
能够对Web访问进行缓存以节省网络带宽资源,能够支持所需各种协议的Internet访问。
3.对员工访问Internet进行控制和审计
控制部分:不允许员工通过防火墙对外部网络进行攻击; 不允许员工访问Internet上的色情及反动站点; 根据工作需要,员工可在特定时段访问特定服务。
审计部分:公司领导及网络管理人员可定期察看每个员工、每个部门的Internet访问纪录及流量统计,对于员工通过Internet窃取公司机密信息或其他的非法行为,能够进行查证。
对此,经过调查研究后,公司的安全策略设定如下。
全体员工可在工作时间以Web方式访问Internet,对所有的访问都进行审计。除邮件服务器外,任何员工不得用任何机器提供Internet服务。特权小组可以不受限制地进行Internet访问,所有的访问都需进行审计。
由于产品开发的需要,开发部可以访问公司的Internet网站机器的22和180端口,全体员工不得以除Web外的任何形式访问Internet,各部门经理访问Internet不受时间限制。
我们不难看出,各规则之间似乎有很多自相矛盾的地方,事实上,因为安全策略是自上而下逐条匹配的,一旦对于某条规则匹配了,则不需要继续向下匹配,因此,每一条规则都有隐含的前提条件,即所有前面规则已规定的情况例外。也正因为如此,我们需要把允许的规则放在前面,而把拒绝的规则放在后面,从而保证被允许的各种连接顺利通过。多数防火墙都把一条默认的策略放在最后,即拒绝任何访问,这样可以保证不会因为安全策略不严密而产生漏洞。如果用户不能确定防火墙产品是否提供了这条默认规则,也不妨本着安全第一的原则自行增加,调整后的安全策略如下。
特权小组可以不受限制地进行Internet访问,对所有的访问都进行审计; 各部门经理访问Internet不受时间限制,全体员工可在工作时间以Web方式访问Internet,对所有的访问都需进行审计; 由于产品开发的需要,开发部可以访问公司的Internet网站机器的22和180端口,除邮件服务器外,任何员工不得用任何机器提供Internet服务; 全体员工不得以除Web外的任何形式访问Internet。
这些安全策略实际上经过了极大的简化,但是已经能够代表当今企业对于防火墙产品的典型需求,确切地说,这些仅仅是“使用技术手段中的防火墙可以确保实施的安全策略”,从下面的防火墙设置中我们可以看到,每一条规定最终会落实到防火墙的一条或多条设置,作为公司决策层,在制定安全策略时完全可以以“禁止员工进行任何与工作无关的网络访问”,而该规则的具体实施,则可以通过防火墙折衷,或者进行分级权限设置,允许部门主管察看下级员工的访问纪录,需要指出的是,过于严格的审计可能会侵犯员工隐私权,故而企业在制定安全策略时还需要参照国家有关法律规定。
可以说,防火墙的作用就是作为一种技术手段,辅助企业安全策略的实施。我们在《微电脑世界》评测实验室中搭建了典型平安软件公司的网络环境,分别使用3款产品进行了实验,来实施典型平安软件公司的安全策略,在使用过程中考察3款产品满足上述应用的能力以及产品功能配置和使用方便性,我们对产品的考察结果见3款产品的点评中。
我们是在这样的网络环境中进行相关测试的:防火墙平台为联想万全2450机架式服务器,配置2块Intel Pro100+ Management网卡,Intel Pentium Ⅲ 850 CPU,512MB SDRAM,硬盘存储系统为2块10000r/min 18GB SCSI硬盘组成RAID 0,系统安装了Windows 2000 Advanced Server+SP2和Turbo Linux Server 6.5。内网中安装了Windows 2000域,包括域控制器、DHCP服务器、DNS服务器。设定域为lab。防火墙的内外网络接口分别连接内外网交换机,外网直接连接Internet。内网中包括30台PC,安装了Windows 2000专业版、Windows XP专业版以及Windows 98第二版。