1、防火墙的配置 一、防火墙的基本配置方法 1、网络过滤防火墙 图7.2 网络过滤防火墙 Internet 过滤路由器 Intranet 最简单的防火墙是只使用过滤路由器上的包过滤软件来实现数据包的筛选。这一配置如图7.2所示。 这种配置使所有Intranet的出入都必须通过过滤路由器,由过滤路由器的规则确定允许什么通过。 (1)网络过滤的优点 对小型的、不太复杂的站点网络过滤比较容易实现。如果在您的网络与外界之间已经有一个独立的路由器,那么可以简单地加一个包过滤软件进去,只须一步就给您的整个网络加上了保护。 包过滤不要求对运行的应用程序
2、做任何改动,也不要求用户学习任何新的东西。除非用户试图做什么违反规则的事情,否则他们根本不会感觉到过滤服务器的存在。 (2)网络过滤的不足 网络过滤在安全管理上存在明显的不足,由于过滤路由器很少或根本没有日志记录能力,所以网络管理员很难确认系统是否正在被入侵或已经被入侵了。 在实际应用中,过滤路由器的规则表很快会变得很大而且很复杂,应用的规则很难进行测试。随着规则表的增大和复杂性的增加,规则结构出现漏洞的可能性也会增加。 不仅如此,这种防火墙的最大缺陷是依赖一个单一的部件来保护系统。如果这一部件出现问题,会使网络的大门敞开,而您甚至可能还不知道危险的来临。 2、双宿主网关 Inte
3、rnet 双宿主主机 Intranet 图7.3 双宿主网关 用一个单一的代理服务器可以建一个双宿主网关,如图7.3所示。 双宿主主机是一台有两块网络接口卡(NIC)的计算机,每一块网卡都有一个IP地址,如果网络上的一台计算机想与另一台计算机通信,他必须与双宿主主机上能“看到”的IP地址联系,代理服务器软件查看其规则是否允许连接,如果允许的话,代理服务器软件通过另一块网卡启动网络的连接。 但值得注意的是,如果您建立了一个双宿主主机,那么应该确认操作系统的路由能力是关闭的。如果路由开着,从一块网卡到另一块网卡的通信可能会绕过代理服务器软件,
4、造成网络管理的漏洞。 (1)双宿主网关的优势 n 双宿主网关其最主要的优势是网关可以将受保护的网络与外界完全隔离,从而提高网络的安全性能。 n 代理服务器提供的安全日志,能有助于发现入侵。 n 因为双宿主网关就是一台主机,所以可以用于诸如身份验证服务器及代理服务器等其他功能。 n 由于使用代理服务器,DNS信息不会通过受保护系统到外界,所以站点系统的名字和IP地址对Internet系统是隐蔽的。 (2)双宿主网关的不足 n 代理服务器必须为使用它的每一项服务而专门设计,也就是说,每一项服务使用不同的代
5、理服务器,如果您想增加一个代理服务器所不能提供的服务的话就会出现问题。 n 如果IP发送以某种方式成为可能,如重新安装操作系统或忘记关掉路由,那么所有的安全性就都没有了。 n 如果双宿主网关是防火墙的唯一部件,就存在一个单一失败点,它可能使您的网络安全受到危害。 3、主机过滤 图7.4 网络过滤防火墙 Internet 过滤路由器 应用网关 Intranet 主机过滤防火墙既采用过滤路由器又采用了应用网关来实现高层次的安全,这是其中任何一个单独使用所不能达到的,其配置见图7.4所示。 在一个主机过滤防火墙中来
6、自Internet的所有通信都直接到过滤路由器,它根据所给规则过滤这些通信。多数情况下所有与应用网关之外机器的通信都将被拒绝。 在这种情况下,应用网关只有一块网络接口卡(也就是说它不是双宿主网关)。网关的代理服务器软件使用它自己的规则,将被允许的通信传送到受保护的网络上。 (1)主机过滤防火墙的优点 n 主机过滤防火墙的配置比双宿主网关防火墙更灵活,它可以设置使过滤路由器将某些通信直接传到Intranet的站点而不是到应用网关(1)主机过滤防火墙的优点 n 主机过滤防火墙的配置比双宿主网关防火墙更灵活,它可以设置使过滤路由器将某些通信直接传到Intran
