當(dāng)前位置 : 首頁>軟件學(xué)院>網(wǎng)絡(luò)技術(shù)>黑客攻防>正文

企業(yè)防火墻構(gòu)建的誤區(qū)和實(shí)施策略

http://m.yibo1263.com　2008-8-15 7:47:00 　來源:51CTO 　編輯:葉子

　　實(shí)施一套良好的防火墻策略

　　安全防火墻架構(gòu)的首要關(guān)鍵組件是策略的設(shè)計(jì)。實(shí)現(xiàn)這些目標(biāo)的最為重要的概念是使用原則的需要。在防火墻的策略中，這只是意味著除非有一個(gè)明確的原因要求使用某種服務(wù)，這種服務(wù)默認(rèn)地必須被阻止或拒絕。為實(shí)施默認(rèn)的服務(wù)阻止規(guī)則，在所有策略集的末尾只需要全局性地實(shí)施一種防火墻策略，即丟棄一切的規(guī)則，意思就是防火墻的默認(rèn)行為是丟棄來自任何源到達(dá)任何目的地的任何服務(wù)的數(shù)據(jù)包。這條規(guī)則在任何的防火墻策略中是最后一條規(guī)則，因?yàn)樵谀撤N通信在有機(jī)會(huì)進(jìn)入之前，它已經(jīng)被封殺了。一旦實(shí)施了這種基本的行為，就需要對(duì)特定的源、特定的服務(wù)、對(duì)特定的目標(biāo)地址的訪問等實(shí)施在一些精心設(shè)計(jì)的規(guī)則。一般而言，這些規(guī)則越精密，網(wǎng)絡(luò)也就越安全。

　　例如，用戶可被準(zhǔn)許使用對(duì)外的一些常見服務(wù)端口，如HTTP，F(xiàn)TP，媒體服務(wù)等，但其它的服務(wù)和程序除非有了明確的原因才準(zhǔn)許通信。在根據(jù)企業(yè)的需要找到一種特別的原因后，就需要在驗(yàn)證和核準(zhǔn)后增加一些嚴(yán)格控制的針對(duì)性規(guī)則。管理員們常犯的一個(gè)錯(cuò)誤是他們將用戶的權(quán)限擴(kuò)展到了服務(wù)和DMZ網(wǎng)絡(luò)。適用于用戶的向外轉(zhuǎn)發(fā)數(shù)據(jù)的規(guī)則通常并不適用于服務(wù)器。在認(rèn)真考慮之后，管理員會(huì)找到Web服務(wù)器并不需要瀏覽Web的理由。服務(wù)器就是服務(wù)器，它主要是提供服務(wù)，而很少成為客戶端。一個(gè)根本的問題是DMZ或服務(wù)器幾乎不應(yīng)當(dāng)首先發(fā)起通信。服務(wù)器典型情況下會(huì)接受請(qǐng)求，但幾乎不可能接受來自公共的互聯(lián)網(wǎng)的請(qǐng)求服務(wù)，除非是企業(yè)合伙人的XML及EDI應(yīng)用。其它的例外還有一些，如提供驅(qū)動(dòng)程序和軟件更新的合法廠商的站點(diǎn)，但所有的例外，都應(yīng)當(dāng)嚴(yán)格而精密地定義。遵循這些嚴(yán)格的標(biāo)準(zhǔn)可以極大地減少服務(wù)器被損害的可能，最好能達(dá)到這樣一種程度，只要部署了這種策略，即使服務(wù)器沒有打補(bǔ)丁，也能防止內(nèi)部子網(wǎng)的蠕蟲傳播。

　　實(shí)施良好的防火墻網(wǎng)絡(luò)設(shè)計(jì)

　　防火墻安全的另外一個(gè)關(guān)鍵組件是物理網(wǎng)絡(luò)的拓?fù)�。如下圖1：

　　

