防火牆是指設置在不同網絡(如可信任的企業內部網和不可信的公共網)或網絡安全域之間的一系列部件的組合。它是不同網絡或網絡安全域之間信息的唯一出入口,通過監測、限制、更改跨越防火牆的數據流,儘可能地對外部屏蔽網絡內部的信息、結構和運行狀況,有選擇地接受外部訪問,對內部強化設備監管、控制對服務器與外部網絡的訪問,在被保護網絡和外部網絡之間架起一道屏障,以防止發生不可預測的、潛在的破壞性侵入。防火牆有兩種,硬件防火牆和軟件防火牆,他們都能起到保護作用並篩選出網絡上的***者。在這裏主要給大家介紹一下我們在企業網絡安全實際運用中所常見的硬件防火牆。
一、防火牆基礎原理
1、防火牆技術
防火牆通常使用的安全控制手段主要有包過濾、狀態檢測、代理服務。下面,我們將介紹這些手段的工作機理及特點,並介紹一些防火牆的主流產品。
包過濾技術是一種簡單、有效的安全控制技術,它通過在網絡間相互連接的設備上加載允許、禁止來自某些特定的源地址、目的地址、TCP端口號等規則,對通過設備的數據包進行檢查,限制數據包進出內部網絡。包過濾的最大優點是對用戶透明,傳輸性能高。但由於安全控制層次在網絡層、傳輸層,安全控制的力度也只限於源地址、目的地址和端口號,因而只能進行較爲初步的安全控制,對於惡意的擁塞***、內存覆蓋***或病毒等高層次的***手段,則無能爲力。
狀態檢測是比包過濾更爲有效的安全控制方法。對新建的應用連接,狀態檢測檢查預先設置的安全規則,允許符合規則的連接通過,並在內存中記錄下該連接的相關信息,生成狀態表。對該連接的後續數據包,只要符合狀態表,就可以通過。這種方式的好處在於:由於不需要對每個數據包進行規則檢查,而是一個連接的後續數據包(通常是大量的數據包)通過散列算法,直接進行狀態檢查,從而使得性能得到了較大提高;而且,由於狀態表是動態的,因而可以有選擇地、動態地開通1024號以上的端口,使得安全性得到進一步地提高。
2、防火牆工作原理
(1)包過濾防火牆
包過濾防火牆一般在路由器上實現,用以過濾用戶定義的內容,如IP地址。包過濾防火牆的工作原理是:系統在網絡層檢查數據包,與應用層無關。這樣系統就具有很好的傳輸性能,可擴展能力強。但是,包過濾防火牆的安全性有一定的缺陷,因爲系統對應用層信息無感知,也就是說,防火牆不理解通信的內容,所以可能被***所攻破。
2)應用網關防火牆
應用網關防火牆檢查所有應用層的信息包,並將檢查的內容信息放入決策過程,從而提高網絡的安全性。然而,應用網關防火牆是通過打破客戶機/服務器模式實現的。每個客戶機/服務器通信需要兩個連接:一個是從客戶端到防火牆,另一個是從防火牆到服務器。另外,每個代理需要一個不同的應用進程,或一個後臺運行的服務程序,對每個新的應用必須添加針對此應用的服務程序,否則不能使用該服務。所以,應用網關防火牆具有可伸縮性差的缺點。(圖2)
(3)狀態檢測防火牆
狀態檢測防火牆基本保持了簡單包過濾防火牆的優點,性能比較好,同時對應用是透明的,在此基礎上,對於安全性有了大幅提升。這種防火牆摒棄了簡單包過濾防火牆僅僅考察進出網絡的數據包,不關心數據包狀態的缺點,在防火牆的核心部分建立狀態連接表,維護了連接,將進出網絡的數據當成一個個的事件來處理。可以這樣說,狀態檢測包過濾防火牆規範了網絡層和傳輸層行爲,而應用代理型防火牆則是規範了特定的應用協議上的行爲。(圖3)
(4)複合型防火牆
複合型防火牆是指綜合了狀態檢測與透明代理的新一代的防火牆,進一步基於ASIC架構,把防病毒、內容過濾整合到防火牆裏,其中還包括***、IDS功能,多單元融爲一體,是一種新突破。常規的防火牆並不能防止隱蔽在網絡流量裏的***,在網絡界面對應用層掃描,把防病毒、內容過濾與防火牆結合起來,這體現了網絡與信息安全的新思路。它在網絡邊界實施OSI第七層的內容掃描,實現了實時在網絡邊緣佈署病毒防護、內容過濾等應用層服務措施。(圖4)
3、四類防火牆的對比
包過濾防火牆:包過濾防火牆不檢查數據區,包過濾防火牆不建立連接狀態表,前後報文無關,應用層控制很弱。
應用網關防火牆:不檢查IP、TCP報頭,不建立連接狀態表,網絡層保護比較弱。
