(2)、采用虚拟防火墙方式,网络结构如图7所示。这主要是利用三层交换机的VLAN(虚拟局域网)功能,先为每一台连接在三层交换机上的用户服务器所连接的网络配置成一个单独的VLAN子网,然后通过对高性能防火墙对VLAN子网的配置,就相当于将一个高性能防火墙划分为多个虚拟防火墙,其最终效果如图6一样。这种方案虽然配置较为复杂,但是这也只是首次配置,一旦配置好了,其后的使用和管理就相当方便了,就像用交换机管理多个VLAN子网一样来管理每个用户服务器,而且这种方案在现实中比较经济可行。
二、防火墙的应用配置
在传统边界防火墙应用配置中,最主要体现在DMZ(非军事区)、VPN(虚拟专用网)、DNS(域名服务器)和入侵检测配置等几个方面。下面具体介绍。
1、 DMZ(非军事区)应用配置
DMZ这个概念在这几篇防火墙介绍教程中我们多次讲到,由此可见它非常重要,为此我们有必要再次对这样一个防火墙技术进行更深入的研究。
DMZ是作为内外网都可以访问的公共计算机系统和资源的连接点,在其中放置的都是一些可供内、外部用户宽松访问的服务器,或提供通信基础服务的服务器及设备。比如企事业单位的Web服务器、E-mail(邮件)服务器、VPN网关、DNS服务器、拨号所用的Modem池等等。这些系统和资源都不能放置在内部保护网络内,否则会因内部网络受到防火墙的访问限制而无法正常工作。DMZ区通常放置在带包过滤功能的边界路由器与防火墙之间。其典型网络结构如图8所示。当然这里的边界路由器也可以是一台专门的硬件防火墙,只是在此想充分利用企业原有设备,节省企业投资。
之所以要把DMZ区放在边界路由器与防火墙之间,那是因为边界路由器作为网络安全的第一防线,可以起到一定的安全过滤作用,因为它具有包过滤功能,通常它不会设置的太严。而防火墙作为网络的第二道,也是最后一道防线,它的安全级别肯定要比边界路由器上设置的要高许多。如果把用于公共服务呖呖的一些服务器放置在防火墙之后,显然因安全级别太高,外部用户无法访问到这些服务器,达不到公共服务的目的。
以上所介绍的是一种典型网络应用环境,有些企事业单位用户网络,可能需要两类DMZ,即所谓的“外部DMZ”和“内部DMZ”。外部DMZ放置的是内部网络和互联网用户都可以宽松访问的系统和资源,如以上所说的Web服务器、E-mail(邮件)服务器、VPN网关、DNS服务器、拨号所用的Modem池等等。这部分网络需单独连在主防火墙的一个LAN端口;内部DMZ所放置是内部网络中用防火墙所保护的内部网络中需要供内部网络用户共享的系统和资源(如内部邮件服务器、内部Web服务器、内部FTP服务器等),当然外部网络用户是不能访问此DMZ区资源的。内部DMZ放置在主防火墙与内部防火墙之间。它的典型网络结构如图9所示。
如果企业没有边界路由器,则外部DMZ区就要单独放置在主防火墙的一个LAN端口上,这也就要求主防火墙具有2个以上LAN接口,因为内部DMZ区也需与主防火墙的一个LAN接口单独连接,以此来配置多宿主机模式。其它连接如图9一样。
典型的防火墙策略是主防火墙采用NAT模式,而内部防火墙采用透明模式工作,以减少内部网络结构的复杂程度,提高网络连接性能。除远程访问和VPN访问外,来自互联网的网络访问只能限制在外部DMZ区对外开放的资源上,不可进入内部DMZ区,更不可能进入受保护的内部网络之中。
VPN(虚拟企业专网)是目前最新的网络技术之一,它的主要优点通过公网,利用隧道技术进行虚拟连接,相比专线连接来说可以大幅降低企业通信成本(降低幅度在70%左右),加上随上VPN技术的发展,VPN通信的安全问题已基本得到解决,所以目前它是一种企业首选通信方式,得到了广大企业用户的认可和选择。目前存在几个典型的VPN隧道协议,包括IPsec、PPTP、L2TP等。通过VPN技术可以实现对用户内部网络的扩展,同时为用户带来网络使用成本上的巨大节省。
在防火墙网络中对VPN服务器进行配置的方法有两种:
(1)、传统边界防火墙方式
