|
防火墙系统解决方案
|
| □ 区隔网络不同安全区域的防御性设备,例如:互联网络(Internet)与企业内部网络(Intranet)之间。
|
|
| □ 管理所有在不同安全区域间的网络连线。 |
|
采用时间
|
□ 内部网络连上互联网络时
□ 想要管制员工互联网络的访问权限时
□ 想要以互联网络建立企业虚拟私有网络(VPN)时
□ 想要建立电子商业应用时
□ 想要保护特定主机时
□ 要连上无法信任的网络连线单位时 |
防火墙的设计及技术 |
| 所有防火墙的设计精髓主要在于网络的「区隔」及连线的「管理」,其次为其坚强的操作系统及通讯堆叠的设计,以确保防火墙本身的安全性,才能保障不同安全区域间的安全以及确实执行企业安全政策。 |
| □ 区隔的技术 |
| 最安全最简单的作法便是将网络的实体线路切断。 |
|
| 然而完全的中断却否定了网络本身的优势及便利性,所以设计防火墙系统在不同区域间执行连线的管理。 |
|
| 防火墙依据其所能区隔网络的数量而有以下的分类: |
1.Dual-Home:早期的防火墙正如上图只可以将网络区隔为二段。
2.Tri-Home:在防火墙上增加第三片网卡的网络,称SSN(Secure
Server Network)或 DMZ(Delimiation Military Zone)。
3.Multi-Home:支援区隔多段网络的防火墙。 |
Dual-Home |
Tri-Home |
Multi-Home |
|
| □ 管理的技术 |
| 管理什么呢?不外乎是人、事、时、地、物,更白话的描述就是控制什么人?在什么时侯?可以做什么事情?从管理网络连线的角度来说,便是管理下列事项:
|
1.连线来源地址(IP地址、主机名称、网域名称、子网络区段)
2.连线目的地址(IP地址、主机名称、网域名称、子网络区段)
3.网络服务的类别(HTTP、Telnet、FTP、SMTP...)
4.连线时间
5.连线的方向(Ext→Int、Int→Ext...)
6.连线的身份(Username/Password) |
| □ 防火墙操作系统的技术 |
| 不管是软体或者硬体防火墙的设备都必须考虑防火墙的操作系统环境是否安全,因为如果采用不够安全的防火墙操作系统,又如何能相信防火墙足以保护网络的安全呢?目前在市场上的防火墙大都建构在下列类型的操作系统中,其优缺点亦分述如下:
|
操作系统名称 |
操作系统说明 |
优点 |
缺点 |
一般通用功能的操作系统
General Purpose OS |
设计的要求是全功能、开放式、可以整合所有的应用系统。
例如:Solaris、AIX、HP-UX、IRIX、UnixWare、Windows NT等。 |
1.防火墙可扩充的应用较多
2.防火墙厂商不必再意硬体相容性的问题
3.防火墙管理者不必学习另一种操作系统 |
1.防火墙可能继承原开放操作的安全漏洞
2.使用者必须很熟悉操作系统的管理及设定
3.硬件通常为较昂贵专属工作站
4.必须额外购买操作系统
|
经过安全强化的操作系统
Security Harden OS |
通常是由Unix操作系统改写而成的,去除掉防火墙上不 要及具安全威胁的元件并增强操作系统运作的安全性。
例如:Sidewinder及SecureZone的SecureOS |
1.操作系统安全性较高
2.执行效率较高
3.可善用原操作系统的扩充能力
4.防火墙可扩充功能较多 |
1.防火墙支援的硬体相容性较差
2.为讲究安全性,扩充功能更新速度较慢 |
厂商独自开发的操作系统
Proprietary OS |
由防火墙厂商自行开发的操作系统,通常一般硬体防火墙所使用的操作系统。
例如:Cisco IOS |
1.操作系统最精简,执行效率最佳
2.操作系统的安全性是基于操作
3.系统的封闭性及独特性
4.稳定性较佳
|
1.由于操作系统的独特性难以整合扩充既有的网络应用
2.由于太过精简功能受到限制
3.通常只能做到封包过滤功能 |
|
| □ 通讯堆叠的技术 |
| 由于防火墙主要的功能是在区隔保护网络通讯及连线管理,所以防火墙的「安全级数」及「执行效率」与防火墙所采用的通讯堆叠技术有著相当密切的关系,防火墙的通讯堆叠可检查到的资料多寡正关系著防火墙的「安全级数」及「执行效率」,以OSI的七层通讯堆叠为例:
|
|
| 基本上防火墙所采用的通讯堆叠技术愈在高层,所能检查到的通讯资料愈多,其安全级数也就愈高,然而其执行效率反而较差。反之如果火墙所采用的通讯堆叠技术愈在低层,所能检查到的通讯资料愈少,其安全级数也就愈低,然而其执行效率反而较佳。
