防火墙：永恒的安全策略

　　 
　　山东省工商行政管理信息网络系统（简称“金管工程”）的建设目标主要是：实现“两网”、 “三化”、“三服务”和“五项建设任务”。

“两网”即全省各级工商行政管理局机关工作网(局域网)和社会服务网（山东红盾信息网）；“三化”即全省工商行政管理工作业务管理电脑化、档案存储光盘化、信息查询网络化；“三服务”即为政府的宏观调控提供可靠的决策依据，为工商行政管理机关的监督管理和行政执法服务，为企业(用户)经营提供工商信息咨询服务；“五项建设任务”即覆盖全省各级工商行政管理局信息高速公路网络分系统、工商行政管理业务处理应用分系统、企业信息服务（IC）卡分系统、工商行政管理数据处理分系统、工商行政管理机关办公事务处理分系统。在这一系统中，如何保证系统安全是一个重要环节，其中防火墙的应用成为一个重要手段。
　　坚守原则是安全措施的起步
　　为确保信息系统的安全，山东省工商行政管理局在设计内部网时，结合现阶段的实际需要和有关的防火墙技术，制定了以下原则：
　　重要数据保护原则 保护系统的关键信息不被窃取、不被篡改，保证在需要时能获得可用的数据。
　　保护硬件资源不被盗用原则 网络入侵者会利用信息资源，如硬盘空间、内存、CPU的运算能力等供自己使用，造成工商系统在需要这些资源时无法获得，所以必须保护所购置的硬件资源不被他人盗用。
　　保护形象原则 保护系统对外宣传窗口（WWW）服务器的安全，防止Web主页被篡改，防止入侵者以系统网络为跳板攻击其他网络。
　　提供合理有效的服务原则 从各级工商局内部网的需求来看，内部用户必需的Internet服务主要分为三大类：即电子邮件、FTP和WWW。对其他TCP/IP服务，则应禁止其穿透防火墙与Internet通信。因为第一，SNMP是用于网络系统的管理协议，SNMP中包含的信息均与网络管理控制有关，使其穿透防火墙，流入Internet是非常危险的；第二，NNTP是用于Internet网络新闻组的协议，由于NNTP所实现的Internet新闻自动接收是完全被动的，难以对接收内容及流量进行控制，所以让NNTP穿透防火墙具有很大的安全隐患，因此要求机关工作网中暂不提供Internet上的NNTP服务；第三，Telnet仅局限于各局内部网应用，而且Telnet的信息在网络中是以明文的方式进行传送的，在Internet服务中提供Telnet也是非常危险和不必要的，所以必须禁止Telnet穿透防火墙。
　　未被允许的信息流禁止通过防火墙原则 在进行需求分析以及防火墙设计时，必须遵循从小到大的原则，即需要什么服务就开设什么服务。缺省情况下，防火墙禁止所有信息通过，然后，根据具体需求，逐步允许指定的信息流通过。
　　外界Internet用户防止进入内部网原则 将提供给外部用户访问的服务器放在防火墙外的DMZ区（非军事化区），如Web Server、FTP Server、DNS Server。包括：1绝对禁止外部Internet用户穿透防火墙访问内部机关工作网。2用防火墙提供的功能屏蔽SafeMail（屏蔽内部邮件地址）、DNS（屏蔽内部域名）、NAT（屏蔽内部IP地址）、Proxy（屏蔽内部IP地址）。3进行完整的Auditing和Logging，这将有助于及时发现安全漏洞。
　　划分安全区是设计关键
　　由于工商业务的需要，在各级工商局都设有内部网段与外部Internet网段接口。在确定方案设计时，首先需确定网络边界的拓扑结构，即规划内部安全网、防火墙、DMZ以及与外部Internet的连接方式。
　　内部安全网　存放内部信息，仅供内部工作人员使用。在安全等级上，应处于最高位置，必须放在防火墙以内。通过防火墙杜绝外界非法访问，同时限制内部用户任意访问Internet。
　　非军事化区 在非军事化区（DMZ）中，存放企业内部网中的外界Internet用户信息，如对外公开的Web服务器、域名服务器及FTP服务器等。安全等级比内部网要求低一些，可放置在防火墙外。但“含金量”低并不意味着不需要保护，该区域的内容不允许外界用户肆意修改和损坏。一般来说，其安全保护是通过IP包过滤与操作系统的安全性结合来实现的。
　　与外界Internet连接 通过一个专门的路由器完成，在该路由器上根据需要设置IP包过滤规则，设计拓扑结构时，一般有两种方式：
　　第一种方式是在安装防火墙的设备上设置两块网卡，其中一块网卡连接内部安全网络，另一块连接非安全网，将对外公开的服务器放置在防火墙和路由器之间，形成DMZ，如图1所示。
　　　
　　这种方式的优点是:
　　层次清晰 可对内部安全网形成两级保护，第一级保护通过连接Internet的路由器完成，在路由器上设置IP包过滤规则，第二级保护由防火墙提供。这样可以避免防火墙直接暴露在黑客面前，减少被攻击的机会。
　　分担防火墙的负担 通过这种方式，所有Internet用户只能通过路由器访问DMZ服务器，而不会访问到安装防火墙的设备。
　　缺点是：
　　缺乏日志 由于对DMZ服务器的访问通过路由器完成，缺乏完整的日志文件，这就需要在这些服务器的操作系统上完成日志记录。
