防火牆是指設定在不同網絡(如可信任的企業内部網和不可信的公共網)或網絡安全域之間的一系列部件的組合。它是不同網絡或網絡安全域之間資訊的唯一出入口,通過監測、限制、更改跨越防火牆的資料流,盡可能地對外部屏蔽網絡内部的資訊、結構和運作狀況,有選擇地接受外部通路,對内部強化裝置監管、控制對伺服器與外部網絡的通路,在被保護網絡和外部網絡之間架起一道屏障,以防止發生不可預測的、潛在的破壞性侵入。防火牆有兩種,硬體防火牆和軟體防火牆,他們都能起到保護作用并篩選出網絡上的攻擊者。在這裡主要給大家介紹一下我們在企業網絡安全實際運用中所常見的硬體防火牆。
一、防火牆基礎原理
1、防火牆技術
防火牆通常使用的安全控制手段主要有包過濾、狀态檢測、代理服務。下面,我們将介紹這些手段的工作機理及特點,并介紹一些防火牆的主流産品。
包過濾技術是一種簡單、有效的安全控制技術,它通過在網絡間互相連接配接的裝置上加載允許、禁止來自某些特定的源位址、目的位址、TCP端口号等規則,對通過裝置的資料包進行檢查,限制資料包進出内部網絡。包過濾的最大優點是對使用者透明,傳輸性能高。但由于安全控制層次在網絡層、傳輸層,安全控制的力度也隻限于源位址、目的位址和端口号,因而隻能進行較為初步的安全控制,對于惡意的擁塞攻擊、記憶體覆寫攻擊或病毒等高層次的攻擊手段,則無能為力。
狀态檢測是比包過濾更為有效的安全控制方法。對建立的應用連接配接,狀态檢測檢查預先設定的安全規則,允許符合規則的連接配接通過,并在記憶體中記錄下該連接配接的相關資訊,生成狀态表。對該連接配接的後續資料包,隻要符合狀态表,就可以通過。這種方式的好處在于:由于不需要對每個資料包進行規則檢查,而是一個連接配接的後續資料包(通常是大量的資料包)通過雜湊演算法,直接進行狀态檢查,進而使得性能得到了較大提高;而且,由于狀态表是動态的,因而可以有選擇地、動态地開通1024号以上的端口,使得安全性得到進一步地提高。
2、防火牆工作原理
(1)包過濾防火牆
包過濾防火牆一般在路由器上實作,用以過濾使用者定義的内容,如IP位址。包過濾防火牆的工作原理是:系統在網絡層檢查資料包,與應用層無關。這樣系統就具有很好的傳輸性能,可擴充能力強。但是,包過濾防火牆的安全性有一定的缺陷,因為系統對應用層資訊無感覺,也就是說,防火牆不了解通信的内容,是以可能被黑客所攻破。
2)應用網關防火牆
應用網關防火牆檢查所有應用層的資訊包,并将檢查的内容資訊放入決策過程,進而提高網絡的安全性。然而,應用網關防火牆是通過打破客戶機/伺服器模式實作的。每個客戶機/伺服器通信需要兩個連接配接:一個是從用戶端到防火牆,另一個是從防火牆到伺服器。另外,每個代理需要一個不同的應用程序,或一個背景運作的服務程式,對每個新的應用必須添加針對此應用的服務程式,否則不能使用該服務。是以,應用網關防火牆具有可伸縮性差的缺點。(圖2)
(3)狀态檢測防火牆
狀态檢測防火牆基本保持了簡單包過濾防火牆的優點,性能比較好,同時對應用是透明的,在此基礎上,對于安全性有了大幅提升。這種防火牆摒棄了簡單包過濾防火牆僅僅考察進出網絡的資料包,不關心資料包狀态的缺點,在防火牆的核心部分建立狀态連接配接表,維護了連接配接,将進出網絡的資料當成一個個的事件來處理。可以這樣說,狀态檢測包過濾防火牆規範了網絡層和傳輸層行為,而應用代理型防火牆則是規範了特定的應用協定上的行為。(圖3)
(4)複合型防火牆
複合型防火牆是指綜合了狀态檢測與透明代理的新一代的防火牆,進一步基于ASIC架構,把防病毒、内容過濾整合到防火牆裡,其中還包括×××、IDS功能,多單元融為一體,是一種新突破。正常的防火牆并不能防止隐蔽在網絡流量裡的攻擊,在網絡界面對應用層掃描,把防病毒、内容過濾與防火牆結合起來,這展現了網絡與資訊安全的新思路。它在網絡邊界實施OSI第七層的内容掃描,實作了實時在網絡邊緣布署病毒防護、内容過濾等應用層服務措施。(圖4)
3、四類防火牆的對比
包過濾防火牆:包過濾防火牆不檢查資料區,包過濾防火牆不建立連接配接狀态表,前後封包無關,應用層控制很弱。
應用網關防火牆:不檢查IP、TCP報頭,不建立連接配接狀态表,網絡層保護比較弱。
