《标准的网络安全设计方案.docx》由会员分享,可在线阅读,更多相关《标准的网络安全设计方案.docx(36页珍藏版)》请在课桌文档上搜索。
1、标准的网络安全设计方案某校园网方案2网络防*设计中的网题16如何构建网络好安全方案22四台Cisco防火墙实现VPN网络27M级防火墙选购然点27增强路由联全的十个技巧28启明星辰银行安全防御方案28神科基金公司值总安全解决方案30安天校园网解决方案32网络入侵做解决方案34企业需要什么样的IDS潴试IDS的几个性能指株35东软安全助力骷信用风险管理信息系统35某校园网方案1.1 设计原则1 .充分满足现在与未来3-5年内的网络需求,既要保证校园网能很好的为学校服务,又要保护学校的投资。2 .强大的安全管理措施,四分建设、六分管理,管理保护的好坏处校园网正常运行的关键3 .在满足学校的需求的前
2、提下,建出自己的特色1.2 网络建设需求网络的稳固性要求整个网络需要具有高度的稳固性,能够满足不一致用户对网络访问的不一致要求网络高性能需求整个网络系统需要具有很高的性能,能够满足各类流媒体的无障碍传输,保证校园网各类应用的畅通无阻认证计由效率高,对用户的认证与计戕不可能对网络性能造成瓶颈网络安全需求防止IP地址冲突非法站点访问过滤非法言论的准确追踪恶意攻击的实时处理记录访问日志提供完整审计网络管理需求需要方便的进行用户管理,包含开户、销户、资料修改与查询需要能够对网络设备进行集中的统一管理需要对网络故障进行快速高效的处理第二章、某校园网方案设计2.1 校园网现网拓扑图WH图书馆tat整个网络
3、使用二级的网络架构:核心、接入。核心使用一台RGS4909,负责整个校园网的数据转发,同时为接入交换机S1926F+、内部服务器提供百兆接口。网络出口使用RG-WALLI200防火墙。原有网络设备功能较少,无法进行安全防护,已经不能满足应用的需求。2.2 校园网设备更新方案方案一:不更换核心设备区各用3台S2126G替换原有S1926F+,其中汇聚交换机各使用一台新增的S2126G,剩余的两台S2126G用于加强对关键机器的保护,中校区的网络结构也做相应的调整,使用现有的两台S2126G做为汇聚设备,其它交换机分别接入这两台交换机,从而实现所有汇聚层交换机都能进行安全操纵,重点区域在接入层进行
4、安全操纵的网络布局。方案二:更换核心设备东校区RG-WALLS8610.1926F*S2126GS2126G 交换机Internet交换机交换机S1926F*IlM 管 S1926F+ IIIq 管西校区S2126GS2126G S2126GS2126GS4909核心使用一台锐捷网络面向10万兆平台设计的多业务IPV6路由交换机RG-S8606,负责鳖个校园网的数据转发.在中校区增加一台SAM服务器,部暑SAM系统,同时东校区与西校区各用3台S2126G普换原有S1926F+将原有的S4909放到东校区做为校园网拓扑图(更换核心)中心机房汇聚设备,下接三台S2126G实现安全掾纵,其它二层交换
5、机分别接入相应的S2126G.西校区汇聚使用一台S2126G,剩余两台S2126G用于保护重点机器,其它交换机接入对应的S2126G.中校区的网络结构也做相应的调整,使用现有的两台S2126G做为汇聚设备,其它交换机分别接入这两台交换机,从而实现所有汇聚层交换机都能进行安全操纵,重点区域在接入层进行安全操纵的网络布局.2.3 骨干网络设计骨干网络由RG-S8606构成,核心交换机RG-S8606要紧具有5特性:锐捷10万兆产品RG-S8600的五大特色1、骨干网带宽设计:千兆骨干,可平滑升级到万兆整个骨干网使用千兆双规线路的设计,二条线路通过VRRP冗余路由协议与OSPF动态路由协议实现负载分
6、担与冗余备份,以后,随着网络流量的增加,能够将链路升级到万兆。2、骨干设备的安全设计:CSS安全体系架构3、CSS之硬件CPPCPP即CPUPrOteCtPOIicy,RG-S8606使用硬件来实现,CPP提供管理模块与线卡CPU的保护功能,对发往CPU的数据流进行带宽限制(总带宽、QoS队列带宽、类型报文带宽),这样,关于ARP攻击的数据流、针对CPU的网络攻击与病毒数据流,RG-S8606分配给其的带宽非常的有限,不可能影响其正常工作。由于锐捷10万兆产品RG-S8606使用硬件的方式实现,不影响整机的运行效率4、CSS之SPoH技术现在的网络需要更安全、需要为不一致的业务提供不一致的处理
