全與防火墻技術(shù) 防火墻配置

7防火墻配置?

7.

1

個人防火墻配置?

7.

1.

1

諾頓個人防火墻?

Symantec公司推出的NortonPersonalFirewall（諾頓個人防火墻)是專門針對家庭

和個人用戶的防火墻軟件

，

它可以有效地防范各種黑客程序

、特洛伊木馬對用戶計算機的攻擊

，

并且通過其特有的系統(tǒng)檢測功能阻止系統(tǒng)內(nèi)隱藏的程序向外界發(fā)送各種信息。?7.1.2天網(wǎng)防火墻個人版?1)系統(tǒng)設(shè)置?在防火墻的控制面板中單擊“系統(tǒng)設(shè)置”按鈕,即可展開防火墻系統(tǒng)設(shè)置面板。?天網(wǎng)個人版防火墻系統(tǒng)設(shè)置界面如圖7.1所示。?⑴啟動設(shè)置選中開機后自動啟動防火墻,天網(wǎng)個人版防火墻將在操作系統(tǒng)啟動的時候自動啟動,否則天網(wǎng)防火墻需要手工啟動。圖7.1系統(tǒng)設(shè)置界面?⑵防火墻自定義規(guī)則重置單擊該按鈕,防火墻將彈出窗口,如圖7.2所示。圖7.2防火墻自定義規(guī)則重置?如果單擊“確定”按鈕,天網(wǎng)防火墻將會把防火墻的安全規(guī)則全部恢復(fù)為初始設(shè)置,對安全規(guī)則的修改和加入的規(guī)則將會全部被清除掉。?⑶防火墻設(shè)置向?qū)榱吮阌谟脩艉侠淼脑O(shè)置防火墻,天網(wǎng)防火墻個人版專門為用戶設(shè)計了防火墻設(shè)置向?qū)?界面如圖7.3所示。用戶可以跟隨它一步一步完成天網(wǎng)防火墻的合理設(shè)置。圖7.3防火墻設(shè)置向?qū)?⑷應(yīng)用程序權(quán)限設(shè)置鉤選該選項之后出現(xiàn)圖7.4所示內(nèi)容,所有的應(yīng)用程序?qū)W(wǎng)絡(luò)的訪問都默認為通行不攔截。這適合在某些特殊情況下,不需要對所有訪問網(wǎng)絡(luò)的應(yīng)用程序都做審核（如在運行某些游戲程序的時候)。圖7.4

應(yīng)用程序權(quán)限設(shè)置?⑸局域網(wǎng)地址設(shè)置在局域網(wǎng)內(nèi)的地址，其界面如圖7.5所示。?注意:如果你的機器是在局域網(wǎng)里面使用，一定要設(shè)置好這個地址。因為防火墻將會以這個地址來區(qū)分局域網(wǎng)或者是Internet的IP來源。圖7.5

局域網(wǎng)地址?⑹報警聲音設(shè)置報警聲音其界面如圖7.6所示,單擊“瀏覽”按鈕,可以自己選擇一個聲音文件作為天網(wǎng)防火墻預(yù)警的聲音。初始狀態(tài)是沒有設(shè)置報警聲音的,單擊“重置”按鈕即可將采用天網(wǎng)防火墻默認的報警聲音。圖7.6

報警聲音?⑺日志保存鉤選“每次退出防火墻時自動保存日志”復(fù)選框,其界面如圖7.7所示,當退出防火墻的保護時,天網(wǎng)防火墻將會把當日的日志記錄自動保存到SkyNet/FireWall/log文件下,打開文件夾便可查看當日的日志記錄。圖7.7