狀态檢測防火牆:不檢查資料區,建立連接配接狀态表,前後封包相關,應用層控制很弱。
複合型防火牆:可以檢查整個資料包内容,根據需要建立連接配接狀态表,網絡層保護強,應用層控制細,會話控制較弱。
4、防火牆術語
網關:在兩個裝置之間提供轉發服務的系統。網關是網際網路應用程式在兩台主機之間處理流量的防火牆。這個術語是非常常見的。
DMZ非軍事化區:為了配置管理友善,内部網中需要向外提供服務的伺服器往往放在一個單獨的網段,這個網段便是非軍事化區。防火牆一般配備三塊網卡,在配置時一般分别分别連接配接内部網,internet和DMZ。
吞吐量:網絡中的資料是由一個個資料包組成,防火牆對每個資料包的處理要耗費資源。吞吐量是指在不丢包的情況下機關時間内通過防火牆的資料包數量。這是測量防火牆性能的重要名額。
最大連接配接數:和吞吐量一樣,數字越大越好。但是最大連接配接數更貼近實際網絡情況,網絡中大多數連接配接是指所建立的一個虛拟通道。防火牆對每個連接配接的處理也好耗費資源,是以最大連接配接數成為考驗防火牆這方面能力的名額。
資料包轉發率:是指在所有安全規則配置正确的情況下,防火牆對資料流量的處理速度。
SSL:SSL(Secure Sockets Layer)是由Netscape公司開發的一套Internet資料安全協定,目前版本為3.0。它已被廣泛地用于Web浏覽器與伺服器之間的身份認證和加密資料傳輸。SSL協定位于TCP/IP協定與各種應用層協定之間,為資料通訊提供安全支援。
網絡位址轉換:網絡位址轉換(NAT)是一種将一個IP位址域映射到另一個IP位址域技術,進而為終端主機提供透明路由。NAT包括靜态網絡位址轉換、動态網絡位址轉換、網絡位址及端口轉換、動态網絡位址及端口轉換、端口映射等。NAT 常用于私有位址域與公用位址域的轉換以解決IP位址匮乏問題。在防火牆上實作NAT後,可以隐藏受保護網絡的内部拓撲結構,在一定程度上提高網絡的安全性。如果反向NAT提供動态網絡位址及端口轉換功能,還可以實作負載均衡等功能。
堡壘主機:一種被強化的可以防禦進攻的計算機,被暴露于網際網路之上,作為進入内部網絡的一個檢查點,以達到把整個網絡的安全問題集中在某個主機上解決,進而省時省力,不用考慮其它主機的安全的目的。
二、市場上常見的硬體防火牆
(1)NetScreen 208 Firewall
NetScreen科技公司推出的NetScreen防火牆産品是一種新型的網絡安全硬體産品。NetScreen采用内置的ASIC技術,其安全裝置具有低延時、高效的IPSec加密和防火牆功能,可以無縫地部署到任何網絡。裝置安裝和操控也是非常容易,可以通過多種管理界面包括内置的WebUI界面、指令行界面或NetScreen中央管理方案進行管理。NetScreen将所有功能內建于單一硬體産品中,它不僅易于安裝和管理,而且能夠提供更高可靠性和安全性。由于NetScreen裝置沒有其它品牌産品對硬碟驅動器所存在的穩定性問題,是以它是對線上時間要求極高的使用者的最佳方案。采用NetScreen裝置,隻需要對防火牆、×××和流量管理功能進行配置和管理,減省了配置另外的硬體和複雜性作業系統的需要。這個做法縮短了安裝和管理的時間,并在防範安全漏洞的工作上,省略設定的步驟。NetScreen-100 Firewall比适合中型企業的網絡安全需求。
(2)Cisco Secure PIX 515-E Firewall
Cisco Secure PIX防火牆是Cisco防火牆家族中的專用防火牆設施。Cisco Secure PIX 515-E防火牆系通過端到端安全服務的有機組合,提供了很高的安全性。适合那些僅需要與自己企業網進行雙向通信的遠端站點,或由企業網在自己的企業防火牆上提供所有的Web服務的情況。Cisco Secure PIX 515-E與普通的CPU密集型專用代理伺服器(對應用級的每一個資料包都要進行大量處理)不同,Cisco Secure PIX 515-E防火牆采用非UNIX、安全、實時的内置系統。可提供擴充和重新配置IP網絡的特性,同時不會引起IP位址短缺問題。NAT既可利用現有IP位址,也可利用Internet指定号碼機構[IANA]預留池[RFC.1918]規定的位址來實作這一特性。Cisco Secure PIX 515-E還可根據需要有選擇性地允許位址是否進行轉化。CISCO保證NAT将同所有其它的PIX防火牆特性(如多媒體應用支援)共同工作。Cisco Secure PIX 515-E Firewall比适合中小型企業的網絡安全需求。
