防火墙的安全体系结构.ppt

5 3防火墙的安全体系结构 目前市场上的大多数防火墙为避免单一技术的不足 通常都是包过滤 Packetfilteringfirewall 电路级网关 Circuitlevelgateway 应用级网关 Applicationlevelgateway 状态监测防火墙 StatefulInspectionFirewall 这几种技术中的二 三种相结合的设计方式 采用的安全体系结构一般是在网络层进行IP包过滤 在应用层实现代理服务机制的体系结构 并实时的进行状态监控 这些防火墙将信息分析功能 包过滤功能 多种反电子欺骗手段等多种安全措施综合运用 根据系统管理员事先设定的安全规则 SecurityRules 保护内部网络 可以提供完善的安全性设置 通过高性能的网络核心进行访问控制 同时提供网络地址转换 NetworkAddressTranslation 透明的代理服务 TransparentProxy 信息过滤 Filter 双机热备份 流量控制和分析 用户认证授权等功能 这样防火墙标准配置提供四个网络接口 将网络信息划分为不同的安全通道 基于每个安全通道定义不同的安全策略 其结构如图5 15所示 图5 15网络结构示意图 内部网即内部网络是被保护的网络 不对外开放 也不对外提供任何服务 所以外部用户不能直接访问内部网络 并且检测不到内部网络的IP地址段 防火墙的主要目的就是屏蔽外部攻击 保证内部网络安全 DMZ区又称非军事化区 主要部署服务器 同时对外部网和内部网提供服务 属于的开放性区域 也是被攻击的对象 由于该部分是与内部网络相隔离开的 因此即使服务器受到攻击 也不会危及内部网络的安全 外部网即外部网络 主要指Internet 针对内部网络和DMZ区的大多数威胁和入侵都从这里发起 管理接口对防火墙的所有配置进行设置 方法是通过加密的信息通道对防火墙进行设置和操作 防火墙四个网络接口相对独立 管理员能够通过管理接口实现对四个网络接口间的通讯进行访问控制 监视和查询网络故障 并提供内部监控 日志审计等功能 以上安全体系结构的防火墙是目前市场上专业防火墙采用的典型配置 当然用户可以在此基础上针对自身网络的特点 依据实际情况灵活地使用防火墙的各个网络接口 例如 有些网络不提供DMZ区 高端防火墙一般都是以TCP IP和相关的应用协议为基础 分别在应用层 传输层 网络层与数据链路层对内外通讯进行监控 应用层主要于对连接所用的具体协议内容进行检测 传输层和网络层主要对IP ICMP TCP和UDP协议的安全策略进行访问控制 数据链路层实现MAC地址检查 防止IP欺骗 在没有安装防火墙时的网络结构图如下 图5 16没有安装防火墙时的网络结构图 安装防火墙后的网络结构图如下 图5 17安装防火墙时的网络结构图 通过防火墙安全体系结构的特点 用户一般对防火墙采取如下选择原则 设计和选用防火墙首先要明确哪些内部数据是必须保护的 这些数据的被侵入会造成的后果 并对内部网络采用分区域管理 对不同区域设置不同等级的安全级别 根据安全级别确定在该区域需要采用的防火墙安全标准 另外设计和选用防火墙还必须与网络接口相匹配 尽量防止所有可能遭受的威胁 防火墙作为网络安全体系的基础和核心控制设备 它位于受保护网络 一般为内部网络 的通信主干线 对通过通信主干线的任何通信行为进行安全处理 审核 针对不同情况采取控制数据流向 审计 抛弃数据包 报警反应等行动 同时也承担着繁重的通信任务即数据转发 由于防火墙本身处于网络系统中的核心位置和主要被攻击点 因此在品种繁多的防火墙品种中选用一个安全 稳定和可靠的防火墙产品 其重要性是不言而喻 直接关系到整个网络系统的安全与否 1 防火墙自身的安全性防火墙自身的安全主要体现在自身设计和管理两个方面 防火墙自身软件系统主要分为防火墙操作系统和应用系统 而设计的安全关键就是在于防火墙的操作系统 只有操作系统自身具有完整信任关系才可以保证系统的安全 