| |
实施一套良好的防火墙策略
安全防火墙架构的首要关键组件是策略的设计。实现这些目标的最为重要的概念是使用原则的需要。在防火墙的策略中,这只是意味着除非有一个明确的原因要求使用某种服务,这种服务默认地必须被阻止或拒绝。为实施默认的服务阻止规则,在所有策略集的末尾只需要全局性地实施一种防火墙策略,即丢弃一切的规则,意思就是防火墙的默认行为是丢弃来自任何源到达任何目的地的任何服务的数据包。这条规则在任何的防火墙策略中是最后一条规则,因为在某种通信在有机会进入之前,它已经被封杀了。一旦实施了这种基本的行为,就需要对特定的源、特定的服务、对特定的目标地址的访问等实施在一些精心设计的规则。一般而言,这些规则越精密,网络也就越安全。
例如,用户可被准许使用对外的一些常见服务端口,如HTTP,FTP,媒体服务等,但其它的服务和程序除非有了明确的原因才准许通信。在根据企业的需要找到一种特别的原因后,就需要在验证和核准后增加一些严格控制的针对性规则。管理员们常犯的一个错误是他们将用户的权限扩展到了服务和DMZ网络。适用于用户的向外转发数据的规则通常并不适用于服务器。在认真考虑之后,管理员会找到Web服务器并不需要浏览Web的理由。服务器就是服务器,它主要是提供服务,而很少成为客户端。一个根本的问题是DMZ或服务器几乎不应当首先发起通信。服务器典型情况下会接受请求,但几乎不可能接受来自公共的互联网的请求服务,除非是企业合伙人的XML及EDI应用。其它的例外还有一些,如提供驱动程序和软件更新的合法厂商的站点,但所有的例外,都应当严格而精密地定义。遵循这些严格的标准可以极大地减少服务器被损害的可能,最好能达到这样一种程度,只要部署了这种策略,即使服务器没有打补丁,也能防止内部子网的蠕虫传播。
实施良好的防火墙网络设计
防火墙安全的另外一个关键组件是物理网络的拓扑。如下图1:
上图展示的是并不太先进的Pix525,笔者用它只是为了说明原理。它支持2千兆比特的以太网端口和6个100M比特的快速以太网端口。这是实现物理上分离不同子网的极好方法,假如每一个端口都插入一个物理上不同的以太网交换机的话,它可满足企业的需要。然而,在数据中心中为每一个子网部署超过六个物理交换机都是不切合实际的。企业经常通过将一台独立的物理交换机分割为多个桥接组来使用虚拟局域网(VLAN),这便可以为任何现有的或未来的子网提供额外的端口。因为我们可以轻松地将一个千兆比特的端口连接到一个第三层的核心交换机、DMZ、外延网、临时的子网及企业需要的任何其它VLAN。不妨看一下第二个千兆比特的以太网卡和4个快速以太网接口卡。这里需要强化第二层交换机的安全,用以应对vlan跳跃攻击等问题,本文暂不讨论这个问题。即使对于汇聚的千兆以太网端口来说,用户也应当使用两个内建的快速以太网端口用于公共的互联网访问和状态失效转移的同步。
再看下图2:
上图展示了在一次状态失效转移配置中两个防火墙的使用。网络连接只能到达逻辑防火墙,其目的是为了避免非法的连接器,不过事实上每一个子网都有一个物理连接到达每一个防火墙。这些连接可以是物理上分离的电缆或单独的汇聚电缆,它通过独立的千兆比特连接到达用户的支持VLAN的交换机。PIX 525中的两个内置的快速以太网端口用于公共的互联网连接和状态失效转移的同步,而剩余的内部子网可以共享千兆以太网端口。这种配置要比使用独立的快速以太网端口的配置快得多。
防火墙的内部可以连接下面的子网:
◆核心3层交换机
◆DMZ
◆外延网
◆临时区域
◆其它
核心三层交换机一般通过VLAN之间的路由功能到达用户的核心交换机。这些VLAN可包含拥有众多用户的大量的VLAN、支持多个服务器群的VLAN(这些服务器并不直接暴露在互联网上)。在这个例子中,用户必须理解在这些服务器群的VLAN和用户VLAN之间并不存在什么防火墙,因为用户到服务器的通信是由核心三层的交换机发送的,绝不会通过防火墙。有一些公司将其所有的服务器都放置在防火墙之后并与用户分离,这有点儿太极端,不过,管理防火墙后面的有大量端口需求的多个内部服务器可能非常困难,所以这样做并不明智。 |
|
|
| 【收藏】【打印】【进入论坛】 |
|
|
|
|
| |
|
|
|