狀態檢測防火牆:不檢查數據區,建立連接狀態表,前後報文相關,應用層控制很弱。
複合型防火牆:可以檢查整個數據包內容,根據需要建立連接狀態表,網絡層保護強,應用層控制細,會話控制較弱。
4、防火牆術語
網關:在兩個設備之間提供轉發服務的系統。網關是互聯網應用程序在兩臺主機之間處理流量的防火牆。這個術語是非常常見的。
DMZ非軍事化區:爲了配置管理方便,內部網中需要向外提供服務的服務器往往放在一個單獨的網段,這個網段便是非軍事化區。防火牆一般配備三塊網卡,在配置時一般分別分別連接內部網,internet和DMZ。
吞吐量:網絡中的數據是由一個個數據包組成,防火牆對每個數據包的處理要耗費資源。吞吐量是指在不丟包的情況下單位時間內通過防火牆的數據包數量。這是測量防火牆性能的重要指標。
最大連接數:和吞吐量一樣,數字越大越好。但是最大連接數更貼近實際網絡情況,網絡中大多數連接是指所建立的一個虛擬通道。防火牆對每個連接的處理也好耗費資源,因此最大連接數成爲考驗防火牆這方面能力的指標。
數據包轉發率:是指在所有安全規則配置正確的情況下,防火牆對數據流量的處理速度。
SSL:SSL(Secure Sockets Layer)是由Netscape公司開發的一套Internet數據安全協議,當前版本爲3.0。它已被廣泛地用於Web瀏覽器與服務器之間的身份認證和加密數據傳輸。SSL協議位於TCP/IP協議與各種應用層協議之間,爲數據通訊提供安全支持。
網絡地址轉換:網絡地址轉換(NAT)是一種將一個IP地址域映射到另一個IP地址域技術,從而爲終端主機提供透明路由。NAT包括靜態網絡地址轉換、動態網絡地址轉換、網絡地址及端口轉換、動態網絡地址及端口轉換、端口映射等。NAT 常用於私有地址域與公用地址域的轉換以解決IP地址匱乏問題。在防火牆上實現NAT後,可以隱藏受保護網絡的內部拓撲結構,在一定程度上提高網絡的安全性。如果反向NAT提供動態網絡地址及端口轉換功能,還可以實現負載均衡等功能。
堡壘主機:一種被強化的可以防禦進攻的計算機,被暴露於因特網之上,作爲進入內部網絡的一個檢查點,以達到把整個網絡的安全問題集中在某個主機上解決,從而省時省力,不用考慮其它主機的安全的目的。
二、市場上常見的硬件防火牆
(1)NetScreen 208 Firewall
NetScreen科技公司推出的NetScreen防火牆產品是一種新型的網絡安全硬件產品。NetScreen採用內置的ASIC技術,其安全設備具有低延時、高效的IPSec加密和防火牆功能,可以無縫地部署到任何網絡。設備安裝和操控也是非常容易,可以通過多種管理界面包括內置的WebUI界面、命令行界面或NetScreen中央管理方案進行管理。NetScreen將所有功能集成於單一硬件產品中,它不僅易於安裝和管理,而且能夠提供更高可靠性和安全性。由於NetScreen設備沒有其它品牌產品對硬盤驅動器所存在的穩定性問題,所以它是對在線時間要求極高的用戶的最佳方案。採用NetScreen設備,只需要對防火牆、***和流量管理功能進行配置和管理,減省了配置另外的硬件和複雜性操作系統的需要。這個做法縮短了安裝和管理的時間,並在防範安全漏洞的工作上,省略設置的步驟。NetScreen-100 Firewall比適合中型企業的網絡安全需求。
(2)Cisco Secure PIX 515-E Firewall
(2)Cisco Secure PIX 515-E Firewall
Cisco Secure PIX防火牆是Cisco防火牆家族中的專用防火牆設施。Cisco Secure PIX 515-E防火牆系通過端到端安全服務的有機組合,提供了很高的安全性。適合那些僅需要與自己企業網進行雙向通信的遠程站點,或由企業網在自己的企業防火牆上提供所有的Web服務的情況。Cisco Secure PIX 515-E與普通的CPU密集型專用代理服務器(對應用級的每一個數據包都要進行大量處理)不同,Cisco Secure PIX 515-E防火牆採用非UNIX、安全、實時的內置系統。可提供擴展和重新配置IP網絡的特性,同時不會引起IP地址短缺問題。NAT既可利用現有IP地址,也可利用Internet指定號碼機構[IANA]預留池[RFC.1918]規定的地址來實現這一特性。Cisco Secure PIX 515-E還可根據需要有選擇性地允許地址是否進行轉化。CISCO保證NAT將同所有其它的PIX防火牆特性(如多媒體應用支持)共同工作。Cisco Secure PIX 515-E Firewall比適合中小型企業的網絡安全需求。
