|
實施一套良好的防火墻策略
安全防火墻架構(gòu)的首要關(guān)鍵組件是策略的設(shè)計。實現(xiàn)這些目標(biāo)的最為重要的概念是使用原則的需要。在防火墻的策略中,這只是意味著除非有一個明確的原因要求使用某種服務(wù),這種服務(wù)默認(rèn)地必須被阻止或拒絕。為實施默認(rèn)的服務(wù)阻止規(guī)則,在所有策略集的末尾只需要全局性地實施一種防火墻策略,即丟棄一切的規(guī)則,意思就是防火墻的默認(rèn)行為是丟棄來自任何源到達任何目的地的任何服務(wù)的數(shù)據(jù)包。這條規(guī)則在任何的防火墻策略中是最后一條規(guī)則,因為在某種通信在有機會進入之前,它已經(jīng)被封殺了。一旦實施了這種基本的行為,就需要對特定的源、特定的服務(wù)、對特定的目標(biāo)地址的訪問等實施在一些精心設(shè)計的規(guī)則。一般而言,這些規(guī)則越精密,網(wǎng)絡(luò)也就越安全。
例如,用戶可被準(zhǔn)許使用對外的一些常見服務(wù)端口,如HTTP,F(xiàn)TP,媒體服務(wù)等,但其它的服務(wù)和程序除非有了明確的原因才準(zhǔn)許通信。在根據(jù)企業(yè)的需要找到一種特別的原因后,就需要在驗證和核準(zhǔn)后增加一些嚴(yán)格控制的針對性規(guī)則。管理員們常犯的一個錯誤是他們將用戶的權(quán)限擴展到了服務(wù)和DMZ網(wǎng)絡(luò)。適用于用戶的向外轉(zhuǎn)發(fā)數(shù)據(jù)的規(guī)則通常并不適用于服務(wù)器。在認(rèn)真考慮之后,管理員會找到Web服務(wù)器并不需要瀏覽Web的理由。服務(wù)器就是服務(wù)器,它主要是提供服務(wù),而很少成為客戶端。一個根本的問題是DMZ或服務(wù)器幾乎不應(yīng)當(dāng)首先發(fā)起通信。服務(wù)器典型情況下會接受請求,但幾乎不可能接受來自公共的互聯(lián)網(wǎng)的請求服務(wù),除非是企業(yè)合伙人的XML及EDI應(yīng)用。其它的例外還有一些,如提供驅(qū)動程序和軟件更新的合法廠商的站點,但所有的例外,都應(yīng)當(dāng)嚴(yán)格而精密地定義。遵循這些嚴(yán)格的標(biāo)準(zhǔn)可以極大地減少服務(wù)器被損害的可能,最好能達到這樣一種程度,只要部署了這種策略,即使服務(wù)器沒有打補丁,也能防止內(nèi)部子網(wǎng)的蠕蟲傳播。
實施良好的防火墻網(wǎng)絡(luò)設(shè)計
防火墻安全的另外一個關(guān)鍵組件是物理網(wǎng)絡(luò)的拓?fù)。如下圖1:

上圖展示的是并不太先進的Pix525,筆者用它只是為了說明原理。它支持2千兆比特的以太網(wǎng)端口和6個100M比特的快速以太網(wǎng)端口。這是實現(xiàn)物理上分離不同子網(wǎng)的極好方法,假如每一個端口都插入一個物理上不同的以太網(wǎng)交換機的話,它可滿足企業(yè)的需要。然而,在數(shù)據(jù)中心中為每一個子網(wǎng)部署超過六個物理交換機都是不切合實際的。企業(yè)經(jīng)常通過將一臺獨立的物理交換機分割為多個橋接組來使用虛擬局域網(wǎng)(VLAN),這便可以為任何現(xiàn)有的或未來的子網(wǎng)提供額外的端口。因為我們可以輕松地將一個千兆比特的端口連接到一個第三層的核心交換機、DMZ、外延網(wǎng)、臨時的子網(wǎng)及企業(yè)需要的任何其它VLAN。不妨看一下第二個千兆比特的以太網(wǎng)卡和4個快速以太網(wǎng)接口卡。這里需要強化第二層交換機的安全,用以應(yīng)對vlan跳躍攻擊等問題,本文暫不討論這個問題。即使對于匯聚的千兆以太網(wǎng)端口來說,用戶也應(yīng)當(dāng)使用兩個內(nèi)建的快速以太網(wǎng)端口用于公共的互聯(lián)網(wǎng)訪問和狀態(tài)失效轉(zhuǎn)移的同步。
再看下圖2:

上圖展示了在一次狀態(tài)失效轉(zhuǎn)移配置中兩個防火墻的使用。網(wǎng)絡(luò)連接只能到達邏輯防火墻,其目的是為了避免非法的連接器,不過事實上每一個子網(wǎng)都有一個物理連接到達每一個防火墻。這些連接可以是物理上分離的電纜或單獨的匯聚電纜,它通過獨立的千兆比特連接到達用戶的支持VLAN的交換機。PIX 525中的兩個內(nèi)置的快速以太網(wǎng)端口用于公共的互聯(lián)網(wǎng)連接和狀態(tài)失效轉(zhuǎn)移的同步,而剩余的內(nèi)部子網(wǎng)可以共享千兆以太網(wǎng)端口。這種配置要比使用獨立的快速以太網(wǎng)端口的配置快得多。
防火墻的內(nèi)部可以連接下面的子網(wǎng):
◆核心3層交換機
◆DMZ
◆外延網(wǎng)
◆臨時區(qū)域
◆其它
核心三層交換機一般通過VLAN之間的路由功能到達用戶的核心交換機。這些VLAN可包含擁有眾多用戶的大量的VLAN、支持多個服務(wù)器群的VLAN(這些服務(wù)器并不直接暴露在互聯(lián)網(wǎng)上)。在這個例子中,用戶必須理解在這些服務(wù)器群的VLAN和用戶VLAN之間并不存在什么防火墻,因為用戶到服務(wù)器的通信是由核心三層的交換機發(fā)送的,絕不會通過防火墻。有一些公司將其所有的服務(wù)器都放置在防火墻之后并與用戶分離,這有點兒太極端,不過,管理防火墻后面的有大量端口需求的多個內(nèi)部服務(wù)器可能非常困難,所以這樣做并不明智。 本新聞共 3頁,當(dāng)前在第 2頁 1 2 3 |
|
【收藏】【打印】【進入論壇】 |
|
|
|
|
|
|
|