|
| 目前在市场上可以看到下列类型的防火墙技术,便是以其所采用的通讯堆叠而区分: |
1. 封包过滤技术(Packet
Filtering)
2. 状态检查技术(Stateful Inspection)
3. 传输层匣道器技术(Circuit-Level Gateway)
4. 应用层匣道器技术(Application-Level Gateway) |
| 防火墙的安全性除了与通讯堆叠的高低有关之外,有些厂商甚至将通讯堆叠加以区隔以增加其通讯的安全性。 |
|
| □ 网络地址转换技术(NAT: Network
Address Translation) |
| 每当在内部网络的电脑要连上互联网络时,防火墙会隐藏其IP地址并以防火墙的外部IP地址来取代。外部用户无法得知你的内部网络的地址资讯,因为它是被防火墙的外部IP地址所隐藏了。这个转换内部网络IP地址的动作就叫做网络地址转换(NAT)。 |
详细说明 |
| □ 多重地址转换技术(MAT:
Multiple Address Translation) |
| 当SSN/DMZ或内部网络提供多部相同的网络服务时必须通过多重地址转换技术利用不同的外部IP地址将网络服务导向至内部的服务器上。通过MAT可以保护内部网络服务器的安全,也可以分散外部网络服务到不同的IP地址。
|
|
防火墙的选购功能 |
| □ 虚拟私有网络技术(VPN: Virturl
Private Network) |
| 所谓虚拟私有网络是指在低成本的公众网络骨干上建构安全的公司内部企业网络,以往企业分散在各地的分公司必须通过数据专线将公司内部网络互相串连起来,连线成本相当高。在现今互联网络遍及全球的通讯优势,企业可通过互联网络来达到企业内部资料传递的目的,防火墙上如果可以加入VPN功能可以让企业很容易又安全地在互联网络上建置虚拟私有网络。
|
|
| 当两部防火墙建的VPN建构起来后,不但所有在VPN上通讯的资料完全加密外,对于企网分散在各地的分公司使用者完全不会感受任何的阻碍,可以很方便且安全完成通讯,似乎防火墙及VPN通道变成了一个路由器般将各个分分司都串连起来。
|
|
| 虚拟私有网络除了将防火墙两端的网络以加密的通道串连起来之外,对于出勤在外的人员或者远端办事处人员通过互联网络拨接方式想要连回公司访问内部资讯时,除了在防火墙上建立内连的通道让外部人员可以进入内部网络外,就是通过单点VPN机制与防火墙建立虚拟私有网络,不但可以对于使用者进行身份认证外,同时资料的通讯也可以进行加密,更不必在防火墙上开放那些具安全风险的内连通道。
|
|
| 目前大部份的防火墙产品有都有可以选购符合IETF所订定的IPSec标准的VPN功能,也有一些路由器或者专属的VPN设备来提供虚拟私有网络的服务,在此建议采用在防火墙上所提供的VPN模组,其原因如下: |
1.外部VPN设备无法取代防火墙功能,所以企业还是需要采用防火墙。
2.内建在防火墙中的VPN模组可与防火墙的访问管理条件密切整合。
3.如果防火墙没有小必设定,外部VPN设备可能导致安全上的漏洞。 |
| □ 动态密码认证技术(Authentication:
Dynamic Password) |
| 对于无法建置VPN的外勤人员要连回公司内部网络时,至少防火墙必须提供身份认证的机制以确保连线人员的身份是公司人员,而非任意人都可以连线进来内部网络。然而如果防火墙只能提供固定密码的简单认识机制,将可能导到密码被猜中或者被监听的问题,所以防火墙应提供动态密码认证技术,以确保连线人员身份不受伪冒。
|
| 通常防火墙整合动态密码认证技术有下列两种方式: |
1.防火墙内建动态密码认证服务器。
2.防火墙配合其他外部的动态密码认证服务器。 |
| □ 防火墙的容错备援及负载平衡 |
| 防火墙对于企业可说是一个相当重要的通讯节点,一旦防火墙故障或者进行维修时,势必造成网络上通讯的中断,因此如何增加防火墙的可用性,对于企业来说也是不可忽略的重要议题。通常使用者可以依下列步骤来增加防火墙的可用性:
|
1.采用稳定的硬体设备,通常建议为知名厂版的服务器设备。
2.采用较稳定的防火墙操作系统。
3.定期以磁带备防火墙系统。
4.复制防火墙档案系统,当最容易损毁的硬盘故障时可随时抽换。
5.采用磁盘阵列系统。
6.采用双主机待机备援系统。
7.采用独立的负载平衡设备。 |
| 以上各项方案中愈后面的方案中断的机率愈低复原时间愈短,但相对的成本也就愈高。当企业通过网络经营电子商务时,势必愈来愈无法忍受太长的中断时间,因此就必须考虑更高阶的备援方案。
|
