防火墙在网络安全中的应用

2020-10-14赵菁

网络安全技术与应用 2020年10期

◆赵菁

防火墙在网络安全中的应用

◆赵菁

（北京信息职业技术学院北京 100018）

防火墙作为网络防护的第一道防线，在网络安全防护中起到至关重要的作用，以防火墙的典型应用案例为背景，在对目前的网络安全环境、案例背景与用户需求分析的基础上，给出防火墙解决方案，解决了案例中各学校接入教委信息中心，实现安全、低成本的互联接入和移动办公问题。

防火墙；网络安全；应用；教育网

当前，各行各业的业务应用更多地通过网络的形式开展，给人们的工作和生活带来极大的便利，与此同时，由于信息系统的弱点可能会引发一系列潜在的新问题，如物理威胁、身份鉴别威胁、线缆连接造成的威胁、有害程序造成的威胁以及攻击技术门槛低等，使得网络安全环境变得更为复杂与不安全。防火墙作为网络安全防护的关键设备，在网络安全防护中发挥着中流砥柱的作用。本文旨在讨论防火墙的相关技术及其在网络中的部署、安全策略配置的思路。

1 案例背景与需求分析

1.1 案例背景

某市教委教育信息网依托教育信息网络平台，构成了以教委为中心，各学校教学子网、办公子网、宿舍区子网、图书馆子网等组成的网络体系，在此基础上开展了多样化的教学和科研业务。

目前该网络基础设施已基本建设完成，具有以下几个显著特点：首先是教委信息中心作为校园网的核心面向学生师生，是系统的建设重点；其次各学校校园网数据应用类型比较复杂，主要包括提供网上浏览、电子邮件、远程登录的信息服务系统，提供多媒体网上教学平台的教学应用系统，为各学校综合教务提供服务的办公自动化管理系统，人事信息、教学资源管理应用系统，提供教学科研图书资料的电子图书馆等。

1.2 需求分析

该教委以及各学校网络的安全建设目前还比较简单，存在着较多的安全隐患，根据各学校的网络和应用特点，从信息安全的角度出发并结合本学期安全项目建设目标，教委及各学校主要存在以下的安全需求：

（1）在各学校网络出口处部署访问控制设备，防止外网非授权数据进入学校内网，实现学校内网和广域网的逻辑隔离。

（2）实现对访问控制设备的集中管理，实现策略统一下发，日志集中存储。

（3）建立统一安全管理平台，对全网设备进行有效监控，并对整个安全态势进行感知，实时准确定位安全事件发生源，对信息系统所面临的蠕虫病毒及黑客入侵等网络攻击形成一套监控、预警、发现、响应的机制。

（4）建立系统、有效的安全管理制度。

2 防火墙概述

2.1 防火墙的定义、分类、功能

防火墙（Firewall）是指隔离在内部网络与外部网络之间的一道防御系统，它能挡住来自外部网络的攻击和入侵，保障内部网络的安全。防火墙可以按照形态划分为硬件防火墙及软件防火墙；按照保护对象划分可以分为单机防火墙及网络防火墙等。但总的来说，最主流的划分方法是按照访问控制方式进行分类，可以分为包过滤防火墙、代理防火墙和状态检测防火墙。

防火墙具有的功能包括：包过滤、远程管理、NAT技术、代理、流量控制（带宽管理）和统计分析、流量计费、VPN等。

2.2 防火墙的部署目标与部署位置

常见的部署目标包括以下五个方面：实现安全区域的划分与隔离；实现对某重点安全区域（主机）的访问控制；实现常见非法访问的阻断和日志记录；实现内部用户访问互联网的行为控制（带宽分配、P2P使用现状）；实现对所有网络访问的基本日志记录。常见的部署位置包括：网络边界、区域边界、主机边界、控制域边界等。

3 防火墙安全策略

3.1 防火墙包过滤技术

包过滤作为一种网络安全保护机制，主要用于对网络中各种不同的流量是否转发做一个最基本的控制。传统的包过滤防火墙对于需要转发的报文，会先获取报文头信息，包括报文的源IP地址、目的IP地址、IP层所承载的上层协议的协议号、源端口号和目的端口号等，然后和预先设定的过滤规则进行匹配，并根据匹配结果对报文采取转发或丢弃处理。实现包过滤的核心技术是访问控制列表。

包过滤防火墙的缺点：转发机制是逐包匹配包过滤规则并检查，因此转发效率低下。

3.2 防火墙转发原理

针对包过滤防火墙的缺点，目前防火墙基本使用状态检查机制将只对一个连接的首包进行包过滤检查，如果这个首包能够通过包过滤规则的检查，并建立会话的话，后续报文将不再继续通过包过滤机制检测，而是直接通过会话表进行转发。防火墙的查询和创建会话如图1所示。可以看出，对于已经存在会话表的报文的检测过程比没有会话表的报文要短很多。而通常情况下，通过对一条连接的首包进行检测并建立会话后，该条连接的绝大部分报文都不再需要重新检测。这就是状态检测防火墙的“状态检测机制”相对于包过滤防火墙的“逐包检测机制”的改进之处。这种改进使状态检测防火墙在检测和转发效率上有迅速提升。

