一、防火墙的主要应用拓扑结构
边界防火墙虽然是传统的,但是它的应用最广,技术最为成熟。目前大多数企业网络中所应用的都是边界防火墙。所以了解边界防火墙的应用对于掌握整个防火墙技术非常重要。
传统边界防火墙主要有以下四种典型的应用环境,它们分别是:
控制来自互联网对内部网络的访问
控制来自第三方局域网对内部网络的访问
控制局域网内部不同部门网络之间的访问
控制对服务器中心的网络访问
下面分别予以介绍。
1、 控制来自互联网对内部网络的访问
这是一种应用最广,也是最重要的防火墙应用环境。在这种应用环境下,防火墙主要保护内部网络不遭受互联网用户(主要是指非法的黑客)的攻击。目前绝大多数企业、特别是中小型企业,采用防火墙的目的就是这个。
在这种应用环境中,一般情况下防火墙网络可划分为三个不同级别的安全区域:
内部网络:这是防火墙要保护的对象,包括全部的企业内部网络设备及用户主机。这个区域是防火墙的可信区域(这是由传统边界防火墙的设计理念决定的)。
外部网络:这是防火墙要防护的对象,包括外部互联网主机和设备。这个区域为防火墙的非可信网络区域(也是由传统边界防火墙的设计理念决定的)。
DMZ(非军事区):它是从企业内部网络中划分的一个小区域,在其中就包括内部网络中用于公众服务的外部服务器,如Web服务器、邮件服务器、FTP服务器、外部DNS服务器等,它们都是为互联网提供某种信息服务。
在以上三个区域中,用户需要对不同的安全区域庙宇不同的安全策略。虽然内部网络和DMZ区都属于企业内部网络的一部分,但它们的安全级别(策略)是不同的。对于要保护的大部分内部网络,一般情况下禁止所有来自互联网用户的访问;而由企业内部网络划分出去的DMZ区,因需为互联网应用提供相关的服务,所以在一定程度上,没有内部网络限制那么严格,如Web服务器通常是允许任何人进行正常的访问。或许有人问,这样的话,这些服务器不是很容易初攻击,按原理来说是这样的,但是由于在这些服务器上所安装的服务非常少,所允许的权限非常低,真正有服务器数据是在受保护的内部网络主机上,所以黑客攻击这些服务器没有任何意义,既不能获取什么有用的信息,也不能通过攻击它而获得过高的网络访问权限。
另外,建议通过NAT(网络地址转换)技术将受保护的内部网络的全部主机地址映射成防火墙上设置的少数几个有效公网IP地址。这样有两个好处:一则可以对外屏蔽内部网络构和IP地址,保护内部网络的安全;同时因为是公网IP地址共享,所以可以大大节省公网IP地址的使用,节省了企业投资成本。
在这种应用环境中,在网络拓扑结构上企事业单位可以有两种选择,这主要是根据单位原有网络设备情况而定。
如果企业原来已有边界路由器,则此可充分利用原有设备,利用边界路由器的包过滤功能,添加相应的防火墙配置,这样原来的路由器也就具有防火墙功能了。然后再利用防火墙与需要保护的内部网络连接。对于DMZ区中的公用服务器,则可直接与边界路由器相连,不用经过防火墙。它可只经过路由器的简单防护。在此拓扑结构中,边界路由器与防火墙就一起组成了两道安全防线,并且在这两者之间可以设置一个DMZ区,用来放置那些允许外部用户访问的公用服务器设施。网络拓扑结构如图1所示。
如果企业原来没有边界路由器,此时也可不再添加边界路由器,仅由防火墙来保护内部网络。此时DMZ区域和需要保护的内部网络分别连接防火墙的不同LAN网络接口,因此需要对这两部分网络设置不同的安全策略。这种拓扑结构虽然只有一道安全防线,但对于大多数中、小企业来说是完全可以满足的。不过在选购防火墙时就要注意,防火墙一定要有两个以上的LAN网络接口。它与我们前面所介绍的“多宿主机”结构是一样的。这种应用环境的网络拓扑结构如图2所示。
2、 控制来自第三方网络对内部网络的访问
这种应用主要是针对一些规模比较大的企事业单位,它们的企业内部网络通常要与分支机构、合作伙伴或供应商的局域网进行连接,或者是同一企业网络中存在多个子网。在这种应用环境下,防火墙主要限制第三方网络(以上所说的其它单位局域网或本单位子网)对内部网络的非授权访问。
在这种防火墙应用网络环境中,根据企业是否需要非军事区(放置一些供第三方网络用户访问的服务器)可以有两种具体的网络配置方案:
(1)需要DMZ区。这种情况是企业需要为第三方网络提供一些公用服务器,供日常访问。这种网络环境与上面所介绍的限制互联网用户非法访问企业内部网络一样,整个网络同样可分为三个区域:
内部网络:这是防火墙要保护的对象,包括全部企业内部网络中需要保护的设备和用户主机。为防火墙的可信网络区域,需对第三方用户透明隔离(透明是指“相当于不存在的”意思)。
