基于防火墙部署的网络安全设计与连接
2015-07-18孟范立
孟范立
摘要:在网络中防火墙是主要的安全设备之一,它以其强大的功能保障网络安全,由于防火墙所处的位置不同,其所发挥的作用不尽相同,因此根据不同的网络安全需要,以及路由器、交换机的端口类型,如何选择防火墙的端口连接方式变得尤为重要,本文详细阐述了在网络安全与连接中防火墙的部署与连接方式。
关键词:网络安全;防火墙;服务器;设计;连接
中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2015)12-0037-02
Based on The Deployment of The Network Firewall Security Design and Connection
MENG Fan-li
(Jilin Vocational College of Industry and Technology, Jilin 132013, China)
Abstract: In the network firewall is one of the major safety equipment, it with its powerful functions of security network security, because the location of the firewall is different, its role is not the same, so according to the different network security needs, as well as routers, switches, port type, how to select firewall port connection is particularly important, this paper expounds on the deployment of firewall in the network security and connected with the connection.
Key words: network security; firewall; server; design; connection
网络安全规划与设计主要是针对网络安全设备而言,而网络设备种类非常多,不同安全设备的应用位置也有所不同,如果部署不正确不仅起不到任何保护作用,而且可能造成网络瓶颈,影响网络传输效率。另外,如果根据安全需要选择合适的安全产品也是非常重要的问题。防火墙通常部署与网络的边界。当然,边界可以是局域网与广域的、局域网与Internet 的、不同子网之间,以及子网与服务器之间的边界等。
1 内部网络与Internet的连接之间
这是一种应用最广,也是最重要的防火墙应用环境。在这种应用环境下,防火墙主要保护内部网络不遭受非法用户的攻击。目前绝大多数企业网络,安装防火墙的主要目的就在于此。在这种应用环境中,一般情况下,防火墙网络可划分为3个不同级别的安全区域,如表1和图1所示。
在这三个区域中,用户需要对不同的安全区域给予不同的安全策略。虽然内部网络和DMZ区域都属于企业内部网络的一部分,单它们的安全级别(策略)是不同的。对于要保护的大部分区域,因需为互联网应用提供相关的服务,所以在一定程度上,没有内部网络限制那么严格,如Web服务器通常是允许任何人进行正常访问的。那么,这些服务器是很容易被攻击的。由于在这些服务器上所安装的服务非常少,所允许的权限非常低,真正的服务器数据的是在受保护的内部网络主机上。所以,黑客攻击这些服务器没有任何意义,即不能获取什么有用的信息,也不能通过攻击它而获得过高的网络访问权限。可以通过NAT(网络地址装换)技术将受保护的内部网络得全部主机地址映射成防火墙上设置的少数几个有效公网IP地址,这样有两个好处,一是可以对外屏蔽内部网络和IP地址,保护内部网络的安全;二是因为公网IP地址共用所以可以大大节省公网IP地址的使用,节省了企业投资成本。
2 连接局域网和广域网
局域网和广域网之间的连接是应用防火墙最多的网络,不过网络用户根据自己具体需要的不同,有两种连接方式可供选择。