而应用系统的安全又是以操作系统的安全为基础的 应用系统是衡量一个防火墙性能的关键 可见防火墙自身的安全实现也直接影响整体系统的安全性 通过经验只有那些防火墙采用了专用硬件平台 并采用基于安全的专用操作系统的防火墙才可能最大限度的保证防火墙自身安全 例如 在当前的网络攻中 拒绝服务攻击是使用频率最高的方法 很多大型网站遭受的大多是拒绝服务攻击 因此在为网站选择防火墙时一定要首先确保防火墙本身具有较强的抗拒绝服务攻击的能力 拒绝服务攻击一般分为两类 一类是由于操作系统或应用软件本身设计或编程上的缺陷而造成的 由此带来的攻击种类很多 只有通过打补丁的办法来解决 另一类是由于TCP IP协议本身的缺陷造成的 这种情况目前只有几种 但危害性非常大 很难从根本上解决 由于系统缺陷被攻击和病毒的直接攻击不同 这是因为防火墙没有病毒码可以作为安全策略的依据 并且防火墙在判断拒绝服务攻击时经常出现误报 抵抗拒绝服务攻击的能力必须作为衡量防火墙性能指标的主要标准之一 目前防火墙不能真正做到抵御拒绝服务攻击 只能是最大限度的降低拒绝服务攻击的危害 2 性能高效 系统可靠高性能是防火墙的一个重要指标 实际上用户不论使用何种防火墙都是以付出网络通信性能作为代价换取网络安全的 如果用户使用防火墙而带来了网络性能较大幅度下降的话 既是网络安全性再高 也是用户所无法接受的 而一个防火墙性能的高低又是同防火墙采用安全策略的规则数成反比的 一般来说 防火墙加载的安全策略超过上百条规则 其性能下降不应超过5 如果超过这个指标就必须考虑更换更高性能的防火墙了 另外还可以通过计算防火墙可以同时提供的连接数计算出一个指标 这个指标也可以作为衡量一个防火墙性能的标准 光有高性能还是不够的 在高性能的同时还用保证防火墙的可靠性 性能和可靠性是密不可分的两方面 不可偏废 因为防火墙的可靠性对防火墙这种访问控制设备来说极为重要 直接影响到防火墙的实用性 从系统设计上 提高可靠性的措施一般是提高本身部件的强健性 增大设计阈值和增加冗余部件 以及防火墙生产厂商采用较高的生产标准和设计冗余度 例如 使用更高的工业标淮作为生产标准 电源热备份等方法 当然采用高可靠性设计的防火墙 它的价格也是成倍提升的 一般就成熟的产品来说 系统的可靠性是最基本的要求 防火墙的可靠性情况从厂家的宣传材料中是看不出来的 但可以通过如下方法进行评估 是否经过国家权威的测评认证机构认证 例如 公安部计算机安全产品检测中心和中国国家信息安全测评认证中心 是否具有入网证明书 通过其他渠道获得消息 例如 同行之间的评价等 3 功能完善 并具有可扩展性采用单一技术的防火墙 一般都功能单一 缺点明显 建议在选取防火墙时尽量选择那些功能多样 可同时实现多种防火墙技术结合运用的防火墙 另外在网络中部署新的网络设备是一件非常复杂的事件 因为一般这意味着修改几乎全部现有设备的配置 重新规划网络 同时还有可能造成运行不稳定 网络经过一段时间运行后 往往网络内部情况复杂 所作的改动需要一段整合期 所以 用户应尽量选用那些具有良好扩展功能的防火墙 例如 良好的管理界面也是扩展性的一个方面 一般用户在制定安全政策时往往有些需求不是每款防火墙都会提供的 常见的需求主要有 地址转换 IPaddresstranslation 地址转换的作用是隐藏内部网络真正的P地址 防止黑客直接攻击内部网络 还可以让内部使用保留的地址 这对许多地址不足的企业是十分重要的 虚拟企业网络 VPN VPN指为那些有权直接透过防火墙访问内部资源的外部用户建立连接并对网络传输的内容加密 实际上是建立了一个虚拟通道 以使用户感觉是在同一个网络上 可以安全且不受约束地互相存取 例如 总公司与分公司之间或公司与外出员工之间的网络连接就是属于这一情况 限制只有特定用户才有权限发送E mail FTP只能对文件进行GET操作 而不能进行PUT操作 限制同时上网人数和限制不同用户的使用时间段等 网络结构不是一成不变的 例如 