防火墙部署和配置技巧--部署模式篇
科技处赖强绍
摘要:根据2016年公安部交通管理局提出的公安机关交管部门信息系统网络安全基本要求,要分别为数据库服务器和应用服务器设置独立的安全区,并按最小化原则划分相应网段,且各安全区前必须分别配置硬件防火墙设备,实现访问控制。经过三年的不断推广、督促、指导,各支队服务器基本能实现访问控制。但从目前掌握的情况看,大部分支队安全管理员对防火墙的使用技能一知半解,或者干脆完全交与设备厂家进行管理,仍然存在较大的安全隐患。本文中,笔者结合日常对防火墙的管理使用经验,谈谈防火墙的一些部署和配置技巧,跟读者共勉。
正文:防火墙是指部署在不同网络(如可信任的支队公安网内部服务器网段和不可信的其他单位公安网终端网段)或不同网络安全域(数据库服务器域和应用服务器域)之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口,通过监测、限制、更改跨越防火墙的数据流,尽可能地对外部屏蔽网络内部的信息、结构和运行状况,有选择地接受外部访问,对内部强化设备监管、控制对服务器与外部网络的访问,在被保护网络和外部网络之间架起一道屏
障,以防止发生不可预测的、潜在的破坏性侵入。通俗来说,防火墙就是我们网络的一道门,通过策略的配置,有选择性的允许某些外部终端进来访问指定的资源。防火墙有两种,硬件防火墙和软件防火墙,它
电脑防火墙的作用们都能起到访问控制作用。在这里主要给大家介绍一下我们在网络中常见的硬件防火墙管理和配置技巧。但要注意的是,防火墙的具体配置方法也不是千篇一律的,不要说不同品牌,就是同一品牌的不同版本型号也不完全一样,所以在此也只能对一些通用防火墙配置和管理方法作一些基本介绍。
一、基本了解防火墙基础原理
简单描述一下防火墙常用的技术或者叫基础原理。防火墙通常使用的安全控制手段主要有包过滤技术,包过滤技术是一种简单、有效的安全控制技术,它通过在网络间相互连接的设备上加载允许、禁止来自某些特定的源地址、目的地址、TCP端口号等规则,对通过设备的数据包进行检查,限制数据包进出内部网络。包过滤的最大优点是对用户透明,传输性能高。但由于安全控制层次在网络层、传输层,安全控制的力度也只限于源地址、目的地址和端口号,因而只能进行较为初步的安全控制,对于恶意的拥塞攻击、内存覆盖攻击或病毒等高层次的攻击手段,则无能为力。包过滤防火墙的工作原理是:系统在网络层检查数据包,与应用层无关。这样系统就具有很好的传输性能,可扩展能力强。但是,包
过滤防火墙的安全性有一定的缺陷,因为系统对应用层信息无感知,也就是说,防火墙不会理解通信的内容,所以可能被黑客所攻破。
公安网原来是物理隔离的一张专网,仅有公安机关使用,一直以来外网无法联入,相对互联网来说比较安全,造成各级公安部门放松了警惕,基本不考虑安全防护问题。随着现在各种网络纵横交错,公安网
已不再是完全物理隔离的“世外桃源”,经历了多次网络安全事件后,各级公安部门特别是交管部门逐步提高了网络安全防护意识,但由于加强网络安全防护是高投入、无产出的事情,重建设、轻安全的思想依然存在,很多地方的公安内网和自行组建的专网都处于基本无防护的“裸奔”状态,当前的形势下,个人认为,为我们的网络配备防火墙,用好防火墙的策略配置,是投入最少,起到的防护效果最大的一项安全防护措施。
二、清晰了解所需保护的网络
防火墙的一个特点是防外不防内,防火墙必须部署在需要保护的网络边界才能起到防护作用,所以我们必须要清晰了解我们需要保护的网络,需要保护的设备。一般情况下,以支队为例,支队的网络内一般有个人终端、应用服务器、数据库服务器三大类。网络架构如下图:
我们要重点保护的区域为服务器区,同时按照公安机关交管部门信息系统网络安全基本要求,应用服务器和数据库服务器要单独设置区域,并分别配置硬件防火墙设备,实现访问控制。为了不改变我们的网络架构,特别是公安网,我们使用防火墙一般采用透明模式部署,将两个接口作为桥,而不采用路由模式。部署架构图如下:
随着应用系统不断增多,把所有的应用服务器放在同一个区域的安全隐患逐渐突显,比如某个厂家送来测试的服务器A,尚未经调试、测试,直接放入应用服务器区,而且这种情况往往需要把服务器A的远程
桌面开放给厂家技术员,这时技术员就可以通过服务器A在应用服务器区域畅通无阻,或者冒用应用服务器区其他机器(如服务器B,原来开放权限能访问数据库区域)IP即可进入数据库区域。更有甚者,如果服务器A带有病毒,或者技术员的电脑带有病毒,将会给整个网络至少是应用服务器区域带来灾难性的事故。所以笔者建议再增加一个区域,作为非可信的一个应用服务区。如下图:
这样的划分,可以精细管理到每个不同安全级别区域的
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论