怎樣構建安全的企業防火牆

　　下文是小編精心為你提供的，歡迎大家閱讀。

　　防火牆是保障網路安全的關鍵元件，但它只是安全企業網路的一個開端而已。對管理員來講，有必要關注支援失效轉移的多防火牆設計。這種防火牆設計的最終結果應是易於管理、高效能、高可用性、高安全性的組合，而且還要少花錢。

　　要幾個防火牆

　　在防火牆的設計原理上歷來有不少爭論，爭論的一個主要問題是到底擁有幾個防火牆是最好的。筆者以為兩個防火牆一般不會比一個防火牆好多少。因為在大多數的攻擊事件中，防火牆自身的漏洞很少成為問題。黑客們通常並不需要攻克防火牆，因為他們可以通過開放的埠進入，並利用防火牆之後的伺服器上的漏洞。此外，防火牆本身並沒有什麼吸引黑客攻擊的地方，因為任何明智的管理員都會將配置防火牆使其丟棄那些連線防火牆的企圖。例如，即使在使用者的防火牆上有一個已知的SSH漏洞，這種威脅也只能來自防火牆指定的受到良好保護的管理工作站，更別說這種工作站被關閉的情況了。事實上，防火牆的最大問題在於其維護上的薄弱、糟糕的策略及網路設計。在與防火牆有關的安全事件中，人的因素造成的破壞佔到了大約99%的比例。更糟的是，如果你執行多個廠商的防火牆，那麼其成本將迫使使用者放棄一些需要特別關注的問題。使用者最好將有限的資源花費在強化一種平臺上，而不要全面出擊。

　　防火牆的設計目標

　　一種良好的防火牆策略和網路設計應當能夠減少而不是根除下面的這些安全風險：

　　◆來自網際網路的攻擊DMZ服務的攻擊

　　◆企業網路的任一部分攻擊網際網路

　　◆企業使用者或伺服器攻擊DMZ伺服器

　　◆DMZ伺服器攻擊使用者、伺服器，或者損害自身。

　　◆來自合夥人和外延網extranet的威脅

　　◆來自通過WAN連線的遠端部門的威脅

　　這些目標聽起來也許有點太過頭了，因為這基本上並不是傳統的方法，不過它卻其自身的道理。

　　第一點是非常明顯的，那就是限制通過網際網路試圖訪問DMZ伺服器的服務埠，這就極大地減少了它們被攻克的機會。例如，在一個SMTP郵件伺服器上，僅允許網際網路的通訊通過25號TCP埠。因此，如果這臺SMTP伺服器碰巧在其伺服器服務或程式中有一個漏洞，它也不會被暴露在網際網路上，蠕蟲和黑客總在關心80號埠的漏洞。

　　下一條聽起來可能有點兒古怪，我們為什麼要關心通過自己的網路來保護公共網路呢?當然，任何公民都不應當散佈惡意程式碼，這是起碼的要求。但這樣做也是為了更好地保護我們自己的的網路連線。以SQL slammer 蠕蟲為例，如果我們部署了更好的防火牆策略，那麼就可以防止對網際網路的拒絕服務攻擊 ，同時還節省了網際網路資源。

　　最不好對付的是內部威脅。多數昂貴的防火牆並不能藉助傳統的設計來防止網路免受內部攻擊者的危害。如一個惡意使用者在家裡或其它地方將一臺感染惡意程式碼的膝上型電腦掛接到網路上所造成的後果可想而知。一個良好的網路設計和防火牆策略應當能夠保護DMZ伺服器，使其免受伺服器和使用者所帶來的風險，就如同防禦來自網際網路的風險一樣。

　　事情還有另外一方面。因為DMZ伺服器暴露在公共的網際網路上，這就存在著它被黑客或蠕蟲破壞的可能。管理員採取措施限制DMZ伺服器可能對內部伺服器或使用者工作站所造成的威脅是至關重要的。此外，一套穩健的防火牆策略還可以防止DMZ伺服器進一步損害自身。如果一臺伺服器被黑客通過某種已知或未知的漏洞給破壞了，他們做的第一件事情就是使伺服器下載一個rootkit.防火牆策略應當防止下載這種東西。

　　還可以進一步減少來自外延網Extranet合夥人及遠端辦公部門WAN的威脅。連線這些網路的路由器使用了廣域網技術，如幀中繼、隧道、租用私有線路等來保障，這些路由器也可以由防火牆來保障其安全。利用每一臺路由器上的防火牆特性來實施安全性太過於昂貴，這樣不但造成硬體成本高，更主要的是其設定和管理上難度也很大。企業的防火牆藉助於超過傳統防火牆的附加功能可以提供簡單而集中化的廣域網和外延網的安全管理。

　　關鍵在於防火牆能夠限制不同網路區域的通訊，這些區域是根據邏輯組織和功能目的劃分的。但防火牆不能限制並保護主機免受同一子網內的其它主機的威脅，因為資料絕對不會通過防火牆接受檢查。這也就是為什麼防火牆支援的區域越多，它在一個設計科學的企業網路中也就越有用。由於一些主要的廠商都支援介面的匯聚，所以區域劃分實現起來也就簡單多了。單獨一個千兆位元的埠可以輕鬆地支援多個區域，並且比幾個快速乙太網埠的執行速度更快。

　　實施一套良好的防火牆策略

　　安全防火牆架構的首要關鍵元件是策略的設計。實現這些目標的最為重要的概念是使用原則的需要。在防火牆的策略中，這只是意味著除非有一個明確的原因要求使用某種服務，這種服務預設地必須被阻止或拒絕。為實施預設的服務阻止規則，在所有策略集的末尾只需要全域性性地實施一種防火牆策略，即丟棄一切的規則，意思就是防火牆的預設行為是丟棄來自任何源到達任何目的地的任何服務的資料包。這條規則在任何的防火牆策略中是最後一條規則，因為在某種通訊在有機會進入之前，它已經被封殺了。一旦實施了這種基本的行為，就需要對特定的源、特定的服務、對特定的目標地址的訪問等實施在一些精心設計的規則。一般而言，這些規則越精密，網路也就越安全。

　　例如，使用者可被准許使用對外的一些常見服務埠，如HTTP，FTP，媒體服務等，但其它的服務和程式除非有了明確的原因才准許通訊。在根據企業的需要找到一種特別的原因後，就需要在驗證和核準後增加一些嚴格控制的針對性規則。管理員們常犯的一個錯誤是他們將使用者的許可權擴充套件到了服務和DMZ網路。適用於使用者的向外轉發資料的規則通常並不適用於伺服器。在認真考慮之後，管理員會找到Web伺服器並不需要瀏覽Web的理由。伺服器就是伺服器，它主要是提供服務，而很少成為客戶端。一個根本的問題是DMZ或伺服器幾乎不應當首先發起通訊。伺服器典型情況下會接受請求，但幾乎不可能接受來自公共的網際網路的請求服務，除非是企業合夥人的XML及EDI應用。其它的例外還有一些，如提供驅動程式和軟體更新的合法廠商的站點，但所有的例外，都應當嚴格而精密地定義。遵循這些嚴格的標準可以極大地減少伺服器被損害的可能，最好能達到這樣一種程度，只要部署了這種策略，即使伺服器沒有打補丁，也能防止內部子網的蠕蟲傳播。