在网络建设之初 一般规模都比较小只需要在内部网络和外部网络之间部署防火墙 但随着网络发展 可能网络规模会不断扩大 这时就需要对内部网络划分子网 并根据实际情况对子网确定安全级别 这时一般就需要在这些子网之间部署相应的防火墙 另外随着网络技术的发展和攻击手段的变化 防火墙也必须不断地进行升级 因此支持软件升级也是十分重要的 防火墙的功能评估及维护 防火墙对网络的安全起到了一定的保护作用 作为网络安全的一种防护手段 建立合理的安全规划 配置有效的防火墙部署策略 通常的实施流程 风险分析 需求分析 合理配置 Web服务器装在防火墙内的优点是Web服务器受到安全保护 不容易受到攻击 也不易为外部网络提供Web服务 一般这种Web服务器站点只对内网提供Web服务 例如 针对内部网和Web站点的安全 根据防火墙和Web服务器所处的位置可以分为Web服务器置于防火墙之内 Web服务器置于防火墙之外和Web服务器置于防火墙之上3种配置 Web服务器置于防火墙之外 为保证内部网络的安全 将Web服务器完全置于防火墙之外是比较合适的 Web服务器置于防火墙之外时Web服务器不受保护 但内部网则处于完全保护之中 Web服务器置于防火墙之上 将Web服务器装在防火墙上主要包括利用代理服务器 双重防火墙 利用成对的 入 出 服务器提供对信息访问的控制 允许防火墙传递对80端口的请求 访问请求会被限制到Web站点返回 或者可以在防火墙机器上安装代理服务器 来自Web服务器的所有访问请求在被代理服务器截获之后才传给服务器 防火墙设置是否成功的关键是制定访问控制策略 安全策略 确立安全规则 例如 内部用户可以访问因特网Web站点 FTP站点或发送SMTP电子邮件 但只允许来自因特网的SMTP邮件进入内部网络 当然一个内部网路的不同部分之间也可以使用访问控制策略 例如 外派员工可以通过VPN同内部网络进行安全连接 或允许一定的商业伙伴使用内部网络的部分资源 这样防火墙用户可能需要限制此类连接的访问范围 访问控制策略规定了网络不同部分之间允许的数据流向 确定哪些类型的数据流是允许的 哪些是不允许的 在制定访问控制策略时 用户可以使用访问控制描述符进行说明 见下表 评价防火墙性能不能仅仅认为是安全防护作用 还要看防火墙阻挡或捕捉到恶意攻击和非法访问的蛛丝马迹的能力 按防火墙状态级别来分 一般有五种状态 1 未受伤害能够正常工作 2 关闭并重新启动 同时恢复到正常工作状态 3 关闭并重新启动 同时恢复到防火墙的初始设置 4 禁止所有的数据通行 5 允许所有的数据通行 此时防火墙处于完全失效状态 防火墙必须进行维护 防火墙投入使用后 需要网络管理员进行大量的日常工作维护 主要的维护工作有以下几种 1 数据备份 日常管理必须对防火墙的配置数据进行备份 包括每次更改后的备份 一旦防火墙出现故障 则可迅速恢复 2 随时监测 实时监测防火墙的工作情况 及时检查防火墙工作状态是否正常 是否有入侵者在活动 可以使用配备监测软件的专用计算机在监测点上进行定期或长期监测 记录下监测到的信息并进行分析 以及定期检查日志文件 另外还需要经常定期对软件进行更新 升级版本 攻击正是基于这类防火墙对II 地址缺乏识别和验证的机制 通常情况下 从外部网络直接攻击防火墙入侵内部网络的可能性非常小 有效的攻击都是从内部网络的相关子网发起的 例如 包过滤防火墙主要是以IP地址作为判断数据包合法性的主要依据 但许多包过滤防火墙无法识别数据包到底来自哪个网络接口 只能根据数据包中的IP地址进行合法性审核 攻击者可以通过伪装IP地址 就可以通过防火墙的合法性审核 使防火墙将伪装的数据包误认为是来自内部网络的合法数据包 从而实现IP地址欺骗 防火墙采用的安全体系结构直接关系到防火墙系统的功能实现 是整个防火墙系统正常运行的前提 但我们还要注意到无论采用那种安全体系结构的防火墙系统 防火墙都只能防护经过其本身的非法访问和攻击 而对不经防火墙的访问和攻击则没有作用