(3)天融信網絡衛士NGFW4000-S防火牆
北京天融信公司的網絡衛士是我國第一套自主版權的防火牆系統,目前在我國電信、電子、教育、科研等單位廣泛使用。它由防火牆和管理器組成。網絡衛士NGFW4000-S防火牆是我國首創的核檢測防火牆,更加安全更加穩定。網絡衛士 NGFW4000-S防火牆系統集中了包過濾防火牆、應用代理、網絡地址轉換(NAT)、用戶身份鑑別、虛擬專用網、Web頁面保護、用戶權限控制、安全審計、***檢測、流量控制與計費等功能,可以爲不同類型的Internet接入網絡提供全方位的網絡安全服務。網絡衛士防火牆系統是中國人自己設計的,因此管理界面完全是中文化的,使管理工作更加方便,網絡衛士NGFW4000-S防火牆的管理界面是所有防火牆中最直觀的。網絡衛士NGFW4000-S防火牆比適合中型企業的網絡安全需求。
(4)東軟NetEye 4032防火牆
NetEye 4032防火牆是NetEye防火牆系列中的最新版本,該系統在性能,可靠性,管理性等方面大大提高。其基於狀態包過濾的流過濾體系結構,保證從數據鏈路層到應用層的完全高性能過濾,可以進行應用級插件的及時升級,***方式的及時響應,實現動態的保障網絡安全。NetEye防火牆4032對流過濾引擎進行了優化,進一步提高了性能和穩定性,同時豐富了應用級插件、安全防禦插件,並且提升了開發相應插件的速度。網絡安全本身是一個動態的,其變化非常迅速,每天都有可能有新的***方式產生。安全策略必須能夠隨着***方式的產生而進行動態的調整,這樣才能夠動態的保護網絡的安全。基於狀態包過濾的流過濾體系結構,具有動態保護網絡安全的特性,使NetEye防火牆能夠有效的抵禦各種新的***,動態保障網絡安全。東軟NetEye 4032防火牆比適合中小型企業的網絡安全需求。
三、防火牆的基本配置
下面我以國內防火牆第一品牌天融信NGFW 4000爲例給各位講解一下在一個典型的網絡環境中應該如何來配置防火牆。
NGFW4000有3個標準端口,其中一個接外網(Internet網),一個接內網,一個接DMZ區,在DMZ區中有網絡服務器。安裝防火牆所要達到的效果是:內網區的電腦可以任意訪問外網,可以訪問DMZ中指定的網絡服務器, Internet網和DMZ的電腦不能訪問內網;Internet網可以訪問DMZ中的服務器。
1、配置管理端口
天融信網絡衛士NGFW4000防火牆是由防火牆和管理器組成的,管理防火牆都是通過網絡中的一臺電腦來實現的。防火牆默認情況下,3個口都不是管理端口,所以我們先要通過串口把天融信網絡衛士NGFW4000防火牆與我們的電腦連接起來,給防火牆指定一個管理端口,以後對防火牆的設置就可以通過遠程來實現了。
使用一條串口線把電腦的串口(COM1)與NGFW4000防火牆的console 口連接起來,啓動電腦的"超級終端",端口選擇COM1,通信參數設置爲每秒位數9600,數據位8,奇偶校驗無,停止位1,數據流控制無。進入超級終端的界面,輸入防火牆的密碼進入命令行格式。
定義管理口:if eth1 XXX.XXX.XXX.XXX 255.255.255.0
修改管理口的GUI登錄權限: fire client add topsec -t gui -a 外網 -i 0.0.0.0-255.255.255.255
2、使用GUI管理軟件配置防火牆
安裝天融信防火牆GUI管理軟件"TOPSEC集中管理器",並建立NGFW4000管理項目,輸入防火牆管理端口的IP地址與說明。然後登錄進入管理界面。
(1)定義網絡區域
Internet(外網):接在eth0上,缺省訪問策略爲any(即缺省可讀、可寫),日誌選項爲空,禁止ping、GUI、telnet。