　　上圖展示的是并不太先進(jìn)的Pix525，筆者用它只是為了說明原理。它支持2千兆比特的以太網(wǎng)端口和6個(gè)100M比特的快速以太網(wǎng)端口。這是實(shí)現(xiàn)物理上分離不同子網(wǎng)的極好方法，假如每一個(gè)端口都插入一個(gè)物理上不同的以太網(wǎng)交換機(jī)的話，它可滿足企業(yè)的需要。然而，在數(shù)據(jù)中心中為每一個(gè)子網(wǎng)部署超過六個(gè)物理交換機(jī)都是不切合實(shí)際的。企業(yè)經(jīng)常通過將一臺(tái)獨(dú)立的物理交換機(jī)分割為多個(gè)橋接組來使用虛擬局域網(wǎng)（VLAN），這便可以為任何現(xiàn)有的或未來的子網(wǎng)提供額外的端口。因?yàn)槲覀兛梢暂p松地將一個(gè)千兆比特的端口連接到一個(gè)第三層的核心交換機(jī)、DMZ、外延網(wǎng)、臨時(shí)的子網(wǎng)及企業(yè)需要的任何其它VLAN。不妨看一下第二個(gè)千兆比特的以太網(wǎng)卡和4個(gè)快速以太網(wǎng)接口卡。這里需要強(qiáng)化第二層交換機(jī)的安全，用以應(yīng)對(duì)vlan跳躍攻擊等問題，本文暫不討論這個(gè)問題。即使對(duì)于匯聚的千兆以太網(wǎng)端口來說，用戶也應(yīng)當(dāng)使用兩個(gè)內(nèi)建的快速以太網(wǎng)端口用于公共的互聯(lián)網(wǎng)訪問和狀態(tài)失效轉(zhuǎn)移的同步。

　　再看下圖2：

　　

　　上圖展示了在一次狀態(tài)失效轉(zhuǎn)移配置中兩個(gè)防火墻的使用。網(wǎng)絡(luò)連接只能到達(dá)邏輯防火墻，其目的是為了避免非法的連接器，不過事實(shí)上每一個(gè)子網(wǎng)都有一個(gè)物理連接到達(dá)每一個(gè)防火墻。這些連接可以是物理上分離的電纜或單獨(dú)的匯聚電纜，它通過獨(dú)立的千兆比特連接到達(dá)用戶的支持VLAN的交換機(jī)。PIX 525中的兩個(gè)內(nèi)置的快速以太網(wǎng)端口用于公共的互聯(lián)網(wǎng)連接和狀態(tài)失效轉(zhuǎn)移的同步，而剩余的內(nèi)部子網(wǎng)可以共享千兆以太網(wǎng)端口。這種配置要比使用獨(dú)立的快速以太網(wǎng)端口的配置快得多。

　　防火墻的內(nèi)部可以連接下面的子網(wǎng)：

　　◆核心3層交換機(jī)

　　◆DMZ

　　◆外延網(wǎng)

　　◆臨時(shí)區(qū)域

　　◆其它

　　核心三層交換機(jī)一般通過VLAN之間的路由功能到達(dá)用戶的核心交換機(jī)。這些VLAN可包含擁有眾多用戶的大量的VLAN、支持多個(gè)服務(wù)器群的VLAN(這些服務(wù)器并不直接暴露在互聯(lián)網(wǎng)上)。在這個(gè)例子中，用戶必須理解在這些服務(wù)器群的VLAN和用戶VLAN之間并不存在什么防火墻，因?yàn)橛脩舻椒⻊?wù)器的通信是由核心三層的交換機(jī)發(fā)送的，絕不會(huì)通過防火墻。有一些公司將其所有的服務(wù)器都放置在防火墻之后并與用戶分離，這有點(diǎn)兒太極端，不過，管理防火墻后面的有大量端口需求的多個(gè)內(nèi)部服務(wù)器可能非常困難，所以這樣做并不明智。

本新聞共3頁,當(dāng)前在第2頁 1 2 3

【收藏】【打印】【進(jìn)入論壇】

相關(guān)文章：

亚洲AV无码乱码在线观看不卡|最新大伊香蕉精品视频在线|亚洲不卡av一区二区|国产美女无遮挡免费