　　管理分散 由于两级保护分别通过路由器和防火墙完成，所以需要分别设置和管理。
　　针对以上问题，可以采用第二种方式，即直接在安装防火墙的设备上安装三块网卡，除两块网卡分别连接内部安全网和外部网之外，还特别增加一块网卡与DMZ连接，使DMZ单独形成一个网段，如图2所示。
　　
　　这种方式的优点是：
　　可以在防火墙上生成完整的日志文件 由于对DMZ和内部网的访问在防火墙上设置。所以可以利用防火墙强大的日志功能生成完整的日志。
　　可以实现管理集中。
　　缺点是：
　　影响防火墙的运行性能 由于所有的通信，无论是访问DMZ、Internet还是访问内部网，都必须通过防火墙的控制，大大增加了防火墙的负载，特别是当外界Internet用户访问公开服务器时，其数量和强度都是无法预知的，有时甚至可能耗尽防火墙资源，阻塞正常通信。
　　防御体系缺乏层次 防火墙直接暴露在Internet上，增加了受攻击的可能性。
　　不太符合KISS原则（简单就是安全原则） 如配置三块网卡，增加了系统结构的复杂性，不便维护与管理。
　　经过详细论证，结合实际需求，山东省工商管理局使用了第一种拓扑结构，即两块网卡结构。原因是，由于整个网络分布面广，其公开的Internet服务器势必被许多Internet用户访问，两块网卡配置方式可以减少防火墙上的通信“瓶颈”，便于维护。同时在防黑客入侵方面，层次型的防御体系可以增加系统的安全性。
　　实施步骤与关注要点
　　在具体实施防火墙方案时，应遵循下列通用步骤，并掌握每个环节需要注意的问题。
　　1 需要直接接入Internet 的各级分局，要向Internet有关组织申请合法的域名和IP地址。
　　2 在内部划分、切割网络和分配IP地址、域名。
　　3 确定内部网、防火墙、DMZ Internet的运行效率。
　　4 确定Internet需向内部网段提供的服务。
　　从目前内部网需求以及TCP/IP各种应用服务的安全性考虑，山东省工商局在内部网与Internet之间提供了电子邮件、Web服务器以及FTP三种Internet应用服务。具体的规范是：
　　堵塞系统的安全漏洞（Hardening）
　　在确定一个防火墙设计方案时，必须从安全角度出发，主要考虑防火墙设备和DMZ设备的操作系统安全性。1在防火墙安装时，自动Hardening过程，关闭防火墙不需要的服务进程，删除防火墙中不需要的程序，禁止的未授权的用户登录。2确定DMZ中服务器的安全管理方式，在设计方案时，将全部对外公开的Web服务器、DNS服务器以及FTP服务器等放置在DMZ中，并在DMZ与外部连接的路由器上设置IP包过滤，然后在服务器上进行操作系统的安全控制。
　　添加路由
　　因为防火墙不允许动态路由，所以要添加静态路由。在防火墙上添加静态路由指向ISP或DMZ的路由器，在ISP或DMZ的路由器上添加静态路由指向防火墙。
　　在防火墙上实施网络地址转换（NAT）
　　因为机关内部网采用的是私有地址，若要与外部通信，需要公网地址。防火墙的网络地址转换（NAT）即可完成私有的IP地址与注册的公网地址之间的转换。
　　NAT分静态地址和动态地址两种转换模式，静态地址转换支持一对一的永久地址映射，而动态地址转换则是根据内部用户的需求临时分配公网地址，其地址映射是暂时的。
　　在防火墙上实施DNS
　　在设置防火墙之后，所有的DNS的请求都必须经过防火墙转发。这时，可根据需要将DNS系统设为内部DNS、FW、DNS及DMZ、DNZ结构。在ISP注册全部域名，向ISP提供全部DMZ域名服务器地址；修改DMZ域名服务器，在其中加入指针记录指向防火墙，所有接收到的电子邮件由防火墙转发；修改内部网域名服务器，将所有对Internet的域名解析请求送给防火墙；配置防火墙的DNS，作为连接内部网和Internet的中介。
　　关于FTP的考虑
　　FTP作为另一个常用的Internet服务，也应该提供内部用户。目前防火墙能提供三种FTP边连接方式：透明的FTP Proxy、非透明的FTP Proxy以及Browser FTP。FTP Proxy将FTP通信分为两段，进行用户验证，屏蔽内部地址。用户验证有多种选择，也可加进自己的验证方法。根据需求，为普通用户提供基于Web的FTP访问，而对于特定的用户允许其申请FTP口令，以便使用非透明FTP Proxy。
　　关于HTTP的考虑
　　允许机关内部网用户通过浏览器浏览外部站点是当前最基本的Internet服务，由防火墙提供的HTTP Proxy，可以屏蔽内部地址。同时配合IP Filter设置，可以阻止外部的HTTP请求，并提供特定地址的内部设备HTTP请求的控制。
　　关于e-mail的考虑
　　e-mail作为最基本的Internet服务之一，应当首先提供内部网用户的服务。与Internet的邮件交换将由DMZ中的邮件服务器来完成。
　　关于IP Filter
　　IP Filter是基于IP的最基本的保护，所有的上述涉及到的各种服务

原文转自：http://www.ltesting.net