基于双防火墙的企业网安全设计与实现
2023-07-01
来源:独旅网
2010年7月 总第184期 基于双防火墙的企业网安全设计与实现 邓平赵祖应 (云南爱因森软件职业学院 昆明 651701) 摘要本文主要阐述了小型企业网的双防火墙设计方案以及防火墙的构建。阐述了当前小型企业网所面临的严峻的安全问题,并 就此提出了采用双防火墙来实现小型企业网的安全设计方法。 关键词网络安全防火墙 防火墙体系结构 中图分类号TP393.08 文献标识码 A 文章编号1 00709—5464 Design&Implementation of Intranet Security Based on Dual Firewalls Deng Ping Zhao Zhuying (Yunnan Einsun Software CoHege Kunming 6517101) Abstract This article mainly expounds the design scenario of small Intranet dual ifrewalls and construction of the fire。- wal1.And the small enterprise Intranets faced the serious security problems,as well as proposed using dual firewalls to realize the security design method of small Intranet. Keywords Network security Firewall Firewall system structure 一、企业网现状 二、防火墙体系结构 随着互联网的飞速发展,网络安全逐渐成为一个潜在的巨大 防火墙系统设计要求你能够了解并鉴别你的网络的安全 问题。网络安全性是一个涉及面很广泛的问题,其中也会涉及到 域。网络的安全域是指一个网络中的在统一的安全策略下运行 是否构成犯罪行为的问题。在其最简单的形式中,它主要关心的 的邻近域。无论这些域的交叉点在那里,在这些域的边界肯定有 是确保无关人员不能读取,更不能修改传送给其他接收者的信 一种潜在的对策略冲突决策机制的需求。这也是防火墙技术有 息。此时,它关心的对象是那些无权使用,但却试图获得远程服务 用的地方。 的人。安全性也处理合法消息被截获和重播的问题,以及发送者 现在,防火墙最常用于一个组织的内部网络和互联网之间。 是否曾发送过该条消息的问题。大多数安全胜问题的出现都是由 在设置互联网防火墙的时候,你首先必须决定它的基本结构(假 于有恶意的人试图获得某种好处或损害某些人而故意引起的。 设你已经确定了你的防火墙需求和安全策略,并且决定实施它 网络安全是企业网络正常运行的前提。网络安全不单是单 们)。在本文中,“结构”代表防火墙的各个组成部分(软件和硬 点的安全,而是整个企业信息网的安全,需要从物理、网络、系 件)的总和,以及它们之间的连通性和功能分配。有两种防火墙 统、应用和管理方面进行立体的防护,中小企业所面临的安全问 结构,我们称它们为“单防火墙结构”和“双防火墙结构”。 题主要有以下几个方面: 1、单防火墙设计 1、外网安全 方案如下图1: 骇客攻击、病毒传播、蠕虫攻击、垃圾邮件泛滥、敏感信息泄 FTP}搬务器 Web服务器 邮件服务器 露等已成为影响最为广泛的安全威胁。 2、内网安全 最新调查显示,在受调查的企业中60%以上的员工利用网 络处理私人事务。对网络的不正当使用,降低了生产率、阻碍电 脑网络、消耗企业网络资源、并引入病毒和间谍,或者使得不法 员工可以通过网络泄漏企业机密。 3、内部网络之间、内外网络之间的连接安全 随着企业的发展壮大,逐渐形成了企业总部、各地分支机 构、移动办公人员这样的新型互动运营模式。怎么处理总部与分 内潮客, _帆 内嘲客户机 支机构、移动办公人员的信息共享安全,既要保证信息的及时共 图1 享,又要防止机密的泄漏,已经成为企业成长过程中不得不考虑 最简单的完全边界安全解决方案就是单防火墙。因为只有 的问题 一个防火墙和一个到Internet的连接,只要管理和控制一个点就 办公自动化杂志 ’35‘ 总第184期 可以了。如果用户要提供像Web、电子邮件或F丁P这样的公共服 的体系折衷。考虑的结构特性包括:性能、可用性、可信性、安全 务,那么就会遇到一个问题,用户必须打开通过防火墙到主机的 性、成本、可管理性、可配置性、功能。考虑范围包括: 连接,或者必须把公共服务器置于防火墙外,在没有保护的情况 1、可用性 下将公共服务器暴露给Internet。这两种方式都是要冒风险的。 可用性是通过可信性和冗余来实现的。起始于选择可信的软 台主机实现所有功能,并且与需要它控制访问的所有网 硬件。如果这个层次的可信『生不足,那么可以考虑使用冗余的元 络相连接。这种方法通常适用于对价格敏感或者只有两个网络 件来达到对可用性的要求。 2、性能 互联的情况。