有效部署防火墙的两种方式

文/刘化君

有效部署防火墙的两种方式

文/刘化君

采取基于区域分割的层叠方式或三角方式来部署防火墙系统，以实现比较安全的网络环境。

防火墙是目前最为流行也是应用最为广泛的网络安全技术。在构建安全网络的过程中，防火墙作为第一道安全防线正受到越来越多用户的关注。

防火墙的设计基于两大假设：1.在防火墙内部各主机是可信的；2.防火墙外部每一个访问都是攻击性的，至少是有被攻击的可能性。这种假设已不能适应互联网的发展需求。大量事实显示，来自内外结合的攻击是当前网络安全的最大威胁。显然，单一的防火墙难以消除这一威胁，需要采取综合的防范措施，其中，如何在网络系统部署及其配置防火墙是关键性的工作。本文讨论如何采取层叠方式或区域分割的三角方式来部署防火墙系统，以实现比较安全的网络环境。

图1 防火墙系统的层叠方式部署方案

部署方案

目前，防火墙作为用来实现网络安全的一种手段，主要是用来拒绝未经授权用户的访问、存取敏感数据，同时允许合法用户访问网络资源不受影响。安装防火墙的基本原则是只要有恶意侵入的可能，无论是在内网还是在与外部公网的连接处，都应该安装防火墙。那么，究竟应该在哪些地方部署防火墙呢？通常，防火墙规则的实施和入侵检测系统的部署安装防火墙的位置是在机构内联网与互联网的接口处，以阻挡来自互联网的入侵；如果机构内联网规模较大，并且设置有虚拟局域网（VLAN），可以在各VLAN 之间设置；有时，在与互联网连接的各分支机构之间也设置防火墙。这样加固网络，看起来比较安全，但并不是一个优化的方案。通过分析研究与实践，我们设计了一个基于区域分割的层叠方式或三角方式来部署防火墙系统，可以实现比较安全的网络环境。层叠方式

基于区域分割的层叠方式的防火墙系统使用2台中心防火墙，将DMZ区域放置在2台防火墙之间，如图1所示。其中，连接外部网络和DMZ区域的防火墙仅仅承担一些数据包过滤任务，通常由边界路由器的访问控制列表ACL来实现，而连接内部网络和DMZ区域的中心防火墙是1台专用防火墙，实施详细的访问控制策略。

三角方式

基于区域分割的三角方式防火墙系统部署方案如图2所示（见下页）。它将区域分割为内联网（军事化区域）、互联网（外联网）和非军事化区域（DMZ区域）3个区域，通过中心防火墙以三角方式连接起来。例如，将Web服务器、邮件服务器、DNS服务器放置在DMZ区域，而内部代理服务器、数据库服务器、文件服务器等服务器都放置在内网中，从而使其得到良好的安全保护。

这种基于区域分割的三角方式部署的防火墙系统，分为中心防火墙和个人防火墙两大模块。中心防火墙布置在1个双宿主主机上，由IPSec安全子模块、安全策略管理子模块和用户认证子模块构成，同时，采用一次一密认证机制，即远程主机与用户客户机共享1把密钥，客户机首先向远程主机发送1个认证请求，远程主机则回应1个随机串，客户机采用自己的密钥加密这1个随机串并回送给远程主机，远程主机用共享的密钥进行相同处理，并对比结果，若匹配则认证身份成功，反之则失败。因此可以很好地支持用户级的分级安全策略管理。

以职员A使用某客户机在网络上检索信息为例。首先，A发出认证请求，中心防火墙模块认证其身份，成功后分发该用户的用户安全策略。然后，A打开浏览器连接一个网站(IPSec加密传输)，安全策略允许其连接，则该连接请求通过防火墙，客户机与Web服务器进行正常的信息交换。如果Web服务器不支持IPSec协议，则客户机与防火墙之间的传输是加密的，防火墙与W e b服务器之间则是非加密的；如果Web服务器支持IPSec协议的主机，则在防火墙与Web服务器之间采用IPSec隧道模式传输数据。当A访问的某一页面中含有安全策略禁止的内容时，个人防火墙模块将丢弃该页面连接。接下来，如果A想访问其他某网站，那么管理员级安全策略会禁止这一连接企图，因此中心防火墙模块将根据安全策略丢弃这一请求。最后，A注销用户，完成一次安全服务。这样也便于采用动态配置防火墙策略对防火墙系统进行测试。