保存日志?2)安全級別設(shè)置?天網(wǎng)個人版防火墻的缺省安全級別分為低、中、高三個等級，默認的安全等級為中級，其中各等級的安全設(shè)置說明如下:?⑴低所有應(yīng)用程序初次訪問網(wǎng)絡(luò)時都將被詢問，已經(jīng)被認可的程序則按照設(shè)置的相應(yīng)規(guī)則運作。計算機將完全信任局域網(wǎng)，允許局域網(wǎng)內(nèi)部的機器訪問自己提供的各種服務(wù)（如文件、打印機共享服務(wù))，但禁止互聯(lián)網(wǎng)上的機器訪問這些服務(wù)。?⑵中所有應(yīng)用程序初次訪問網(wǎng)絡(luò)時都將被詢問,已經(jīng)被認可的程序則按照設(shè)置的相應(yīng)規(guī)則運作。禁止局域網(wǎng)內(nèi)部和互聯(lián)網(wǎng)的機器訪問自己提供的網(wǎng)絡(luò)共享服務(wù)（如文件、打印機共享服務(wù)等),局域網(wǎng)和互聯(lián)網(wǎng)上的機器將無法看到本機器。?⑶高所有應(yīng)用程序初次訪問網(wǎng)絡(luò)時都將被詢問,已經(jīng)被認可的程序則按照設(shè)置的相應(yīng)規(guī)則運作。禁止局域網(wǎng)內(nèi)部和互聯(lián)網(wǎng)的機器訪問自己提供的網(wǎng)絡(luò)共享服務(wù)（如文件、打印機共享服務(wù)等),局域網(wǎng)和互聯(lián)網(wǎng)上的機器將無法看到本機器。除了是由已經(jīng)被認可的程序打開的端口,系統(tǒng)會屏蔽掉向外部開放的所有端口。?用戶可以根據(jù)自己的需要調(diào)整自己的安全級別，方便實用。?注意:天網(wǎng)的簡易安全級別是為了方便不熟悉天網(wǎng)使用的用戶能夠很好的使用天網(wǎng)而設(shè)的。如果用戶選擇了采用簡易的安全級別設(shè)置，那么天網(wǎng)就會屏蔽掉高級的IP規(guī)則設(shè)定里規(guī)則的作用。?3)IP規(guī)則設(shè)置?⑴缺省IP規(guī)則IP規(guī)則是針對整個系統(tǒng)的網(wǎng)絡(luò)層數(shù)據(jù)包監(jiān)控而設(shè)置的。利用自定義IP規(guī)則，用戶可針對個人不同的網(wǎng)絡(luò)狀態(tài)，設(shè)置自己的IP安全規(guī)則，使防御手段更周到、更實用。用戶可以單擊“自定義IP規(guī)則”按鈕或者在“安全級別”中單擊進入IP規(guī)則設(shè)置界面。?

IP規(guī)則設(shè)置的操作界面如圖7.8所示。圖7.8自定義IP規(guī)則?關(guān)于缺省的規(guī)則各項的具體意義，這里只選擇幾項重要的來解釋。實際上“天網(wǎng)防火墻個人版”本身已經(jīng)默認設(shè)置了相當好的缺省規(guī)則，一般用戶并不需要做任何IP規(guī)則修改，就可以直接使用。?①防御ICMP攻擊:選擇該項時，別人無法用Ping的方法來確定你的存在，但不影響你去Ping別人。?②防御IGMP攻擊:IGMP是用于組播的一種協(xié)議，對于Windows的用戶是沒有什么用途的，但現(xiàn)在也被用來作為藍屏攻擊的一種方法，建議選擇此設(shè)置。?③TCP數(shù)據(jù)包監(jiān)視:通過這條規(guī)則，可以監(jiān)視機器與外部之間的所有TCP連接請求。?注意:這只是一個監(jiān)視規(guī)則，開啟后會產(chǎn)生大量的日志，該規(guī)則是給熟悉TCP/IP協(xié)議網(wǎng)絡(luò)的人使用的，如果不熟悉網(wǎng)絡(luò)，請不要開啟。這條規(guī)則一定要是TCP協(xié)議規(guī)則的第一條。?④禁止互聯(lián)網(wǎng)上的機器使用我的共享資源:禁止互聯(lián)網(wǎng)上的機器使用我的共享資源，開啟該規(guī)則后，別人就不能訪問你的共享資源，包括獲取你的機器名稱。?⑤禁止所有人連接低端端口:防止所有的機器和自己的低端端口連接。由于低端端口是TCP/IP協(xié)議的各種標準端口，幾乎所有的Internet服務(wù)都是在這些端口上工作的，所以這是一條非常嚴厲的規(guī)則，有可能會影響使用某些軟件。如果需要向外面公開特定端口，可在本規(guī)則之前添加使該特定端口數(shù)據(jù)包可通行的規(guī)則。?⑥允許已經(jīng)授權(quán)程序打開的端口:某些程序，如ICQ，視頻電話等軟件，都會開放一些端口，這樣，你的同伴才可以連接到你的機器上。本規(guī)則可以保證這些軟件可以正常工作。?⑦禁止所有人連接:防止所有的機器和自己連接。這是一條非常嚴厲的規(guī)則，有可能會影響使用某些軟件。如果需要向外面公開特定端口，在本規(guī)則之前添加使該特定端口數(shù)據(jù)包可通行的規(guī)則。該規(guī)則通常放在最后。?⑧UDP數(shù)據(jù)包監(jiān)視:通過這條規(guī)則，可以監(jiān)視機器與外部之間的所有UDP包的發(fā)送和接受過程。注意:這只是一個監(jiān)視規(guī)則，開啟后可能會產(chǎn)生大量的日志，平常請不要打開。這條規(guī)則是給熟悉TCP/IP協(xié)議網(wǎng)絡(luò)的人使用，如果不熟悉網(wǎng)絡(luò)，則不要開啟。這條規(guī)則一定要是UDP協(xié)議規(guī)則的第一條。?⑨允許DNS:允許域名解釋。注意:如果要拒絕接收UDP包，就一定要開啟該規(guī)則，否則會無法訪問互聯(lián)網(wǎng)上的資源。?另外，可針對性的設(shè)置了多條安全規(guī)則，主要針對現(xiàn)在一些用戶對網(wǎng)絡(luò)服務(wù)端口的開放和木馬端口的攔截。?⑵自定義IP規(guī)則規(guī)則是一系列的比較條件和一個對數(shù)據(jù)包的動作，就是根據(jù)數(shù)據(jù)包的每一個部分來與設(shè)置的條件比較，當符合條件時，就可以確定對該包放行或者阻擋。通過合理的設(shè)置規(guī)則就可以把有害的數(shù)據(jù)包擋在系統(tǒng)之外。?IP規(guī)則的頁面主要由以下3個部分組成:?①工具條，其界面如圖7.9所示。圖7.9