7、et的站点而不是到应用网关。 n 因为多数或所有通信将直接到应用网关,所以包过滤器的规则比网络过滤配置更简单。 (2)主机过滤防火墙的不足 n 防火墙的两个部件须认真配置以使其能共同准确地工作,如路由器应设置成将所有通信路由到代理服务器。尽管包过滤规则不太复杂,但配置整个防火墙的总的工作也会很复杂。 n 系统的灵活性会导致走捷径从而暗中破坏安全。例如,用户可能试图避开代理服务器直接与路由器建立联系。因此,在实际工作中维护安全策略,需要管理员付出更大的努力。来源:考试大-电子商务师考试 4、子网过滤 子网过滤防火墙在主机过滤配置上加上
8、了另一个过滤路由器,形成一个有时被称为非军事区的子网。子网过滤防火墙如图7.5所示。 图7.5 子网过滤防火墙 Internet 外部路由器 应用网关 内部路由器 Intranet 非军事区是图中的方框内部区域,除了所示的应用网关,这个子网还可能被用于信息服务器、调制解调器池和其它要求严格控制访问的系统。 外部过滤器和应用网关与在主机过滤防火墙中的功能相同。内部过滤器在应用网关与受保护网络之间提供附加保护,万一入侵者通过外部路由器和应用网关时,内部路由器可以看作一个后退防御措施。 (1)子网过滤防火墙的优点 子网过滤防火墙的主要优
9、点是它又提供了一层保护。一个入侵者要进入受保护的网络,必须通过两个路由器和应用网关,这不是不可能的,但比起主机过滤防火墙来要更困难。 (2)子网过滤防火墙的缺点 n 因为它要求的设备和软件模块最多,与前面提到的那些防火墙相比是最贵的配置。 n 整个系统的配置由3种设备组成,包括两个路由器及其规则表,配置将会相当复杂。 5、其它防火墙配置 在实际应用中,管理员可以在所有已描述的配置的基础上提出改动以适应自身的安全策略。可以使用更多的堡垒主机将不同的服务通信分离开,也可以增加更多层的子网过滤来处理可靠程度不同的进入网和由网络发出的通信。其实,对如何建一个防
10、火墙并没有严格的规定,但建议遵守以下几条准则: (1)最重要的是记住配置的安全策略并保证您的防火墙能如实地实现这一安全策略。 (2)有效的安全措施有时会带来不便,但在安全策略实施中不要被捷径所诱惑。 (3)防火墙的设置应尽量使其简单。多并不意味着好,尤其是防火墙中增加部件太多将会使其复杂得不可建立和不可管理,或者对用户来说因太难使用而致使用户采取非法捷径。 二、Web服务器与防火墙 Web服务器 图7.6 Web服务器在防火墙之内 Internet 过滤路由器 Intranet 鉴于Web服务在企业中越来越广泛的应用,因此有必要介绍
11、一下Web服务器和防火墙的关系。在企业的Web应用中,防火墙将极大地增强内部网和Web站点的安全性。根据不同的需要,防火墙在网中的配置有很多种方式。根据防火墙和Web服务器所处的位置,总的可以分为3种配置:Web服务器置于防火墙之内、Web服务器置于防火墙之外和Web服务器置于防火墙之上。 1、web服务器置于防火墙之内 如图7.6所示,将Web服务器放在防火墙内的好处是Web服务器得到了安全保护,不容易被非法闯入,但存在的问题是不易被外界所用。 如果Web站点主要用于企业的管理,这种配置不失为一种好的方法。但如果Web站点主要用于宣传企业形象,显然这不是好的配置,这时应当将Web服务器
12、放在防火墙之外。 2、Web服务器置于防火墙之外 Web服务器 图7.7 Web服务器在防火墙之外 Internet 过滤路由器 Intranet Web服务器置于防火墙之外的配置如图7.7所示。事实上,为保证组织内部网络的安全,将web服务器完全置于防火墙之外是比较合适的。 在这种模式中,Web服务器不受保护,但内部网则处于保护之下,即使黑客闯进了你的Web站点,内部网络仍是安全的。在这种配置中代理支持十分重要,因为防火墙对Web站点的保护几乎不起作用。 3、 图7.8 Web服务器在防火墙之上 Internet Web服务器及防火墙 Intranet web服务器置于防火墙之上 如图7.8所示。一些管理者试图在防火墙机器上运行Web服务器,以此增强web站点的安全性。但这种配置的缺点是,一旦服务器有一点毛病,整个组织和web站点就全部处于危险之中。 因此,这种方式在实际应用中很少单独采用。但这种基本配置有多种变化,包括利用代理服务器、双重防火墙、利用成对的服务器提供对公众信息及内部网络的访问。