它的优点在于,那台主机上的防火墙可以监控一切 事情。在需要实行的安全策略比较简单,并且接人的网络也不多 基于通过防火墙的流量。你可能需要多台防火墙主机以实现 的情况下,这种结构是十分划算并且容易维护的。它最大的缺点 均衡负载并且在可承受的范围内对流量进行分布式处理。 是容易受执行缺陷(Implementation Flaw)以及配置错误的影响 3、安全性 一一由于这种结构的特性,只要有一个缺陷或者错误,就可以使 防火墙失效。 2、双防火墙设计 方案如下图2: FTP腿务器Weh般务器l{i;I伟暇务器 内 窖 机 肉嘲嚣户机 图2 为了降低暴露公共服务器的风险,用户可以使用两个防火 墙并采用两个不同级别的安全防护。一般来讲,将第一个防火墙 置于lnternet连接处保护其后的公共服务器的安全,提供强有 力的安全性,并允许Internet上的连接请求得到公共服务器提 供的服务。在上述区域和内部网络之间,放置第二个有更高安全 防护的防火墙,这个防火墙不允许任何外部连接请求通过并隐 藏内部网络。 防火墙功能需要一定数量的主机来实现,而且通常采用级 联方式,并且它们之间有DMZ网络。这种结构比单层结构更难设 计和操作,但是它能够通过多样化的防御措施而提供更强的安全 性。我们建议在每台防火墙主机中使用不同的防火墙技术,虽然 这样的花费也更高。这样可以避免在不同的层中出现相同的执行 缺陷和配置错误。这种结构最常见的设计方法就是在一个DMZ 网络中接人一个由两台主机互联而组成的互联网防火墙。 在确定基本结构(比如主机数量,主机连接方式,每台主机 的任务)之后,下一步就是确定这些主机实现的防火墙功能。最 基本的两种防火墙功能类型是包过滤和应用代理。这些功能可 以单独或者结合使用,并且可以在同一台或者不同的防火墙主 机上实现。现在,包过滤防火墙产品已经融入了一些应用代理的 特点,并且通常被称作状态验证包过滤。 三、小型企业网双防火墙体系折衷分析 防火墙通常考虑的是它们的限制和保护能力。这就是说,它 们把你的网络和Internet隔离开,或者它们限制从Internet上对 你的网络的访问。在现今接人Intemet的组织中,防火墙通常则 认为是为Internet接入提供安全性的东西;同样,防火墙也是一 个组织必不可少一部分——它是一个关键的基础设施,因此需 要认真考虑。 因此,我们必须在构建防火墙时进行与其它重要系统相同 。36‘ 办公自动化杂志 关系到在你的网络中是选择单防火墙系统还是双防火墙系 统。需要考虑的因素有:使外面的流量通过两层防火墙而不是一 层,你对流量的监控能力和监控点,你的应急处理,包括在一个防 火墙掉线时保持另外一个正常运行,你的需要和网络接口的数 量、性能、障特性(Failure Characteristics)、成本、运行和维护防火 墙的复杂性、使用来自不同商家的多个防火墙以减少使用单一 产品的漏洞所带来的风险。 四、防火墙策略分析 如果你需要远程控制你的防火墙系统,你必须使用强度十分 高的鉴定和数据加密技术以防止别人对你的防火墙系统造成威 胁。防火墙管理员必须通过诸如一 性口令或者经过验证的加密 协议而不是明文口令或者可回放的认证手段来进行识别。所有管 理员与防火墙之间的通信都必须被高强度加密。可以考虑存储于 防火墙或者所有管理机(比如网络管理系统)上的敏感信息(例如 密码,配置数据)进行加密。确保你在放置基础设施管理和管理机 控制台的工作区有恰当的物理访问控制。能够通过物理手段访问 你的防火墙的未授权用户可以利用他们对防火墙的访问。确保你 在放置防火墙控制台的工作区也有相应的物理访问控制。 你的组织的网络系统安全策略应该包括:用防火墙来应付 的风险。你想通过受你保护的网络对外提供的服务。包括对 Internet提供服务和其他内部网络提供服务。你想通过受你保护 的网络从不可信网络中获取的服务。包括从Internet提供服务 和其他内部网络获取服务,所有进出网络的数据都必须经过防 火墙(也就是说不允许有数据绕过防火墙,例如使用Modem), 有些漏洞在诸如使用Modem,隧道,直接连接到ISP的情况下是 可用的,在提供和要求服务上,你的策略应该保证你只允许你的 网络流量的确是安全的并且是必要的,对你所保护的网络的信 息基础的泄漏做到最小化。 五、结束语 Internet的迅猛发展和网络攻击手段的不断变化,使防火墙 产品的更新步伐日益加快,虽然,目前防火墙产品能基本满足用 户对网络安全保护的要求,但防火墙在企业网中的体系结构设 计上也是不容忽视的。 参考文献 【1】韩最蛟.网络维护与安全技术[M].北京大学出版社2008.1. [2】郝玉洁,常征.网络安全与防火墙技术[M].电子科技大 学学报社科版2002.1. [3lot丹.网络安全实用技术[M].清华大学出版社2002.10 作者简介 邓平,男,1977年,云南昆明人,讲师、工程师,主要从事 网络信息安全研究。 赵祖应,男,1979年,云南昆明人,讲师,主要从事网络信息 安全研究。