这一方式中,VPN服务器位于边界防火墙之后,防火墙必须打开内外网络之间相应的VPN通信服务端口,这可能带来安全隐患,这也是传统边界防火墙不能很好地VPN通信的原因。因为VPN通信中数据包内容是加密过的,所以边界防火墙无法检测内外网络之间的通信内容,也就无法从中获取过滤信息,这样防火墙很难有效地实现对网络的访问控制、审计和病毒检测。因为VPN服务器与传统边界2、 VPN通信配置防火墙的上述矛盾,所以远程攻击者对很可能将VPN服务器作为攻击内部网络的跳板,给内部网络带来非常大的不安全因素。为了提高网络的安全性,最好再加上如图9中配置的第二道防火墙:内部防火墙,把VPN服务器放置在外部DMZ区中。
(2)、使用VPN专用防火墙
针对传统边界防火墙与VPN通信的上述矛盾,网络设备开发商就特定为VPN通信开发VPN防火墙。集成VPN技术的防火墙,就可以正确识别VPN通信中的数据包,并且加密的数据包也只在外部VPN客户端与防火墙之间,有交地避免了前种方案中数据包无法识别的弊端。但不是所有厂商的防火墙都支持内置的VPN服务增值功能。此方案的典型配置如图10所示。
3、DNS
DNS服务器可为互联网提供域名解析服务,对任何网络应用都十分关键。同时在其中也包括了非常重要的网络配置信息,如用户主机名和IP地址等。正因如此,对DNS服务器要采取特别的安全保护措施。
为了安全起见,建议在防火墙网络中,对内部DNS服务器和外部DNS服务器进行分开放置。为互联网服务的外部DNS服务器不应该包含对外禁止访问的内部网络系统的相关服务,需要专门放置在内部DNS服务器上。如果将内部网络的相关服务需放置在外部DNS服务器上,则会为非法攻击者提供攻击对象目标信息。这种将内部DNS服务器和外部DNS服务器分隔开的网络配置方案通常称之为“分割DNS”。图11描述了一个典型的“DNS分割”的例子:
在这种典型防火墙DNS服务器配置网络结构中,内部DNS服务器专用来为内部网络系统进行名称解析,使得内部网络用户可以通过它连接到其它内部系统,其中就包括内部防火墙和内部DMZ;外部DNS使得外部网络能够解析出主防火墙、外部DNS服务器、外部DMZ区的主机名字,但不能解析出内部网络系统主机的名字。
6、入侵检测
安全检测是信息保障的一个重要环节,也新型防火墙的一个重要功能。目前主要的安全检测技术包括入侵检测、漏洞扫描和病毒检测。
入侵检测系统(Intrusion Detection System,IDS)能够对网络中未经授权用户的访问进行报警,某些时候还能够通过其它手段预防这种非法网络行为。它只能发现已发生的非法访问,而且检测本身不能提供安全保护的作用,但是很多入侵检测产品能够和防火墙这类网络安全保护产品联动,一旦入侵检测发现攻击行为,它可以通知防火墙修改安全规则,阻止后续的攻击网流。
入侵检测方式目前主要分为三类:基于主机的入侵检测、基于网络的入侵检测和基于应用的入侵检测。
建议将基于主机的入侵检测和基于应用的入侵检测产品配置在关键业务服务器上,以检测主机应用层次的网络攻击行为,尤其是基于用户的攻击行为检测。这属于一种高级的入侵检测手段,它所检测的范围覆盖整个网络和应用。必须清楚,这两类产品有极大的安全缺陷:
(1)、 时间上的滞后性,由于它们的检测资料来源是主机操作系统/应用的日志记录,因此难以做到实时反应;
(2)、其检测分析结果的准确性完全依赖于主机操作系统日志记录的全面性和准确性;
(3)、占用较多主机资源。
如果防火墙具有一定的入侵检测功能,则可以在主防火墙上打开此功能,在防火墙上使用入侵检测功能可以相当程度地抵制来自外部网络的DoS(拒绝服务攻击)攻击和地址欺骗攻击。
部署在某些区域的入侵检测产品如果能和相关的防火墙在网络上可通,则可以发挥它们之间的联动功能,提高安全效率。
在漏洞和病毒检测方面,边界防火墙比较难以实现,而在个人防火墙和分布式防火墙中却较容易。因为它们之中软件功能非常强大,而且还可以实时自动联网升级。以实现对最新的系统和病毒进行跟踪检测的目的,最大限度地保证检测的有效性。所以在个人防火墙就有好几种防火墙的叫法,如病毒防火墙、网络防火墙和邮件防火墙等。从这些名字我们要吧看出这些防火墙的主要功能。
好了,关于防火墙的主要应用网络结构及应用配置就介绍至此。
网页显示有限 阅读全文请下载本文完整版WORD文档