防火墙的安全体系结构.ppt

单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,*,5.3 防火墙的安全体系结构,目前市场上的大多数防火墙为避免单一技术的不足，通常都是包过滤（,Packet filtering firewall）、,电路级网关（,Circuit level gateway）、,应用级网关（,Application level gateway）、,状态监测防火墙（,Stateful Inspection Firewall）,这几种技术中的二、三种相结合的设计方式采用的安全体系结构一般是在网络层进行,IP,包过滤，在应用层实现代理服务机制的体系结构，并实时的进行状态监控这些防火墙将信息分析功能、包过滤功能、多种反电子欺骗手段等多种安全措施综合运用根据系统管理员事先设定的安全规则（,Security Rules）,保护内部网络，可以提供完善的安全性设置，通过高性能的网络核心进行访问控制，同时提供网络地址转换（,Network Address Translation）、,透明的代理服务（,Transparent Proxy）、,信息过滤（,Filter）、,双机热备份、流量控制和分析、用户认证授权等功能。

这样防火墙标准配置提供四个网络接口，将网络信息划分为不同的安全通道基于每个安全通道定义不同的安全策略其结构如图 5.15所示,图 5.15 网络结构示意图,内部网即内部网络是被保护的网络，不对外开放，也不对外提供任何服务，所以外部用户不能直接访问内部网络，并且检测不到内部网络的,IP,地址段，防火墙的主要目的就是屏蔽外部攻击，保证内部网络安全DMZ,区又称非军事化区，主要部署服务器，同时对外部网和内部网提供服务，属于的开放性区域，也是被攻击的对象由于该部分是与内部网络相隔离开的，因此即使服务器受到攻击，也不会危及内部网络的安全外部网即外部网络（主要指,Internet），,针对内部网络和,DMZ,区的大多数威胁和入侵都从这里发起管理接口对防火墙的所有配置进行设置，方法是通过加密的信息通道对防火墙进行设置和操作防火墙四个网络接口相对独立，管理员能够通过管理接口实现对四个网络接口间的通讯进行访问控制，监视和查询网络故障，并提供内部监控、日志审计等功能以上安全体系结构的防火墙是目前市场上专业防火墙采用的典型配置，当然用户可以在此基础上针对自身网络的特点，依据实际情况灵活地使用防火墙的各个网络接口。

例如，有些网络不提供,DMZ,区高端防火墙一般都是以,TCP/IP,和相关的应用协议为基础，分别在应用层、传输层、网络层与数据链路层对内外通讯进行监控应用层主要于对连接所用的具体协议内容进行检测传输层和网络层主要对,IP、ICMP、TCP,和,UDP,协议的安全策略进行访问控制数据链路层实现,MAC,地址检查，防止,IP,欺骗在没有安装防火墙时的网络结构图如下:,图5.16没有安装防火墙时的网络结构图,安装防火墙后的网络结构图如下:,图5.17安装防火墙时的网络结构图,通过防火墙安全体系结构的特点，用户一般对防火墙采取如下选择原则设计和选用防火墙首先要明确哪些内部数据是必须保护的，这些数据的被侵入会造成的后果，并对内部网络采用分区域管理，对不同区域设置不同等级的安全级别根据安全级别确定在该区域需要采用的防火墙安全标准另外设计和选用防火墙还必须与网络接口相匹配尽量防止所有可能遭受的威胁防火墙作为网络安全体系的基础和核心控制设备，它位于受保护网络（一般为内部网络）的通信主干线，对通过通信主干线的任何通信行为进行安全处理、审核针对不同情况采取控制数据流向、审计、抛弃数据包、报警反应等行动，同时也承担着繁重的通信任务即数据转发。