工具條?可以單擊上面的按鈕來“增加規(guī)則”，“修改規(guī)則”，“刪除規(guī)則”。由于規(guī)則判斷是由上而下執(zhí)行的，還可以通過單擊“上移”或“下移”按鈕調(diào)整規(guī)則的順序（注意:只有相同協(xié)議的規(guī)則才可以調(diào)整相互順序)，還可以“導(dǎo)出”和“導(dǎo)入”已預(yù)設(shè)和已保存的規(guī)則。當調(diào)整好順序后，可單擊“保存”按鈕即可保存修改。?②規(guī)則列表，其界面如圖7.10所示。圖7.10規(guī)則列表?這里列出了所有的規(guī)則的名稱，該規(guī)則所對應(yīng)的數(shù)據(jù)包的方向，該規(guī)則所控制的協(xié)議，本機端口，對方地址和對方端口，以及當數(shù)據(jù)包滿足本規(guī)則時所采取的策略。在列表的左邊為該規(guī)則是否有效的標志，鉤選表示該規(guī)則有效，否則表示無效。?③規(guī)則說明:這里列出了規(guī)則的詳細說明。關(guān)于規(guī)則編輯的說明，通過單擊“增加”按鈕或選擇一條規(guī)則后再單擊“修改”按鈕，就會激活編輯窗口如圖711和712所示圖7.11規(guī)則修改TCP圖7.12規(guī)則修改IP?首先輸入規(guī)則的“名稱”和“說明”，以便于查找和閱讀。然后，選擇該規(guī)則是對進入的數(shù)據(jù)包還是輸出的數(shù)據(jù)包有效?！皩Ψ降腎P地址”，用于確定選擇數(shù)據(jù)包從那里來或是去哪里。注意:“任何地址”是指數(shù)據(jù)包從任何地方來，都適合本規(guī)則；“局域網(wǎng)網(wǎng)絡(luò)地址”是指數(shù)據(jù)包來自和發(fā)向局域網(wǎng)；“指定地址”是用戶自己輸入的一個地址；“指定的網(wǎng)絡(luò)地址”是用戶自己輸入的一個網(wǎng)絡(luò)和掩碼。?除了錄入選擇上面內(nèi)容，還要錄入該規(guī)則所對應(yīng)的協(xié)議，其中:?“IP”協(xié)議不用填寫內(nèi)容。注意，如果錄入了IP協(xié)議的規(guī)則，一點要保證IP協(xié)議規(guī)則的最后一條的內(nèi)容是:“對方地址:任何地址；動作:繼續(xù)下一規(guī)則”。?“TCP”協(xié)議要輸入本機的端口范圍和對方的端口范圍，如果只是指定一個端口，那么可以在起始端口處錄入該端口，結(jié)束端口處，輸入同樣的端口。如果不想指定任何端口，只要在起始端口都輸入“0”。TCP標志比較復(fù)雜，可以查閱其他資料，如果不選擇任何標志，那么將不會對標志作檢查。?“ICMP”規(guī)則要填入類型和代碼。如果輸入“255”，表示任何類型和代碼都符合本規(guī)則。?“IGMP”不用填寫內(nèi)容。?當一個數(shù)據(jù)包滿足上面的條件時，就可以對該數(shù)據(jù)包采取如下行動:?“通行”指讓該數(shù)據(jù)包暢通無阻的進入或出去。?“攔截”指讓該數(shù)據(jù)包無法進入該系統(tǒng)。?“繼續(xù)下一規(guī)則”指不對該數(shù)據(jù)包作任何處理，由該規(guī)則的下一條協(xié)議規(guī)則來決定對該包的處理。?在執(zhí)行這些規(guī)則的同時,還可以定義是否記錄這次規(guī)則的處理和這次規(guī)則的處理的數(shù)據(jù)包的主要內(nèi)容,并用右下角的“天網(wǎng)防火墻個人版”圖標是否閃爍來“警告”,或發(fā)出聲音提示。?⑶建議?①防火墻的規(guī)則檢查順序與列表順序是一致的。?②當有局域網(wǎng)時,只想對局域網(wǎng)開放某些端口或協(xié)議（但對互聯(lián)網(wǎng)關(guān)閉)時,可對局域網(wǎng)的規(guī)則采用允許“局域網(wǎng)網(wǎng)絡(luò)地址”的某端口、協(xié)議的數(shù)據(jù)包“通行”的規(guī)則,然后用“任何地址”的某端口、協(xié)議的規(guī)則“攔截”,就可達到目的。?③如果輸入了IP協(xié)議的規(guī)則，一定要保證IP協(xié)議規(guī)則的最后一條的內(nèi)容是:“對方地址:任何地址，動作:繼續(xù)下一規(guī)則”，否則其他協(xié)議的規(guī)則將會執(zhí)行不到。?④不要濫用“記錄”功能，一個定義不好的規(guī)則加上記錄功能，會產(chǎn)生大量沒有任何意義的日志，并耗費大量的內(nèi)存。?說明:現(xiàn)在已經(jīng)增加了多條網(wǎng)絡(luò)服務(wù)規(guī)則，如FTP，WEB，SMTP，POP3，Telnet等，只要選中該規(guī)則并保存便可以實現(xiàn)網(wǎng)絡(luò)服務(wù)，而不需要再設(shè)置規(guī)則。?