模板
教程
环境
性能
功能
管理
边界防火墙的应用(3)
边界防火墙的应用
二、防火墙的应用配置
在传统边界防火墙应用配置中,最主要体现在DMZ(非军事区)、VPN(虚拟专用网)、DNS(域名 服务器 )和 入侵检测 配置等几个方面。下面具体介绍。
1、 DMZ(非军事区)应用配置
DMZ这个概念在这几篇防火墙介绍教程中我们多次讲到,由此可见它非常重要,为此我们有必要再次对这样一个防火墙技术进行更深入的研究。
DMZ是作为内外网都可以访问的公共计算机系统和资源的连接点,在其中放置的都是一些可供内、外部用户宽松访问的服务器,或提供通信基础服务的服务器及设备。比如企事业单位的Web服务器、E-mail(邮件)服务器、VPN网关、DNS服务器、拨号所用的Modem池等等。这些系统和资源都不能放置在内部保护网络内,否则会因内部网络受到防火墙的访问限制而无法正常工作。DMZ区通常放置在带包过滤功能的边界路由器与防火墙之间。其典型网络结构如图8所示。当然这里的边界路由器也可以是一台专门的 硬件 防火墙,只是在此想充分利用企业原有设备,节省企业投资。
之所以要把DMZ区放在边界路由器与防火墙之间,那是因为边界路由器作为 网络安全 的第一防线,可以起到一定的安全过滤作用,因为它具有包过滤功能,通常它不会设置的太严。而防火墙作为网络的第二道,也是最后一道防线,它的安全级别肯定要比边界路由器上设置的要高许多。如果把用于公共服务呖呖的一些服务器放置在防火墙之后,显然因安全级别太高,外部用户无法访问到这些服务器,达不到公共服务的目的。
以上所介绍的是一种典型网络应用环境,有些企事业单位用户网络,可能需要两类DMZ,即所谓的“外部DMZ”和“内部DMZ”。外部DMZ放置的是内部网络和互联网用户都可以宽松访问的系统和资源,如以上所说的Web服务器、E-mail(邮件)服务器、VPN网关、DNS服务器、拨号所用的Modem池等等。这部分网络需单独连在主防火墙的一个LAN端口;内部DMZ所放置是内部网络中用防火墙所保护的内部网络中需要供内部网络用户共享的系统和资源(如内部邮件服务器、内部Web服务器、内部FTP服务器等),当然外部网络用户是不能访问此DMZ区资源的。内部DMZ放置在主防火墙与内部防火墙之间。它的典型网络结构如图9所示。
如果企业没有边界路由器,则外部DMZ区就要单独放置在主防火墙的一个LAN端口上,这也就要求主防火墙具有2个以上LAN接口,因为内部DMZ区也需与主防火墙的一个LAN接口单独连接,以此来配置多宿主机模式。其它连接如图9一样。
典型的防火墙策略是主防火墙采用NAT模式,而内部防火墙采用透明模式工作,以减少内部网络结构的复杂程度,提高网络连接性能。除远程访问和VPN访问外,来自互联网的网络访问只能限制在外部DMZ区对外开放的资源上,不可进入内部DMZ区,更不可能进入受保护的内部网络之中。
VPN(虚拟企业专网)是目前最新的网络技术之一,它的主要优点通过公网,利用隧道技术进行虚拟连接,相比专线连接来说可以大幅降低企业通信成本(降低幅度在70%左右),加上随上VPN技术的发展,VPN通信的安全问题已基本得到解决,所以目前它是一种企业首选通信方式,得到了广大企业用户的认可和选择。目前存在几个典型的VPN隧道协议,包括IPsec、PPTP、L2TP等。通过VPN技术可以实现对用户内部网络的扩展,同时为用户带来网络使用成本上的巨大节省。
在防火墙网络中对VPN服务器进行配置的方法有两种:
(1)、传统边界防火墙方式
这一方式中,VPN服务器位于边界防火墙之后,防火墙必须打开内外网络之间相应的VPN通信服务端口,这可能带来安全隐患,这也是传统边界防火墙不能很好地VPN通信的原因。因为VPN通信中数据包内容是加密过的,所以边界防火墙无法检测内外网络之间的通信内容,也就无法从中获取过滤信息,这样防火墙很难有效地实现对网络的访问控制、审计和 病毒 检测。因为VPN服务器与传统边界2、 VPN通信配置防火墙的上述矛盾,所以远程攻击者对很可能将VPN服务器作为攻击内部网络的跳板,给内部网络带来非常大的不安全因素。为了提高网络的安全性,最好再加上如图9中配置的第二道防火墙:内部防火墙,把VPN服务器放置在外部DMZ区中。
(2)、使用VPN专用防火墙
针对传统边界防火墙与VPN通信的上述矛盾,网络设备开发商就特定为VPN通信开发VPN防火墙。集成VPN技术的防火墙,就可以正确识别VPN通信中的数据包,并且加密的数据包也只在外部VPN客户端与防火墙之间,有交地避免了前种方案中数据包无法识别的弊端。但不是所有厂商的防火墙都支持内置的VPN服务增值功能。此方案的典型配置如图10所示。