(3)天融信網絡衛士NGFW4000-S防火牆
北京天融信公司的網絡衛士是我國第一套自主版權的防火牆系統,目前在我國電信、電子、教育、科研等機關廣泛使用。它由防火牆和管理器組成。網絡衛士NGFW4000-S防火牆是我國首創的核檢測防火牆,更加安全更加穩定。網絡衛士 NGFW4000-S防火牆系統集中了包過濾防火牆、應用代理、網絡位址轉換(NAT)、使用者身份鑒别、虛拟專用網、Web頁面保護、使用者權限控制、安全審計、攻擊檢測、流量控制與計費等功能,可以為不同類型的Internet接入網絡提供全方位的網絡安全服務。網絡衛士防火牆系統是中國人自己設計的,是以管理界面完全是中文化的,使管理工作更加友善,網絡衛士NGFW4000-S防火牆的管理界面是所有防火牆中最直覺的。網絡衛士NGFW4000-S防火牆比适合中型企業的網絡安全需求。
(4)東軟NetEye 4032防火牆
NetEye 4032防火牆是NetEye防火牆系列中的最新版本,該系統在性能,可靠性,管理性等方面大大提高。其基于狀态包過濾的流過濾體系結構,保證從資料鍊路層到應用層的完全高性能過濾,可以進行應用級插件的及時更新,攻擊方式的及時響應,實作動态的保障網絡安全。NetEye防火牆4032對流過濾引擎進行了優化,進一步提高了性能和穩定性,同時豐富了應用級插件、安全防禦插件,并且提升了開發相應插件的速度。網絡安全本身是一個動态的,其變化非常迅速,每天都有可能有新的攻擊方式産生。安全政策必須能夠随着攻擊方式的産生而進行動态的調整,這樣才能夠動态的保護網絡的安全。基于狀态包過濾的流過濾體系結構,具有動态保護網絡安全的特性,使NetEye防火牆能夠有效的抵禦各種新的攻擊,動态保障網絡安全。東軟NetEye 4032防火牆比适合中小型企業的網絡安全需求。
三、防火牆的基本配置
下面我以國内防火牆第一品牌天融信NGFW 4000為例給各位講解一下在一個典型的網絡環境中應該如何來配置防火牆。
NGFW4000有3個标準端口,其中一個接外網(Internet網),一個接内網,一個接DMZ區,在DMZ區中有網絡伺服器。安裝防火牆所要達到的效果是:内網區的電腦可以任意通路外網,可以通路DMZ中指定的網絡伺服器, Internet網和DMZ的電腦不能通路内網;Internet網可以通路DMZ中的伺服器。
1、配置管理端口
天融信網絡衛士NGFW4000防火牆是由防火牆和管理器組成的,管理防火牆都是通過網絡中的一台電腦來實作的。防火牆預設情況下,3個口都不是管理端口,是以我們先要通過序列槽把天融信網絡衛士NGFW4000防火牆與我們的電腦連接配接起來,給防火牆指定一個管理端口,以後對防火牆的設定就可以通過遠端來實作了。
使用一條序列槽線把電腦的序列槽(COM1)與NGFW4000防火牆的console 口連接配接起來,啟動電腦的"超級終端",端口選擇COM1,通信參數設定為每秒位數9600,資料位8,奇偶校驗無,停止位1,資料流控制無。進入超級終端的界面,輸入防火牆的密碼進入指令行格式。
定義管理口:if eth1 XXX.XXX.XXX.XXX 255.255.255.0
修改管理口的GUI登入權限: fire client add topsec -t gui -a 外網 -i 0.0.0.0-255.255.255.255
2、使用GUI管理軟體配置防火牆
安裝天融信防火牆GUI管理軟體"TOPSEC集中管理器",并建立NGFW4000管理項目,輸入防火牆管理端口的IP位址與說明。然後登入進入管理界面。
(1)定義網絡區域
Internet(外網):接在eth0上,預設通路政策為any(即預設可讀、可寫),日志選項為空,禁止ping、GUI、telnet。