如果用户网络原来已存在边界路由器,则可充分利用原有设备,利用边界路由器的包过滤功能,添加相应的防火墙配置,这样原来的路由器也就具有防火墙功能了。然后在利用防火墙与需要保护的内部网络相连接。对于DMZ区域中的公用服务器,则可直接与边界路由器相连,不用经过防火墙,它可以只经过路由器的简单防护。在这种网络环境中,边界路由器与防火墙一起组成了两道安全防线,如图2所示,并且在这两者之间可以设置一个DMZ区域,用来放置那些允许外部用户访问的公用服务器设施。
如果用户网络中不存在边界路由器,则此时直接由防火墙来保护内部网络,如图3所示。此时DMZ区域和需要保护的内部网络分别连接防火墙的不同LAN网络接口,因此,需要对这两部分网络设置不同的安全策略。这种网络中虽然只有一道安全防线,但对于大多数中小企业来说是完全可以满足的。不过在选购防火墙时就需要注意,防火墙一定要有两个及以上的LAN网络接口。
3 内部网络不同部门之间的连接
这种应用环境就是在一个企业内部网络之间,对一些安全性要求较高的部门(如人事管理或财务管理等)进行隔离保护,通过防火墙保护内部网络中敏感部门的资源不被非法访问,在这些部门网络主机中的数据对于企业来说是非常重要的,因为它不能完全脱离企业网络,但其中的数据又不能随便提供给企业网络中的用户访问。这时有几种解决方案通常是采用VLAN配置,但这种方法需要配置三层及以上交换机,同时配置方法较为复杂。另一种有效的方法就是采用防火墙进行隔离,在防火墙上进行相关的配置(比起划分VLAN来简单许多)。
通过防火墙隔离后,尽管同属于一个内部局域网,但是其他用户的访问都需要经过防火墙的过滤,符合条件的用户才能访问。这类防火墙通常不仅通过过滤来筛选数据包,而且还要对用户身份的合法性(在防火墙中可以设置允许哪些用户访问)进行识别。通常为自适应代理服务器型防火墙,这种防火墙方案还可以有日志记录功能,对网络管理员了解网络安全现状及改进非常重要。在如图4所示的网络中,同是一个企业的内部网络,可以将需要受到保护的重要部门和一些服务器通过防火墙连接至其他网络。
4 用户与中心服务器之间的连接
对于一个服务器中心而言,大多数服务器都需要对第三方(合作伙伴或互联网用户等)开放,但是所有这些服务器分别属于不同用户所有,其安全策略也各有不同,如果把它们都定义在同一个安全区域中,显然不能满足各用户的不同需求。这时,就可以按不同安全策略保护这些服务器,根据实施方式的不同又可以分为以下两种网络环境。
1)每台服务器单独配置独立防火墙
此种方法是最容易实现也是最直观的,但这种方案无论从经济上,还是从使用和管理的灵活可靠性上都不是最好的。它需要购买与托管代理服务器数据一样多的防火墙,对托管中心来说投资非常大,而且托管中心管理员面对这么多防火墙,其管理难度比较高。
2)配置虚拟网络防火墙
这主要是利用三层交换机的VLAN功能,先在三层交换机上将有不同安全要求的服务器划分至不同的VLAN。然后,借助对高性能防火墙模块的VLAN子网配置,将防火墙划分为多个虚拟防火墙,如图5所示。这种方案虽然配置较为复杂,但是,一旦配置完成,以后的使用和管理将相当方便,就像用交换机管理多个VLAN子网一样来管理每个用户服务器,而且该方案在现实中比较经济可行。
借助三层交换机或路由器内置的防火墙模块,也可以为不同的用户VLAN配置不同的安全策略,从而将网络攻击限制在不同的VLAN中,从而保证整个企业网络的安全。
参考文献:
[1] 石炎生,等.计算机网络工程实用教程[M]. 2版.北京:电子工业出版社,2011.
[2] 戴莲芬.基于智能防火墙的网络安全设计[J].信息安全与技术,2011(4).
[3] 许诺全.基于防火墙技术的网络系统安全设计[J].网络安全技术与应用,2014(5).
[4] 王博立.计算机网络的安全设计与系统化管理[J].信息技术与信息化,2014(10).
[5] 孙亚志.基于防火墙的网络边界安全的设计与实现[J].科技资讯,2010(7).
[6] 贾志高. 基于防火墙和网络入侵检测技术的网络安全研究与设计[J].甘肃科技,2009(18).
[7] 赵平. 基于防火墙日志的网络隔离安全审计系统设计与实现[J].计算机应用研究,2007(7).
[8] 石淑华,池瑞楠.编计算机网络安全技术[M]. 3版.北京:人民邮电出版社,2012.