規(guī)則可以導(dǎo)入導(dǎo)出，在這里作一個簡單的介紹，其操作如下:?單擊“導(dǎo)出”按鈕，防火墻會彈出一個規(guī)則導(dǎo)出選擇（如圖7.13所示)，選中需要導(dǎo)出的規(guī)則，單擊瀏覽選擇保存規(guī)則的文件路徑并輸入識別名，這時防火墻便會自動把規(guī)則保存到所選的文件下。?注意:如果沒有選擇保存路徑，該規(guī)則會自動保存為SKYNET\FIREWALL\Export\IpRulesExport.dat文件。?單擊“導(dǎo)入”按鈕，打開選擇保存的規(guī)則目錄，再選擇需要導(dǎo)入的規(guī)則，單擊“確定”按鈕后，防火墻IP規(guī)則列表中便會增加所選的規(guī)則。圖7.13導(dǎo)出IP規(guī)則?說明:該“導(dǎo)出”、“導(dǎo)入”功能是方便一些用戶，在重裝防火墻前可以保存現(xiàn)有的規(guī)則，當重裝后只需要導(dǎo)入原有的規(guī)則便可以使用防火墻。?4)網(wǎng)絡(luò)訪問監(jiān)控功能?應(yīng)用程序網(wǎng)絡(luò)狀態(tài)功能是目前其他個人版防火墻產(chǎn)品所沒有的，天網(wǎng)防火墻個人版首創(chuàng)的功能。用戶不但可以控制應(yīng)用程序訪問權(quán)限，還可以監(jiān)視該應(yīng)用程序訪問網(wǎng)絡(luò)所使用的數(shù)據(jù)傳輸通訊協(xié)議端口等。通過天網(wǎng)防火墻個人版提供的應(yīng)用程序網(wǎng)絡(luò)狀態(tài)功能，用戶能夠監(jiān)視到所有開放端口連接的應(yīng)用程序及它們使用的數(shù)據(jù)傳輸通訊協(xié)議，任何不明程序的數(shù)據(jù)傳輸通訊協(xié)議端口,例如特洛依木馬等,都可以在應(yīng)用程序網(wǎng)絡(luò)狀態(tài)下一覽無遺。用戶可以查看應(yīng)用程序網(wǎng)絡(luò)狀態(tài),如圖7.14所示。在此功能的監(jiān)控下,可以清楚地看到應(yīng)用程序的使用情況。圖7.14應(yīng)用程序網(wǎng)絡(luò)狀態(tài)?天網(wǎng)防火墻正式版對訪問網(wǎng)絡(luò)的應(yīng)用程序進程監(jiān)控還實現(xiàn)了協(xié)議過濾功能,對于普通用戶而言,由于通常的危險進程都是采用TCP傳輸層協(xié)議,所以基本上只要對使用TCP協(xié)議的應(yīng)用程序進程監(jiān)控就可以了。一旦發(fā)現(xiàn)有不法進程在訪問網(wǎng)絡(luò),用戶可以用天網(wǎng)應(yīng)用程序網(wǎng)絡(luò)監(jiān)控的結(jié)束進程鈕來禁止它們,該按鈕存在于圖7.15中。圖7.15結(jié)束進程?注意:為結(jié)束進程鈕，當用戶發(fā)現(xiàn)有不法進程而要終止它們運行的時候，可以利用這個按鈕。單擊后出現(xiàn)一個提示框，單擊“確定”按鈕之后就可以結(jié)束進程。?5)修補系統(tǒng)漏洞功能?系統(tǒng)漏洞似乎不可避免，在有防火墻的情況下，黑客仍然可以通過已知或未知的系統(tǒng)漏洞入侵系統(tǒng)。例如最近爆發(fā)造成數(shù)十億美元損失的“紅色代碼CODERED”，即是利用IIS的系統(tǒng)漏洞，繞過了部分防火墻產(chǎn)品漏洞對系統(tǒng)產(chǎn)生入侵。在開始程序的天網(wǎng)防火墻個人版目錄下單擊圖標進行檢測修復(fù)。?天網(wǎng)防火墻個人版提供了安全檢測修復(fù)系統(tǒng),可以修補用戶的部分系統(tǒng)漏洞,在正式版本的天網(wǎng)防火墻個人版中,將提供修復(fù)系統(tǒng)漏洞的功能。?6)日志查看與分析?天網(wǎng)防火墻個人版將會把所有不合規(guī)則的數(shù)據(jù)傳輸封包攔截并且記錄下來（如圖7.16所示),如果選擇了監(jiān)視TCP和UDP數(shù)據(jù)傳輸封包,那發(fā)送和接受的每個數(shù)據(jù)傳輸封包也將被記錄下來。每條記錄從左到右分別是發(fā)送/接受時間、發(fā)送IP地址、數(shù)據(jù)傳輸封包類型、本機通訊端口,對方通訊端口,標志位。圖7.16日志?有不是所有被攔截的數(shù)據(jù)傳輸封包都意味著有人在攻擊，有些是正常的數(shù)據(jù)傳輸封包。但可能由于設(shè)置的防火墻的IP規(guī)則的問題，也會被天網(wǎng)防火墻個人版攔截下來并且報警，如設(shè)置了禁止別人Ping您的主機，如果有人向您的主機發(fā)送Ping命令，天網(wǎng)防火墻個人版也會把這些發(fā)來的ICMP數(shù)據(jù)攔截下來記錄在日志上并且報警。?7.2企業(yè)防火墻配置?7.2.1防火墻的主要應(yīng)用拓撲結(jié)構(gòu)?