Intranet(内網):接在eth1上,預設通路政策為none(不可讀、不可寫),日志選項為記錄使用者指令,允許ping、GUI、telnet。
DMZ區:接在eth2上, 預設通路政策為none(不可讀、不可寫),日志選項為記錄使用者指令,禁止ping、GUI、telnet。
(2)定義網絡對象
一個網絡節點表示某個區域中的一台實體機器。它可以作為通路政策中的源和目的,也可以作為通信政策中的源和目的。網絡節點同時可以作為位址映射的位址池使用,表示位址映射的實際機器,較長的描述見通信政策。
子網表示一段連續的IP位址。可以作為政策的源或目的,還可以作為NAT的位址池使用。如果子網段中有已經被其他部門使用的IP,為了避免使用三個子網來描述技術部使用的IP位址,可以将這兩個被其他部門占用的位址在例外位址中說明。
為了配置通路政策,先定義特殊的節點與子網:
FTP_SERVER:代表FTP伺服器,區域=DMZ,IP位址= XXX.XXX.XXX.XXX。
HTTP_SERVER:代表HTTP伺服器,區域=DMZ,IP位址= XXX.XXX.XXX.XXX。
MAIL_SERVER:代表郵件伺服器,區域=DMZ,IP位址= XXX.XXX.XXX.XXX。
V_SERVER:代表外網通路的虛拟伺服器,區域=Internet,IP=防火牆IP位址。
inside:表示内網上的所有機器,區域=Intranet,起始位址=0.0.0.0,結束位址=255.255.255.255。
outside:表示外網上的所有機器,區域=Internet,起始位址=0.0.0.0,結束位址=255.255.255.255。
(3)配置通路政策
在DMZ區域中增加三條通路政策:
A、通路目的=FTP_SERVER,目的端口=TCP 21。源=inside,通路權限=讀、寫。源=outside,通路權限=讀。這條配置表示内網的使用者可以讀、寫FTP伺服器上的檔案,而外網的使用者隻能讀檔案,不能寫檔案。
B、通路目的=HTTP_SERVER,目的端口=TCP 80。源=inside+outside,通路權限=讀、寫。這條配置表示内網、外網的使用者都可以通路HTTP伺服器。
C、通路目的=MAIL_SERVER,目的端口=TCP 25,TCP 110。源=inside+outside,通路權限=讀、寫。這條配置表示内網、外網的使用者都可以通路MAIL伺服器。
(4)通信政策
由于内網的機器沒有合法的IP位址,它們通路外網需要進行位址轉換。當内部機器通路外部機器時,可以将其位址轉換為防火牆的位址,也可以轉換成某個位址池中的位址。增加一條通信政策,目的=outside,源=inside,方式= NAT,目的端口=所有端口。如果需要轉換成某個位址池中的位址,則必須先在Internet中定義一個子網,位址範圍就是位址池的範圍,然後在通信政策中選擇NAT方式,在位址池類型中選擇剛才定義的位址池。
伺服器也沒有合法的IP位址,必須依靠防火牆做位址映射來提供對外服務。增加通信政策。
A、目的=V_SERVER,源=outside,通信方式=MAP,指定協定=TCP,端口映射21->21,目标機器=FTP_SERVER。
B、目的=V_SERVER,源=outside,通信方式=MAP,指定協定=TCP,端口映射80->80,目标機器=HTTP_SERVER。
C、目的=V_SERVER,源=outside,通信方式=MAP,指定協定=TCP,端口映射25->25,目标機器=MAIL_SERVER。
D、目的=V_SERVER,源=outside,通信方式=MAP,指定協定=TCP,端口映射110->110,目标機器=MAIL_SERVER。
(5)特殊端口
在防火牆預設的端口定義中沒有我們所要用到的特殊端口,就需要我們手工的添加這些特殊端口了。在防火牆集中管理器中選擇"進階管理">"特殊對象">"特殊端口",将彈出特殊端口的定義界面,點"定義新對象",輸入特殊端口号與定義區域即可。
(6)其他配置
最後進入"工具"選項,定義防火牆的管理者、權限以及與IDS的關聯等。(圖8)
全方位講解硬體防火牆的選擇
來源:中國IT實驗室