Intranet(內網):接在eth1上,缺省訪問策略爲none(不可讀、不可寫),日誌選項爲記錄用戶命令,允許ping、GUI、telnet。
DMZ區:接在eth2上, 缺省訪問策略爲none(不可讀、不可寫),日誌選項爲記錄用戶命令,禁止ping、GUI、telnet。
(2)定義網絡對象
一個網絡節點表示某個區域中的一臺物理機器。它可以作爲訪問策略中的源和目的,也可以作爲通信策略中的源和目的。網絡節點同時可以作爲地址映射的地址池使用,表示地址映射的實際機器,詳細描述見通信策略。
子網表示一段連續的IP地址。可以作爲策略的源或目的,還可以作爲NAT的地址池使用。如果子網段中有已經被其他部門使用的IP,爲了避免使用三個子網來描述技術部使用的IP地址,可以將這兩個被其他部門佔用的地址在例外地址中說明。
爲了配置訪問策略,先定義特殊的節點與子網:
FTP_SERVER:代表FTP服務器,區域=DMZ,IP地址= XXX.XXX.XXX.XXX。
HTTP_SERVER:代表HTTP服務器,區域=DMZ,IP地址= XXX.XXX.XXX.XXX。
MAIL_SERVER:代表郵件服務器,區域=DMZ,IP地址= XXX.XXX.XXX.XXX。
V_SERVER:代表外網訪問的虛擬服務器,區域=Internet,IP=防火牆IP地址。
inside:表示內網上的所有機器,區域=Intranet,起始地址=0.0.0.0,結束地址=255.255.255.255。
outside:表示外網上的所有機器,區域=Internet,起始地址=0.0.0.0,結束地址=255.255.255.255。
(3)配置訪問策略
(3)配置訪問策略
在DMZ區域中增加三條訪問策略:
A、訪問目的=FTP_SERVER,目的端口=TCP 21。源=inside,訪問權限=讀、寫。源=outside,訪問權限=讀。這條配置表示內網的用戶可以讀、寫FTP服務器上的文件,而外網的用戶只能讀文件,不能寫文件。
B、訪問目的=HTTP_SERVER,目的端口=TCP 80。源=inside+outside,訪問權限=讀、寫。這條配置表示內網、外網的用戶都可以訪問HTTP服務器。
C、訪問目的=MAIL_SERVER,目的端口=TCP 25,TCP 110。源=inside+outside,訪問權限=讀、寫。這條配置表示內網、外網的用戶都可以訪問MAIL服務器。
(4)通信策略
由於內網的機器沒有合法的IP地址,它們訪問外網需要進行地址轉換。當內部機器訪問外部機器時,可以將其地址轉換爲防火牆的地址,也可以轉換成某個地址池中的地址。增加一條通信策略,目的=outside,源=inside,方式= NAT,目的端口=所有端口。如果需要轉換成某個地址池中的地址,則必須先在Internet中定義一個子網,地址範圍就是地址池的範圍,然後在通信策略中選擇NAT方式,在地址池類型中選擇剛纔定義的地址池。
服務器也沒有合法的IP地址,必須依靠防火牆做地址映射來提供對外服務。增加通信策略。
A、目的=V_SERVER,源=outside,通信方式=MAP,指定協議=TCP,端口映射21->21,目標機器=FTP_SERVER。
B、目的=V_SERVER,源=outside,通信方式=MAP,指定協議=TCP,端口映射80->80,目標機器=HTTP_SERVER。
C、目的=V_SERVER,源=outside,通信方式=MAP,指定協議=TCP,端口映射25->25,目標機器=MAIL_SERVER。
D、目的=V_SERVER,源=outside,通信方式=MAP,指定協議=TCP,端口映射110->110,目標機器=MAIL_SERVER。
(5)特殊端口
在防火牆默認的端口定義中沒有我們所要用到的特殊端口,就需要我們手工的添加這些特殊端口了。在防火牆集中管理器中選擇"高級管理">"特殊對象">"特殊端口",將彈出特殊端口的定義界面,點"定義新對象",輸入特殊端口號與定義區域即可。
(6)其他配置
最後進入"工具"選項,定義防火牆的管理員、權限以及與IDS的聯動等。(圖8)
來源:中國IT實驗室