傳統(tǒng)邊界防火墻主要有以下4種典型的應(yīng)用環(huán)境，它們分別是:?控制來自互聯(lián)網(wǎng)對內(nèi)部網(wǎng)絡(luò)的訪問?控制來自第三方局域網(wǎng)對內(nèi)部網(wǎng)絡(luò)的訪問?控制局域網(wǎng)內(nèi)部不同部門網(wǎng)絡(luò)之間的訪問?控制對服務(wù)器中心的網(wǎng)絡(luò)訪問?1)控制來自互聯(lián)網(wǎng)對內(nèi)部網(wǎng)絡(luò)的訪問?這是一種應(yīng)用最廣，也是最重要的防火墻應(yīng)用環(huán)境。?在這種應(yīng)用環(huán)境中，一般情況下防火墻網(wǎng)絡(luò)可劃分為3個不同級別的安全區(qū)域:?內(nèi)部網(wǎng)絡(luò)這是防火墻要保護的對象，包括全部的企業(yè)內(nèi)部網(wǎng)絡(luò)設(shè)備及用戶主機。這個區(qū)域是防火墻的可信區(qū)域(這是由傳統(tǒng)邊界防火墻的設(shè)計理念決定的)。?外部網(wǎng)絡(luò)這是防火墻要防護的對象,包括外部互聯(lián)網(wǎng)主機和設(shè)備。這個區(qū)域為防火墻的非可信網(wǎng)絡(luò)區(qū)域(也是由傳統(tǒng)邊界防火墻的設(shè)計理念決定的)。?DMZ它是從企業(yè)內(nèi)部網(wǎng)絡(luò)中劃分的一個小區(qū)域,在其中包括內(nèi)部網(wǎng)絡(luò)中用于公眾服務(wù)的外部服務(wù)器,如Web服務(wù)器、郵件服務(wù)器、FTP服務(wù)器、外部DNS服務(wù)器等,它們都是為互聯(lián)網(wǎng)提供某種信息服務(wù)。?在這種應(yīng)用環(huán)境中,在網(wǎng)絡(luò)拓撲結(jié)構(gòu)上企事業(yè)單位可以有兩種選擇,這主要是根據(jù)單位的網(wǎng)絡(luò)設(shè)備情況而定。?如果企業(yè)原來已有邊界路由器,則可充分利用原有設(shè)備,利用邊界路由器的包過濾功能,添加相應(yīng)的防火墻配置,這樣原來的路由器也就具有防火墻功能了。然后再利用防火墻與需要保護的內(nèi)部網(wǎng)絡(luò)連接。對于DMZ區(qū)中的公用服務(wù)器,則可直接與邊界路由器相連,不用經(jīng)過防火墻,它可只經(jīng)過路由器的簡單防護。在此拓撲結(jié)構(gòu)中,邊界路由器與防火墻就一起組成了兩道安全防線,并且在這兩者之間可以設(shè)置一個DMZ區(qū),用來放置那些允許外部用戶訪問的公用服務(wù)器設(shè)施。網(wǎng)絡(luò)拓撲結(jié)構(gòu)如圖7.20所示。圖7.20原來已有邊界路由器的網(wǎng)絡(luò)拓撲結(jié)構(gòu)?如果企業(yè)原來沒有邊界路由器,此時也可不再添加邊界路由器,僅由防火墻來保護內(nèi)部網(wǎng)絡(luò)。此時DMZ區(qū)域和需要保護的內(nèi)部網(wǎng)絡(luò)分別連接防火墻的不同LAN網(wǎng)絡(luò)接口,因此需要對這兩部分網(wǎng)絡(luò)設(shè)置不同的安全策略。這種拓撲結(jié)構(gòu)雖然只有一道安全防線,但對于大多數(shù)中、小企業(yè)來說是完全可以滿足的。不過在選購防火墻時要注意,防火墻一定要有兩個以上的LAN網(wǎng)絡(luò)接口。這種應(yīng)用環(huán)境的網(wǎng)絡(luò)拓撲結(jié)構(gòu)如圖7.21所示。圖7.21原來沒有邊界路由器的網(wǎng)絡(luò)拓撲結(jié)構(gòu)?2)控制來自第三方網(wǎng)絡(luò)對內(nèi)部網(wǎng)絡(luò)的訪問?在這種防火墻應(yīng)用網(wǎng)絡(luò)環(huán)境中，根據(jù)企業(yè)是否需要非軍事區(qū)(放置一些供第三方網(wǎng)絡(luò)用戶訪問的服務(wù)器)可以有兩種具體的網(wǎng)絡(luò)配置方案:?（1)需要DMZ區(qū)這種情況是企業(yè)需要為第三方網(wǎng)絡(luò)提供一些公用服務(wù)器，供日常訪問。這種網(wǎng)絡(luò)環(huán)境與上面所介紹的限制互聯(lián)網(wǎng)用戶非法訪問企業(yè)內(nèi)部網(wǎng)絡(luò)一樣，整個網(wǎng)絡(luò)同樣可分為3個區(qū)域:?內(nèi)部網(wǎng)絡(luò)這是防火墻要保護的對象,包括全部企業(yè)內(nèi)部網(wǎng)絡(luò)中需要保護的設(shè)備和用戶主機。