外部网络:防火墙要限制访问的对象,包括第三方网络主机和设备。为防火墙的非可信网络区域。
DMZ(非军事区):由企业内部网络中一些外部服务器组成,包括公众Web服务器、邮件服务器、FTP服务器、外部DNS服务器等。这些公众服务器为第三方网络提供相应的网络信息服务。
需要保护的内部网络和DMZ区的安全策略也是不同的:需要保护的内部网络一般禁止来自第三方的访问,而DMZ则是为第三方提供相关的服务,允许第三方的访问。
同样必要时可通过NAT(网络地址转换)对外屏蔽内部网络结构,保护内网安全。
我们仍考虑企业原有边界路由器设备,通过配置后它同样可以担当包过滤防火墙角色。这时的DMZ区就可直接连接边界路由器的一个LAN接口上,而无需经过防火墙。而保护内部网络通过防火墙与边界路由器连接。网络拓扑结构如图3所示。如果企业没有边界路由器,则DMZ区和内部网络分别接在防火墙的两个不同的LAN接口上,构成多宿主机模式。
(2)、 没有DMZ区:此应用环境下整个网络就只包括内部网络和外部网络两个区域。某些需要向第三方网络提供特殊服务的服务器或主机与需要保护的内部网络通过防火墙的同一LAN接口连接,作为内部网络的一部分,只是通过防火墙配置对第三方开放内部网络中特定的服务器/主机资源。网络拓扑结构如图4所示。但要注意的是,这种配置可能带来极大的安全隐患,因为来自第三方网络中的攻击者可能破坏和控制对他们开放的内部服务器/主机,并以此为据点,进而破坏和攻击内部网络中的其它主机/服务器等网络资源。
以上是考虑了企业是否需要DMZ区的两种情况。与上面介绍的对互联网用户访问控制的应用环境一样,在这种应用环境中,同样可以考虑企业单位原来是否已有边界路由器。这种应用环境下,企业同样可以没有边界路由器。如果没有边界路由器,则须把如图3和图4所示网络拓扑结构按如图2所示进行相应的改变,此时如图3和图4所示网络中,防火墙须直接与第三方网络连接,DMZ区与受保护的内部网络分别连接防火墙的两个不同的LAN接口。不过要注意,如图3所示的网络结构中,DMZ区就相当于没有任何保护,其实也称不上“DMZ区”,所以在企业没有边界路由器的情况下,通常不采用如图3所示网络结构,而是采用图4所示结构,把一些安全级别相对较低的服务器连接与内部受保护的网络连接在一起,只是在防火墙上对这些公众服务器进行特殊权限配置即可。
3、 控制内部网络不同部门之间的访问
这种应用环境就是在一个企业内部网络之间,对一些安全敏感的部门进行隔离保护。通过防火墙保护内部网络中敏感部门的资源不被非法访问。这些所谓的“敏感部门”通常是指人事部门、财务部门和市场部门等,在这些部门网络主机中的数据对于企业来说是非常重要,它的工作不能完全离开企业网络,但其中的数据又不能随便供网络用户访问。这时有几种解决方案通常是采用VLAN配置,但这种方法需要配置三层以上交换机,同时配置方法较为复杂。另一种有效的方法就是采用防火墙进行隔离,在防火墙上进行相关的配置(比起VLAN来简单许多)。通过防火墙隔离后,尽管同属于一个内部局域网,但是其他用户的访问都需要经过防火墙的过滤,符合条件的用户才能访问。这类防火墙通常不仅通过包过滤来筛选数据包的,而且还要对用户身份的合法性(在防火墙中可以设置允许哪此些用户访问)进行识别。通常为自适应代理服务器型防火墙,这种防火墙方案还可以有日志记录功能,对网管员了解网络安全现状及改进非常重要。网络拓扑结构如图5所示。
4、 控制对服务器中心的网络访问
对于一个服务器中心,比如主机托管中心,其众多服务器需要对第三方(合作伙伴、互联网用户等)开放,但是所有这些服务器分别属于不同用户所有,其安全策略也各不相同。如果把它们都定义在同一个安全区域中,显然不能满足各用户的不同需求,这时我们就得分别设置。要按不同安全策略保护这些服务器,可以有两种方法:
(1)、为每个服务器单独配置一个独立的防火墙,网络如图6所示。这种方案是一种最直接、最传统的方法。配置方法也最容易,但这种方案无论从经济上、还是从使用和管理的灵活可靠性上都不是最好的。一则需要购买与托管理服务器数据一样多的防火,对托管中心来说投资非常之大;而且托管中心管理员面对这么多防火墙,其管理难度可想而知。
(2)、采用虚拟防火墙方式,网络结构如图7所示。这主要是利用三层交换机的VLAN(虚拟局域网)功能,先为每一台连接在三层交换机上的用户服务器所连接的网络配置成一个单独的VLAN子网,然后通过对高性能防火墙对VLAN子网的配置,就相当于将一个高性能防火墙划分为多个虚拟防火墙,其最终效果如图6一样。这种方案虽然配置较为复杂,但