由于防火墙本身处于网络系统中的核心位置和主要被攻击点，因此在品种繁多的防火墙品种中选用一个安全、稳定和可靠的防火墙产品，其重要性是不言而喻，直接关系到整个网络系统的安全与否1防火墙自身的安全性,防火墙自身的安全主要体现在自身设计和管理两个方面防火墙自身软件系统主要分为防火墙操作系统和应用系统而设计的安全关键就是在于防火墙的操作系统，只有操作系统自身具有完整信任关系才可以保证系统的安全而应用系统的安全又是以操作系统的安全为基础的，应用系统是衡量一个防火墙性能的关键可见防火墙自身的安全实现也直接影响整体系统的安全性通过经验只有那些防火墙采用了专用硬件平台，并采用基于安全的专用操作系统的防火墙才可能最大限度的保证防火墙自身安全例如，在当前的网络攻中，拒绝服务攻击是使用频率最高的方法，很多大型网站遭受的大多是拒绝服务攻击，因此在为网站选择防火墙时一定要首先确保防火墙本身具有较强的抗拒绝服务攻击的能力拒绝服务攻击一般分为两类：一类是由于操作系统或应用软件本身设计或编程上的缺陷而造成的，由此带来的攻击种类很多，只有通过打补丁的办法来解决；另一类是由于,TCPIP,协议本身的缺陷造成的，这种情况目前只有几种，但危害性非常大，很难从根本上解决。

由于系统缺陷被攻击和病毒的直接攻击不同，这是因为防火墙没有病毒码可以作为安全策略的依据，并且防火墙在判断拒绝服务攻击时经常出现误报抵抗拒绝服务攻击的能力必须作为衡量防火墙性能指标的主要标准之一，目前防火墙不能真正做到抵御拒绝服务攻击，只能是最大限度的降低拒绝服务攻击的危害2性能高效，系统可靠,高性能是防火墙的一个重要指标，实际上用户不论使用何种防火墙都是以付出网络通信性能作为代价换取网络安全的如果用户使用防火墙而带来了网络性能较大幅度下降的话，既是网络安全性再高，也是用户所无法接受的而一个防火墙性能的高低又是同防火墙采用安全策略的规则数成反比的一般来说，防火墙加载的安全策略超过上百条规则，其性能下降不应超过5，如果超过这个指标就必须考虑更换更高性能的防火墙了另外还可以通过计算防火墙可以同时提供的连接数计算出一个指标，这个指标也可以作为衡量一个防火墙性能的标准光有高性能还是不够的，在高性能的同时还用保证防火墙的可靠性，性能和可靠性是密不可分的两方面，不可偏废因为防火墙的可靠性对防火墙这种访问控制设备来说极为重要，直接影响到防火墙的实用性从系统设计上，提高可靠性的措施一般是提高本身部件的强健性、增大设计阈值和增加冗余部件。

以及防火墙生产厂商采用较高的生产标准和设计冗余度，例如，使用更高的工业标淮作为生产标准、电源热备份等方法当然采用高可靠性设计的防火墙，它的价格也是成倍提升的一般就成熟的产品来说，系统的可靠性是最基本的要求防火墙的可靠性情况从厂家的宣传材料中是看不出来的，但可以通过如下方法进行评估：是否经过国家权威的测评认证机构认证，例如，公安部计算机安全产品检测中心和中国国家信息安全测评认证中心；是否具有入网证明书；通过其他渠道获得消息，例如，同行之间的评价等3 功能完善，并具有可扩展性,采用单一技术的防火墙，一般都功能单一，缺点明显建议在选取防火墙时尽量选择那些功能多样，可同时实现多种防火墙技术结合运用的防火墙另外在网络中部署新的网络设备是一件非常复杂的事件，因为一般这意味着修改几乎全部现有设备的配置，重新规划网络，同时还有可能造成运行不稳定网络经过一段时间运行后，往往网络内部情况复杂，所作的改动需要一段整合期所以，用户应尽量选用那些具有良好扩展功能的防火墙例如，良好的管理界面也是扩展性的一个方面一般用户在制定安全政策时往往有些需求不是每款防火墙都会提供的，常见的需求主要有：地址转换(,IP address translation)，,地址转换的作用是隐藏内部网络真正的,P,地址，防止黑客直接攻击内部网络，还可以让内部使用保留的地址，这对许多地址不足的企业是十分重要的；虚拟企业网络(,VPN)，VPN,指为那些有权直接透过防火墙访问内部资源的外部用户建立连接并对网络传输的内容加密，实际上是建立了一个虚拟通道，以使用户感觉是在同一个网络上，可以安全且不受约束地互相存取。