图2 防火墙系统的三角方式部署

硬件防火墙的配置

不同的防火墙在网络性能、安全性和应用透明性等方面各有利弊。硬件防火墙具有工作速度快、使用方便等特点。通常使用的硬件防火墙产品多数是Cisco公司生产的PIX/ASA防火墙，并且有多种型号可供选择使用，其中，Cisco Firewall PIX 525就是一款市场占有率较高的典型硬件防火墙。PIX 525是一种机架式标准（即能安装在标准的机柜里），有2U的高度，正面与Cisco路由器一样，只有一些指示灯；从背板看，有2个Ethernet端口（RJ-45网卡），1个控制端口（Console），2个USB，1个15针的Failover口，还有3个PCI扩展端口。

防火墙与路由器一样，在使用之前也需要进行配置。各种防火墙的配置方法基本类似，现以Cisco PIX 525防火墙为例，简单讨论其基本配置规则和方法。按照图2所示的基于区域分割的三角方式部署防火墙系统后，譬如：内联网G0(inside，IP：192.168.1.0)、外联网G1（outside，IP：192.168.2.0）和DMZ区域G2（放置对外开放的各种服务器，IP:192.168.3.0），可采取如下访问控制规则配置防火墙，实现网络的安全访问控制：

1.inside（IP：192.168.1.0/24）可以通过防火墙访问任何outside，但需要配合static进行静态地址转换。例如：

PIX525(config)# static (inside，outside)192.168.1.6 192.168.2.0，表示内部IP地址192.168.1.6，访问外部时被翻译成192.168.2.0全局地址。

PIX525(config)# static (dmz，outside)192.168.3.8 192.168.2.0，表示中间区域IP地址192.168.3.8，访问外部时被翻译成192.168.2.0全局地址。

2.inside可以访问DMZ区，内网用户可以使用管理DMZ中的各种服务器。例如，制定一个允许内网中的客户机访问端口80的规则，其命令为:

使用这个访问控制列表之后，内部主机访问外联网络的Web服务器(路由器)受到了限制。

3.outside不能访问inside区。inside区域中存放的是内部数据，这些数据不允许外联网用户进行访问。outside可以访问DMZ区的各种服务器，但需要配合访问控制列表(ACL)。例如：

4.DMZ既不能访问outside区，也不能访问inside区。因为DMZ中的服务器是专门用于给外界提供服务的，所以外网可以访问DMZ，而DMZ中的服务器则没有必要主动访问外网。如果允许DMZ访问inside区，当入侵者攻陷DMZ时，就可以进一步攻击内网的重要敏感数据。

ACL实现防火墙的部分功能

由于许多路由器具有很强的IP数据包过滤功能，在实现IP数据包转发的同时可以进行包过滤。因此，除了采取专用设备作为防火墙系统之外，对于一般复杂程度的安全策略，也可以通过直接配置路由器的访问控制列表（ACL）来实现防火墙的部分功能。

以Cisco路由器的过滤规则为例，若允许来自任何源IP地址和源端口、目的IP地址为192.168.2.0、端口号为80的TCP报文通过，其命令表项为：

若允许来自任何源IP地址、源端口为20、目的IP地址为192.168. 0.0/16，而且目的端口号在1023以上的TCP报文通过，其命令表项为：

注意，此处的0.0.255.255表示16位子网掩码，与通常的表示方式（255.255.0.0）恰好相反，这是Cisco路由器设备的约定。一个比较复杂的配置示例为：

经过这样配置路由器过滤功能之后，可以实现较为安全的网络环境。

随着互联网技术的飞速发展，网络安全问题将愈来愈引起人们的重视。尽管人们研究设计了各种各样的安全防御技术与方案，但仍然频频发生网络安全事故。以基于区域分割的层叠式或三角方式部署和配置防火墙系统，可有效地提高网络的健壮性。当然，网络安全单靠防火墙或者某种优化配置方案是不够的，需要有其它安全技术及非技术因素的配合，如数据加密技术、身份认证技术、网络法规、网络管理人员的安全意识等。

(作者单位为南京工程学院)