【正文】 第六章 防火墻原理及其配置 本章要點(diǎn)： 防火墻的概念、類型、目的與作用 防火墻的設(shè)計(jì)與創(chuàng)建 基于防火墻的安全網(wǎng)絡(luò)結(jié)構(gòu) 防火墻的配置與管理 引例 ：亞東制藥防火墻防御體系 北京亞東生物制藥有限公司成立于 1991 年，為股份制企業(yè)，擁有員工 300 余人，是以一大批教授、 高級工程師、主任藥師為核心的高新技術(shù)企業(yè)。其科研生產(chǎn)基地坐落于北京昌平科技園區(qū)，擁有國內(nèi)先進(jìn) 制藥生產(chǎn)設(shè)備，生產(chǎn)有膠囊、顆粒、丸劑、口服液等劑型，分裝車間共 16000m，并具有國內(nèi)先進(jìn)水平 的年處理中藥材 6000t 的中藥提取車間及配套的生產(chǎn)設(shè)備。該公司以科研生產(chǎn)生物制品、中成藥為主，全廠已通過國家藥品監(jiān)督管理局認(rèn)證中心組織的 GMP 認(rèn)證。 1．現(xiàn)狀概述 亞東藥業(yè)現(xiàn)今在大興有一個(gè)制藥廠，在海淀區(qū)有一個(gè)公司，網(wǎng)絡(luò)中心在海淀公司之內(nèi)。公司內(nèi)有近 200 臺普通客戶端和數(shù)臺服務(wù)器 (主要是 OA、 VPN、財(cái)務(wù) )，公司同大興廠通過 VPN 專線進(jìn)行互聯(lián)。由于專線在和工廠互聯(lián)的同時(shí)也承擔(dān)公司日常辦公任務(wù)，所以經(jīng)常會遭到來自互聯(lián)網(wǎng)絡(luò)的攻擊或入侵。 2．需求分析 如果辦公網(wǎng)絡(luò)遭受入侵，將很有可能導(dǎo)致各部門的機(jī)密資料外泄，甚至泄露重要的商業(yè)機(jī)密。防火墻是抵御黑客的第一道防線，可檢查進(jìn)出的數(shù)據(jù)包，透視應(yīng)用層協(xié)議，與既定的安全策略進(jìn)行比較。防火墻 可以提供用戶認(rèn)證、負(fù)載均衡、網(wǎng)絡(luò)地址翻譯 (NAT)等功能，是保證網(wǎng)絡(luò)初步安全必不可少的設(shè)備。如果第一道防線沒有經(jīng)過安全的配置，這道防線就形同虛設(shè)，那么這個(gè)網(wǎng)絡(luò)就沒有安全性可言了。 3．系統(tǒng)安全目標(biāo) 基于以上的分析，瑞星公司認(rèn)為亞東制藥有限公司的網(wǎng)絡(luò)系統(tǒng)安全應(yīng)該實(shí)現(xiàn)以下目標(biāo)。 ①建立一套完整可行的網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理策略。 ②將亞東制藥局域網(wǎng)、公司服務(wù)器組和公司辦公網(wǎng)進(jìn)行有效隔離，避免公司局域網(wǎng)、公司服務(wù)器組和公司辦公網(wǎng)絡(luò)的直接通信。 ③建立辦公網(wǎng)絡(luò)各主機(jī)和服務(wù)器的安全保護(hù)措施，保證系統(tǒng)安全。 ④ 對網(wǎng)上服務(wù)請求內(nèi)容進(jìn)行控制，使非法訪問在到達(dá)主機(jī)前被拒絕。 ⑤加強(qiáng)合法用戶的訪問認(rèn)證，同時(shí)將用戶的訪問權(quán)限控制在最低限度。 ⑥加強(qiáng)對各種訪問的審計(jì)工作，詳細(xì)記錄對網(wǎng)絡(luò)、公開服務(wù)器的訪問行為，形成完整的系統(tǒng)日志。 ⑦加強(qiáng)網(wǎng)絡(luò)安全管理，提高系統(tǒng)全體人員的網(wǎng)絡(luò)安全意識和防范技術(shù)。 4．方案設(shè)計(jì)概述 根據(jù)需求，在方案中將防火墻系統(tǒng)保護(hù)的安全區(qū)域定義為亞東制藥公司及大興制藥廠；防火墻部署在 亞東制藥公司邊界網(wǎng)關(guān)處，即公司局域網(wǎng)及外連路由器之間；防火墻部署采用 “ 路由 ” 模式加 NAT 的模式。