例如，总公司与分公司之间或公司与外出员工之间的网络连接就是属于这一情况；限制只有特定用户才有权限发送,E-mail，FTP,只能对文件进行,GET,操作，而不能进行,PUT,操作；限制同时上网人数和限制不同用户的使用时间段等网络结构不是一成不变的例如，在网络建设之初，一般规模都比较小只需要在内部网络和外部网络之间部署防火墙，但随着网络发展，可能网络规模会不断扩大，这时就需要对内部网络划分子网，并根据实际情况对子网确定安全级别，这时一般就需要在这些子网之间部署相应的防火墙另外随着网络技术的发展和攻击手段的变化，防火墙也必须不断地进行升级，因此支持软件升级也是十分重要的防火墙的功能评估及维护防火墙对网络的安全起到了一定的保护作用，作为网络安全的一种防护手段建立合理的安全规划，配置有效的防火墙部署策略通常的实施流程：风险分析，需求分析，合理配置Web,服务器装在防火墙内的优点是,Web,服务器受到安全保护，不容易受到攻击，也不易为外部网络提供,Web,服务一般这种,Web,服务器站点只对内网提供,Web,服务例如，针对内部网和,Web,站点的安全根据防火墙和,Web,服务器所处的位置可以分为,Web,服务器置于防火墙之内、,Web,服务器置于防火墙之外和,Web,服务器置于防火墙之上3种配置。

Web,服务器置于防火墙之外为保证内部网络的安全，将,Web,服务器完全置于防火墙之外是比较合适的Web,服务器置于防火墙之外时,Web,服务器不受保护，但内部网则处于完全保护之中Web,服务器置于防火墙之上将,Web,服务器装在防火墙上主要包括利用代理服务器、双重防火墙、利用成对的“入”、“出”服务器提供对信息访问的控制允许防火墙传递对80端口的请求，访问请求会被限制到,Web,站点返回或者可以在防火墙机器上安装代理服务器，来自,Web,服务器的所有访问请求在被代理服务器截获之后才传给服务器防火墙设置是否成功的关键是制定访问控制策略（安全策略），确立安全规则例如，内部用户可以访问因特网,Web,站点、,FTP,站点或发送,SMTP,电子邮件，但只允许来自因特网的,SMTP,邮件进入内部网络当然一个内部网路的不同部分之间也可以使用访问控制策略例如，外派员工可以通过,VPN,同内部网络进行安全连接，或允许一定的商业伙伴使用内部网络的部分资源这样防火墙用户可能需要限制此类连接的访问范围访问控制策略规定了网络不同部分之间允许的数据流向，确定哪些类型的数据流是允许的，哪些是不允许的在制定访问控制策略时，用户可以使用访问控制描述符进行说明，见下表:,内容,规定,流向,按信息的流向规定允许的传输行为。

例如，由外部网络传入内部网络的信息或从内部网络发送到外部网络的信息,服务,访问的服务器应用的服务类型例如,web,访问、文件传输协议、简单文件传输协议主机,有时除制定传输方向外还需要更详细的说明例如，某公司可能允许访问某台指定内部网络的计算机或者可有部分子网络或主机可以访问外部网络用户,访问权限分派，不同级别的用户具有不同的访问权限例如，当外派用户如果需要对内部网络访问时，一般防火墙须对每个试图访问的人进行授权检查保证只有具有相关权限的用户才可以进入时间,对访问时间进行限制，只允许在某天中的某些时刻进行访问例如，内部网络用户只能在7:00-17:00之间访问外部网络带宽管理,根据不同用户或不同子网设置带宽限制，分配网络资源来控制访问活动,评价防火墙性能不能仅仅认为是安全防护作用，还要看防火墙阻挡或捕捉到恶意攻击和非法访问的蛛丝马迹的能力按防火墙状态级别来分，一般有五种状态：,1)未受伤害能够正常工作2)关闭并重新启动，同时恢复到正常工作状态3)关闭并重新启动，同时恢复到防火墙的初始设置4)禁止所有的数据通行5)允许所有的数据通行，此时防火墙处于完全失效状态防火墙必须进行维护,防火墙投入使用后，。