大型企业防火墙规划方法.doc

大型企业防火墙规划方法 防火墙要应用得好，配置是关键。然而防火墙又以配置复杂闻名，许多用户面对复杂的配置往往望而却步。防火墙如果配置不当，将形同虚设。本文以防火墙在大型网络中的应用为例，介绍了对防火墙进行内网和广域网接口地址规划及策略配置方法，为系统管理员进行网络规划提供了有效的参考。鉴于可理解的原因，文中提到的域名与地址皆为虚构。 防火墙规划=网络规划 防火墙是不同网络或网络信任域与非信任域之间进行通信时的一道关卡。通过制订安全策略，它可监测、限制和更改通过防火墙的数据流，尽可能地对外屏蔽内部网络的信息、结构和运行状况，以此来实现网络的安全保护。防火墙是一个分离器、一个限制器、一个分析器，有效地监控了内部网和Internet之间的任何活动，保证内部网的安全。 早期的防火墙只有两个接口，但经过技术改造，目前的防火墙至少有三个接口，也就是说，当使用防火墙时，至少产生三个子网，通常称为三个区域，它们分别是： 内部区域(Inside)：是网络的信任区域，是企业的私有网络。这些区域共享一套与外部网络(Internet)有关的公共安全策略。当然，如果要对内部环境进一步分段，如对财务部、人力资源部、生产运行部等进行分段，进行相对于其他信任用户的特别保护，内部也可以再设防火墙。 外部区域(Outside)：是不被信任的区域，位于防火墙外部。防火墙保护内部和停火区设备免受外部设备的威胁。 停火区(DMZ，有时也称公共区):是一个隔离的网络或几个网络，它通常除了允许企业内部访问外，还可以在一定条件约束下，允许企业外部访问，如企业网站的Web服务器等。 事实上，当企业着手网络规划时，当申请到相应的公网地址段、注册完域名、规划好内网私网地址段之后，首先面临的规划必须围绕防火墙展开，也就是说，防火墙的规划实质就是对内网架构的规划。 应用环境 下面，以一个实例来说明企业网的防火墙规划。实例中的域名与地址皆为虚构。 1．外部区域公有IP地址 在企业网络与广域网连接前，我们首先要向接入商(如网通、吉通等)申请公有IP地址，地址数量根据应用来确定。在此例中，申请了一组地址：218.106.223.128～159。这组地址共有32个，因此是27位掩码，即255.255.255.224,这组地址可简写为：218.106.223.128/27，可用地址为218.106.223.129～158，共30个。 假设企业通过CNNIC注册申请的企业域名为，对应在DNS的地址为218.106.223.129，第二域名服务器,对应地址为218.106.223.130。该地址变更手续较复杂，建议确定后轻易不再改动。事实上，两台DNS可以设计为互为备用方式，即每个DNS对另一个域也作资源记录。 与防火墙外部区域相连的路由器Fast ethernet接口地址为218.106.223.158,由于该地址要与ISP接入商路由器做路由指向，因此首先要确定下来。 2.企业内部的私有地址：10.2.0.0/16 由于该企业是一个分公司，集团公司采用10.0.0.0/8的A类私有地址，分公司是集团的组成部分，因此采用了A类地址中的16位掩码网段。 企业内网计划的pix_inside区域地址设为10.2.3.0/25。 主机房主体服务器设备，可以单独划分一个段10.2.4.0/24作为服务器端设备分配地址。这样将其与内部网段分开，便于集团内网联接时对服务器段制定特殊策略。 3．DMZ区域：10.2.3.128/25 完成以上主体架构后，就可以根据设备情况进行接口的总体规划。 配置方法 为完成这样一个网络的规划，首先要完成如表1、表2、表3所示的细化后的地址表。 由这些表可以看出，在进行地址规划时，要考虑到Web服务器、ISA、DNS等服务器在对内外提供服务的同时，还必须对外网开放部分服务，因此，会有一个外网地址和一个内网地址。在提供服务时，在防火墙上要进行静态地址映射，并且从安全考虑，这些服务器在提供服务时，只对有限端口开放。在对防火墙的设置中，要特别关注这部分的设置。 对不同用户定义多个不同PAT的原因有多种。例如PAT（3）主要用于移动用户，而移动用户常常有申请的免费邮箱，且习惯于使用Outlook Express等常用工具，这些工具又不能很好支持ISA这样的防火墙，这时，定义不同PAT池可以方便有效地解决这些问题。 整个地址规划的核心框架都是以防火墙为中心完成的。 在外网访问策略中，内网普通用户经过ISA代理进行Internet访问。 在基本策略和规划完成后，就可以进行防火墙的设置了。 该实例中，可按如下步骤对防火墙策略进行配置。 （1）定义安全级别 nameif ethernet0 outside security0 ；外网接口为最低安全级别 nameif ethernet1 inside security100 ；内网接口为高安全级别 nameif ethernet2 dmz security50 ；停火区为相对安全级别 PIX防火墙安全机制中，从一个较高安全级接口到较低安全级接口的数据流，在完成地址翻译后，除非受到访问控制列表的限制，否则将允许所需数据流通过。 反之，从较低安全级接口到较高安全级接口，除非被Conduit管道明确允许，否则不能通过。 （2）对常用协议端口定义，注意最好选择公认的端口定义。（具体省略） Fixup允许用户查看、改变、启用或禁止一个服务或协议通过PIX防火墙。 （3）对内网各服务器主机进行逻辑命名定义，以便于识别。（具体省略） （4）对网络进行NAT配置，也是管理员策略的集中体现。PIX允许设定多个NAT或PAT组，NAT实现对内网私有地址和外网公有地址间的转换，PAT是在私有地址数量大于公网地址数量的前提下，对私有地址划分地址池，每个地址池对应一个公有地址，由防火墙进行多个私有地址到一个公有地址的端口转换。 之所以要划分多个地址池，是由于在实际应用中，常常要对不同的IP段（如服务器段）或用户群（如企业虽有代理服务器，但网管员希望部分用户不经过代理而直接访问外网），网管员期望对这些不同需求能够在网络层就给予不同的权限设定，这时，设定多个NAT或PAT，以便配合路由器共同实现网管员意图是十分方便的。 本例中，设定了一个NAT段，四个PAT段。（具体省略） （5）防火墙的其他网管和常规配置。（具体省略） 经过以上规划和配置，一个基于防火墙的网络规划架构就完成了。当然，还需要详细的制定应用层的DNS、DHCP及ISA的管理策略，才能切实保证企业网的可用性和安全性。