為防火墻的可信網(wǎng)絡(luò)區(qū)域,需對第三方用戶透明隔離。?外部網(wǎng)絡(luò)防火墻要限制訪問的對象,包括第三方網(wǎng)絡(luò)主機和設(shè)備。為防火墻的非可信網(wǎng)絡(luò)區(qū)域。?DMZ由企業(yè)內(nèi)部網(wǎng)絡(luò)中一些外部服務(wù)器組成,包括公眾Web服務(wù)器、郵件服務(wù)器、FTP服務(wù)器、外部DNS服務(wù)器等。這些公眾服務(wù)器為第三方網(wǎng)絡(luò)提供相應(yīng)的網(wǎng)絡(luò)信息服務(wù)。?需要保護的內(nèi)部網(wǎng)絡(luò)和DMZ區(qū)的安全策略也是不同的:需要保護的內(nèi)部網(wǎng)絡(luò)一般禁止來自第三方的訪問，而DMZ則是為第三方提供相關(guān)的服務(wù)，允許第三方的訪問。?同樣，也可以通過NAT對外屏蔽內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)，保護內(nèi)網(wǎng)安全。?若企業(yè)原有邊界路由器設(shè)備，通過配置后它可以擔當包過濾防火墻角色。這時的DMZ區(qū)就可直接連接邊界路由器的一個LAN接口上，而無需經(jīng)過防火墻。而保護內(nèi)部網(wǎng)絡(luò)通過防火墻與邊界路由器連接。如果企業(yè)沒有邊界路由器，則DMZ區(qū)和內(nèi)部網(wǎng)絡(luò)分別接在防火墻的兩個不同的LAN接口上，構(gòu)成多宿主機模式。?（2)沒有DMZ區(qū)此應(yīng)用環(huán)境下整個網(wǎng)絡(luò)就只包括內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)兩個區(qū)域。某些需要向第三方網(wǎng)絡(luò)提供特殊服務(wù)的服務(wù)器或主機與需要保護的內(nèi)部網(wǎng)絡(luò)通過防火墻的同一LAN接口連接，作為內(nèi)部網(wǎng)絡(luò)的一部分，通過防火墻配置對第三方開放內(nèi)部網(wǎng)絡(luò)中特定的服務(wù)器/主機資源。注意:這種配置可能帶來極大的安全隱患，因為來自第三方網(wǎng)絡(luò)中的攻擊者可能破壞和控制對他們開放的內(nèi)部服務(wù)器/主機，并以此為據(jù)點，進而破壞和攻擊內(nèi)部網(wǎng)絡(luò)中的其他主機/服務(wù)器等網(wǎng)絡(luò)資源。?3)控制內(nèi)部網(wǎng)絡(luò)不同部門之間的訪問?這種應(yīng)用環(huán)境就是在一個企業(yè)內(nèi)部網(wǎng)絡(luò)之間,對一些安全敏感的部門進行隔離保護。通過防火墻保護內(nèi)部網(wǎng)絡(luò)中敏感部門的資源不被非法訪問。這些所謂的“敏感部門”通常是指人事部門、財務(wù)部門和市場部門等,在這些部門的主機中的數(shù)據(jù)對于企業(yè)來說是非常重要,它的工作不能完全離開企業(yè)網(wǎng)絡(luò),但其中的數(shù)據(jù)又不能隨便供網(wǎng)絡(luò)用戶訪問。這時有幾種解決方案,通常采用的是采用VLAN配置,但這種方法需要配置3層以上交換機,同時配置方法較為復(fù)雜。另一種有效的方法就是采用防火墻進行隔離,在防火?墻上進行相關(guān)的配置(比VLAN簡單許多)。通過防火墻隔離后,盡管同屬于一個內(nèi)部局域網(wǎng),但是其他用戶的訪問都需要經(jīng)過防火墻的過濾,符合條件的用戶才能訪問。這類防火墻通常不僅通過包過濾來篩選數(shù)據(jù)包的,而且還要對用戶身份的合法性(在防火墻中可以設(shè)置允許哪些用戶訪問)進行識別。通常為自適應(yīng)代理服務(wù)器型防火墻,這種防火墻還可以有日志記錄功能,對網(wǎng)絡(luò)管理了解網(wǎng)絡(luò)安全現(xiàn)狀及改進非常重要。網(wǎng)絡(luò)拓撲結(jié)構(gòu)如圖7.22所示。圖7.22網(wǎng)絡(luò)拓撲結(jié)構(gòu)?4)控制對服務(wù)器中心的網(wǎng)絡(luò)訪問?要按不同安全策略保護這些服務(wù)器，可以有以下兩種方法:?①為每個服務(wù)器單獨配置一個獨立的防火墻,網(wǎng)絡(luò)如圖7.23所示。這種方案是一種最直接、最傳統(tǒng)的方法。配置方法也最容易,但這種方案無論從經(jīng)濟上、還是從使用和管理的靈活可靠性上都不是最好的。一則需要購買與托管理服務(wù)器數(shù)據(jù)一樣多的防火墻,對托管中心來說投資非常之大；而且托管中心管理員面對這么多防火墻,其管理難度也較大。圖7.23