图1 防火墙的查询和创建会话

3.3 防火墙安全策略

防火墙安全策略是指要明确地定义允许使用或禁止使用的网络服务。控制策略分为两种，一是宽松的控制策略，即除非明确允许，否则就禁止；二是限制的控制策略，即除非明确禁止，否则就允许。

4 双机热备

4.1 双机热备技术简介

传统组网中，只有一台防火墙部署在出口，当防火墙出现故障后，内部网络中所有以防火墙作为默认网关的主机与外部网络之间的通讯中断，通讯可靠性无法保证。双机热备份技术的出现改变了可靠性难以保证的尴尬状态，通过在网络出口位置部署两台或多台网关设备，保证了内部网络于外部网络之间的通讯畅通。

防火墙作为安全设备，一般会部署在需要保护的网络和不受保护的网络之间，即位于业务接口点上。在这种业务点上，如果仅仅使用一台防火墙设备，无论其可靠性多高，系统都可能会承受因为单点故障而导致网络中断的风险。为了防止一台设备出现意外故障而导致网络业务中断，可以采用两台防火墙形成双机备份。在防火墙双机热备组网中涉及的3个协议分别是VRRP（Virtual Router Redundancy Protocol）协议、VGMP（VRRP Group Management Protocol）协议和HRP（Huawei Redundancy Protocol）协议。

VRRP协议是虚拟路由冗余协议，通过把几台路由设备联合组成一台虚拟的路由设备，将虚拟路由设备的IP地址作为用户的默认网关实现与外部网络通信。当网关设备发生故障时，VRRP机制能够选举新的网关设备承担数据流量，从而保障网络的可靠通信。VGMP协议是华为公司的私有协议。VGMP协议中定义了VGMP组，防火墙基于VGMP组实现设备主备状态管理。HRP协议华为冗余协议（华为私有）用来将主防火墙关键配置和连接状态等数据向备防火墙上同步。

4.2 双机热备组网

双机热备组网最常见的是防火墙采用路由模式，下行交换机双线上联到防火墙，正常情况下防火墙A作为主，当防火墙A上行或下行链路down掉后，防火墙B自动切换为主设备，交换机流量走向防火墙B。双机热备基本组网如图2所示。

图2 双机热备基本组网

5 解决方案

5.1 拓扑图

市教委与各个学校之间的网络连接如图3所示。在教委互联网出口处部署两台防火墙，如图4所示。出口处防火墙采用双机热备方式部署，当一台防火墙崩溃时，另外一台防火墙存有所有会话的备份，从而保证业务的高可用性。同时，充分发挥防火墙的入侵防御、深度内容过滤、高可用性、管理审计等功能，做到事前可见、事中可控、事后可查。通过设置过滤规则，仅允许外部用户访问特定主机的特定服务端口，有效保护教委教育信息网的内网安全。

在各学校网络边界处部署防火墙，对网络内部的相互访问进行访问控制。确保合法用户正常使用网络资源、防止外部用户非法访问该教委下属各学校的内网，阻止网络攻击和越权访问，确保网络访问在有序和可控的环境下进行。

采用安全管理平台对该网络中的主机设备、网络设备、安全设备等进行集中监控管理，它包括网络拓扑管理、性能管理、故障管理、安全审计、事件和告警管理等功能模块。

图3 市教委与各个学校之间的网络连接

图4 教委互联网出口处部署两台防火墙

5.2 防火墙安全策略

在教委防火墙的安全策略方面，教委的出差员工移动办公，可通过防火墙建立SSL VPN与总部进行通信。防火墙作为Web代理端。当出差员工发出访问请求时，Web代理端负责从内网Web服务器上获取正确的Web资源返回给用户。

学校和教委之间进行某些特定资源的互访，传输数据需要加密。由于两者的外网IP地址固定，可通过点到点的IPSec VPN来实现。

在各学校防火墙的安全策略方面，配置Trust—ISP1的域间包过滤，允许校内用户访问ISP1。配置Trust—ISP2的域间包过滤，允许校内用户访问ISP2。配置ISP1—DMZ的域间包过滤，允许校外用户访问DMZ区域的服务器，配置ISP2—DMZ的域间包过滤，允许校外用户访问DMZ区域的服务器，配置Trust—DMZ的域间包过滤，允许校内用户访问服务器。在域间开启ASPF功能，防止多通道协议无法建立连接。配置QoS策略