通過對網(wǎng)絡(luò)系統(tǒng)的安全風(fēng)險(xiǎn)、安全需求以及安全目標(biāo)的分析，結(jié)合亞東制藥網(wǎng)絡(luò)的實(shí)際情況，在亞東制藥局域網(wǎng)系統(tǒng)中，應(yīng)該著重考慮對公司服務(wù)器組區(qū)域和公司內(nèi)部辦公網(wǎng)絡(luò)區(qū)域進(jìn)行安全防護(hù)；同時(shí)對于亞東制藥局域網(wǎng)各部門機(jī)構(gòu)服務(wù)器組網(wǎng)絡(luò)要考慮數(shù)據(jù)的保密性和完整性；對于亞東制藥辦公網(wǎng)絡(luò)要考慮服務(wù)器的安全性。建議在總部和制藥廠之間使用防火墻系統(tǒng)進(jìn)行安全保護(hù)，做到萬無一失。 防火墻的概述 防火墻的定義 1. 從邏輯上講 ， 防火墻既是一個(gè)分離器 、 限制器也是一個(gè)分析器； 2. 從具體實(shí)現(xiàn)上講 ， 防火墻是一個(gè)獨(dú)立的進(jìn)程或一組緊密聯(lián)系的進(jìn)程 ， 運(yùn)行在路由器或服務(wù)器上； 3. 防火墻三大要素：安全 、 管理和速度 。 防火墻是位于兩個(gè)或多個(gè)網(wǎng)絡(luò)之間 ， 執(zhí)行訪問控制策略的一個(gè)或一組系統(tǒng) ， 是一類防范措施的總稱 。 防火墻基本要求： 1. 內(nèi)部和外部之間的所有網(wǎng)絡(luò)數(shù)據(jù)流必須經(jīng)過防火墻 ； 2. 只有符合安全政策的數(shù)據(jù)流才能通過防火墻 ； 3. 防火墻自身應(yīng)對滲透 (peration)免疫 。 防火墻實(shí)際上是一種訪問控制技術(shù)，它在一個(gè)被認(rèn)為是安全、可信的內(nèi)部網(wǎng)絡(luò)和一個(gè) 不安全、可信的外部網(wǎng)絡(luò)之間設(shè)置障礙，阻止對信息資源的非法訪問，也可以阻止保密信息從受保護(hù)網(wǎng)絡(luò)上被非法輸出。它能允許用戶 “ 同意 ” 的人和數(shù)據(jù)進(jìn)入用戶的網(wǎng)絡(luò)，同時(shí)將用戶 “ 不同意 ” 的人和數(shù)據(jù)拒之網(wǎng)外。防火墻是一類防范措施的總稱，不是一個(gè)單獨(dú)的計(jì)算機(jī)程序或設(shè)備。在物理上，它通常是一組硬件設(shè)備和軟件的多種組合；在邏輯上，它是分離器、限制器和分析器的組合，它有效地監(jiān)控了內(nèi)部網(wǎng)和公眾網(wǎng)之間的任何活動。 在 Inter 上應(yīng)用防火墻可以構(gòu)造一種非常安全的網(wǎng)絡(luò)拓?fù)?，如圖 所示。它安裝在信任網(wǎng)絡(luò)和非信任網(wǎng)絡(luò)之間，通過它可以隔離非信任網(wǎng)絡(luò) (即 Inter 或局域網(wǎng)的一部分 )與信任網(wǎng)絡(luò) (局域網(wǎng) )的連接，同時(shí)不會妨礙人們對非信任網(wǎng)絡(luò)的訪問。 內(nèi)部可信任網(wǎng)絡(luò) 外部非信任網(wǎng)絡(luò) Inter 防火墻 防火墻的功能 防火墻具有如下幾個(gè)基本功能 1．訪問控制 防火墻是網(wǎng)絡(luò)安全的屏障，通過設(shè)置防火墻的過濾規(guī)則，可以實(shí)現(xiàn)對數(shù)據(jù)流的訪問控制。例如，允許內(nèi)部網(wǎng)的用戶只能夠訪問外部網(wǎng)的 Web 服務(wù)器。 2．防火墻可以強(qiáng)化網(wǎng)絡(luò)安全策略 通過以防火墻為中心的安全方案配置，可以將所有安全軟件 (如口令、加密、身份認(rèn)證、審計(jì)等 )配置在防火墻上。 3．對網(wǎng)絡(luò)存取和訪問進(jìn)行監(jiān)控審計(jì) 如果所有的訪問都經(jīng)過防火墻，那么，防火墻就能記錄下這些訪問并做出日志記錄，同時(shí)也能提供網(wǎng)絡(luò)使用情況的統(tǒng)計(jì)數(shù)據(jù)。當(dāng)發(fā)生可疑動作時(shí)，防火墻能進(jìn)行適當(dāng)?shù)膱?bào)警，并提供網(wǎng)絡(luò)是否受到監(jiān)測和攻擊的詳細(xì)信息。另外，收集網(wǎng)絡(luò)的使用和誤用情況也是非常重要的，首先可以清楚防火墻是否能夠抵擋攻擊者的探測和攻擊，并且清楚防火墻的控制是否充足；另外，網(wǎng)絡(luò)使用統(tǒng)計(jì)對網(wǎng)絡(luò)需求分析和威脅分析也是非常重要的。 4．