每個服務(wù)器單獨配置一個獨立的防火墻網(wǎng)絡(luò)拓撲結(jié)構(gòu)?②采用虛擬防火墻方式,網(wǎng)絡(luò)結(jié)構(gòu)如圖7.24所示。這主要是利用3層交換機的VLAN(虛擬局域網(wǎng))功能,先為每一臺連接在3層交換機上的用戶服務(wù)器所連接的網(wǎng)絡(luò)配置成一個單獨的VLAN子網(wǎng),然后通過對高性能防火墻,對VLAN子網(wǎng)進行配置,就相當于將一個高性能防火墻劃分為多個虛擬防火墻,其最終效果如圖7.23一樣。這種方案雖然配置較為復(fù)雜,但首次配置好了,其后的使用和管理就相當方便了,就像用交換機管理多個VLAN子網(wǎng)一樣來管理每個用戶服務(wù)器,這種方案在現(xiàn)實中比較經(jīng)濟可行。圖7.24

虛擬防火墻網(wǎng)絡(luò)結(jié)構(gòu)?

7.2.2防火墻的應(yīng)用配置?

1)DMZ應(yīng)用配置?DMZ是作為內(nèi)外網(wǎng)都可以訪問的公共計算機系統(tǒng)和資源的連接點,在其中放置的都是一些可供內(nèi)部、外部用戶訪問的服務(wù)器,或提供通信基礎(chǔ)服務(wù)的服務(wù)器及設(shè)備。例如,企事業(yè)單位的Web服務(wù)器、Email服務(wù)器、VPN網(wǎng)關(guān)、DNS服務(wù)器、撥號所用的Modem池等等。這些系統(tǒng)和資源都不能放置在內(nèi)部保護網(wǎng)絡(luò)內(nèi),否則會因內(nèi)部網(wǎng)絡(luò)受到防火墻的訪問限制而無法正常工作。DMZ區(qū)通常放置在帶包過濾功能的邊界路由器與防火墻之間。其典型網(wǎng)絡(luò)結(jié)構(gòu)如圖7.25所示。圖7.25

典型網(wǎng)絡(luò)結(jié)構(gòu)?以上所介紹的是一種典型的網(wǎng)絡(luò)應(yīng)用環(huán)境,有些企事業(yè)單位的網(wǎng)絡(luò),可能需要兩類DMZ,即所謂的“外部DMZ”和“內(nèi)部DMZ”。外部DMZ放置的是內(nèi)部網(wǎng)絡(luò)和互聯(lián)網(wǎng)用戶都可以寬松訪問的系統(tǒng)和資源,如以上所介紹的Web服務(wù)器、E-mail服務(wù)器、VPN網(wǎng)關(guān)、DNS服務(wù)器、撥號所用的Modem池等。這部分網(wǎng)絡(luò)需單獨連在主防火墻的一個LAN端口。內(nèi)部DMZ所放置是內(nèi)部網(wǎng)絡(luò)中用防火墻所保護的內(nèi)部網(wǎng)絡(luò)中需要供內(nèi)部網(wǎng)絡(luò)用戶共享的系統(tǒng)和資源(如內(nèi)部郵件服務(wù)器、內(nèi)部Web服務(wù)器、內(nèi)部FTP服務(wù)器等),當然外部網(wǎng)絡(luò)用戶是不能訪問此DMZ區(qū)資源的。內(nèi)部DMZ放置在主防火墻與內(nèi)部防火墻之間。它的典型網(wǎng)絡(luò)結(jié)構(gòu)如圖7.26所示。圖7.26

典型網(wǎng)絡(luò)結(jié)構(gòu)?2)VPN?VPN是目前最新的網(wǎng)絡(luò)技術(shù)之一，它的主要優(yōu)點通過公網(wǎng)，利用隧道技術(shù)進行虛擬連接，相比專線連接來說可以大幅降低企業(yè)通信成本，隨著VPN技術(shù)的發(fā)展，VPN通信的安全問題已基本得到解決，所以目前它是一種企業(yè)首選通信方式，得到了廣大企業(yè)用戶的認可和選擇。?在防火墻網(wǎng)絡(luò)中