防止內(nèi)部信息的外泄 通過利用防火墻對內(nèi)部網(wǎng)絡(luò)進(jìn)行劃分，可實(shí)現(xiàn)對內(nèi)部網(wǎng)重點(diǎn)網(wǎng)段的隔離，從而限制了局部重點(diǎn)或敏感網(wǎng)絡(luò)安全問題對全局網(wǎng)絡(luò)造成的影響。再者，隱私是內(nèi)部網(wǎng)絡(luò)非常關(guān)心的問題，一個(gè)內(nèi)部網(wǎng)絡(luò)中不引人注意的細(xì)節(jié)可能包含了有關(guān)安全的線索，從而引起外部攻擊者的興趣，甚至因此而暴露了內(nèi)部網(wǎng)絡(luò)的某些安全漏洞。使用防火墻就可以隱蔽那些透露內(nèi)部細(xì)節(jié)的服務(wù)，如 Finger、 DNS 等。 Finger顯示了主機(jī)所有用戶的注冊名、真實(shí)名稱、最后登錄時(shí)間和使用 shell 類型等信息，但是 Finger 顯示的信息非常容易被攻擊者獲悉。 攻擊者可以知道一個(gè)系統(tǒng)使用的頻繁程度，這個(gè)系統(tǒng)是否有用戶正在連線上網(wǎng)，這個(gè)系統(tǒng)是否在被攻擊時(shí)引起注意等。使用防火墻可以阻塞有關(guān)內(nèi)部網(wǎng)絡(luò)的 DNS 信息，這樣主機(jī)的域名和 IP地址就不會被外界所了解。 5．支持 VPN 功能 除了安全作用，防火墻還支持具有 Inter服務(wù)特性的企業(yè)內(nèi)部網(wǎng)絡(luò)技術(shù)體系 VPN 。通過 VPN，可以將企事業(yè)單位地域上分布在全世界各地的 LAN或?qū)Ｓ米泳W(wǎng)，有機(jī)地聯(lián)成一個(gè)整體，這樣不僅省去了專用通信線路，而且為信息共享提供了技術(shù)保障。 6．支持網(wǎng)絡(luò)地址轉(zhuǎn)換 網(wǎng)絡(luò)地址轉(zhuǎn)換 (Network Address Translation， NAT)指將一個(gè) IP 地址域映射到另一個(gè) IP地址域，對所有內(nèi)部地址透明地進(jìn)行轉(zhuǎn)換，使外部網(wǎng)絡(luò)無法了解內(nèi)部網(wǎng)絡(luò)的內(nèi)部結(jié)構(gòu)。在防火墻上實(shí)現(xiàn) NAT 后，可以隱藏受保護(hù)網(wǎng)絡(luò)的內(nèi)部結(jié)構(gòu)，在一定程度上提高網(wǎng)絡(luò)的安全性。 NAT 常用于私有地址域與公有地址域的轉(zhuǎn)換，以解決 IP 地址匱乏問題。 確保一個(gè)單位內(nèi)的網(wǎng)絡(luò)與因特網(wǎng)的通信符合該單位的安全方針 ， 為管理人員提供下列問題的答案 : – 誰在使用網(wǎng)絡(luò) ？ – 他們在網(wǎng)絡(luò)上做什么 ？ – 他們什么時(shí)間使用了網(wǎng)絡(luò) ？ – 他們上網(wǎng)去了何處 ？ – 誰要上網(wǎng)沒有成功 ？ 防火墻的發(fā)展過程 防火墻的發(fā)展大致分為以下 4 個(gè)階段。 1．包過濾防火墻 第一代包過濾防火墻與路由器同時(shí)出現(xiàn)，實(shí)現(xiàn)了根據(jù)數(shù)據(jù)包頭信息的靜態(tài)包過濾。靜態(tài)包過濾防火墻對所接收的每個(gè)數(shù)據(jù)包做允許拒絕的決定，防火墻審查每個(gè)數(shù)據(jù)包以便確定其是否與某一條包過濾規(guī)則匹配。過濾規(guī)則是基于可以提供給 IP 轉(zhuǎn)發(fā)過程的包頭信息的。 包過濾主要檢查包頭中的下列內(nèi)容： IP源地址、 IP目標(biāo)地址、協(xié)議類型 (TCP、 UDP或 ICMP)、 TCP 或 UDP 包的目的端口、 TCP 或 UDP 包的源端口、ICMP 消息類型、 TCP 包頭的 ACK 用戶透明。但缺點(diǎn)是維護(hù)比較困難；不能有效防止黑客的 IP 欺騙攻擊；不支持應(yīng)用層的過濾，不能防范數(shù)據(jù)驅(qū)動型攻擊；無法對網(wǎng)絡(luò)上流動的信息提供全面的控制。因此，靜態(tài)包過濾的安全性較低。 2．代理防火墻 第二代防火墻工作在應(yīng)用層，能夠根據(jù)具體的應(yīng)用對數(shù)