7、优先级,这样,大量的ACL与QoS需要部署,需要核心交换机来处理,而这些应用属于对交换机硬件资源消耗非常大的,核心交换机RG-S8606通过在交换机的每一个用户端口上增加一个FFP(快速过滤处理器),专门用来处理ACL与QOS,相当于把交换机的每一个端口都变成了一台独立的交换机,能够保证在非常复杂的网络环境中核心交换机的高性能。数据接口MMUGPICFFPGPICFFPGPICFFPGPICFFPGPICFFPGPICFFPmemory图图IPMC Itablel2.4 网络安全设计2.4.1 某校园网网络安全需求分析1、网络病毒的防范病毒产生的原因:某校园网很重要的一个特征就处用户数比较多,
8、会有很多的PC机缺乏有效的病毒防范手段,这样,当用户在频繁的访问INTERNET的时候,通过局域网共享文件的时候,通过U盘,光盘拷贝文件的时候,系统都会感染上病毒,当某个学生感染上病毒后,他会向校园网的每一个角落发送,发送给其他用户,发送给服务器。病毒对校园网的影响:校园网万兆、千兆、百兆的网络带宽都被大量的病毒数据包所消耗,用户正常的网络访问得不到响应,办公平台不能使用;资源库、VOD不能点播;INTERNET上不了,学生、老师面临着看着丰富的校园网资源却不能使用的尴尬境地。2、防止IP、MAc地址的盗用IP、MAC地址的盗用的原因:某校园网使用静态IP地址方案,假如缺乏有效的IP、MAC地
9、址管理手段,用户能够随意的更换IP地址,在网卡属性的高级选项中能够随意的更换MAC地址。假如用户有意无意的更换自己的IP、MAC地址,会引起多方冲突,假如与网关地址冲突,同一网段内的所有用户都不能使用网络:假如恶意用户发送虚假的IP、MAc的对应关系,用户的大量上网数据包都落入恶意用户的手中,造成ARP欺骗攻击。IP、MAC地址的盗用对校园网的影响:在用户看来,校园网络是一个很不可靠是会给我带来很多烦恼的网络,由于大量的IP、MAC冲突的现象导致了用户经常不能使用网络上的资源,而且,用户在正常工作与学习时候,自己的电脑上会经常弹出MAC地址冲突的对话框。由于担心一些机密信息比如银行卡账户、密码
10、、邮箱密码泄漏,用户会尽量减少网络的使用,这样,学生、老师对校园网与网络中心的信心会逐步减弱,投入几百万的校园网也就不能充分发挥其服务于教学的作用,造成很大程度上的资源浪费。3、安全事故发生时候,需要准确定位到用户安全事故发生时候,需要准确定位到用户原因:国家的要求:2002年,朱铭基签署了282号令,要求各大INTERNET运营机构(包含高校)务必要储存60天的用户上网记录,以待有关部门审计。校园网正常运行的需求:假如说不能准确的定位到用户,学生会在网络中肆无忌弹进行各类非法的活动,会使得校园网变成“黑客”娱乐的天堂,更严重的是,假如当某个学生在校外的某个站点公布了大量涉及政治的言论,这时候
11、公安部门的网络信息安全监察科找到我们的时候,我们无法处理,学校或者者说网络中心只有替学生背这个黑锅。4、安全事故发生时候,不能准确定位到用户的影响:一旦发生这种涉及到政治的安全情况发生后,很容易在社会上广泛传播,上级主管部门会对学校做出处理:同时也会大大降低学校在社会上的影响力,降低家长、学生对学校的满意度,对以后学生的招生也是大有影响的。5、用户上网时间的操纵无法操纵学生上网时间的影响:假如缺乏有效的机制来限制用户的上网时间,学生可能会利用一切机会上网,会旷课。学生家长会对学校产生强烈的不满,会认为学校及其的不负责任,不是在教书育人。这对学校的声誉与学校的长期进展是及其不利的。6、用户网络权
12、限的操纵在校园网中,不一致用户的访问权限应该是不一样的,比如学生应该只能够访问资源服务器,上网,不能访问办公网络、财务网络。办公网络的用户因该不能访问财务网络。因此,需要对用户网络权限进行严格的操纵。7、各类网络攻击的有效屏蔽校园网中常见的网络攻击比如MACFLe)C)D、SYNFLOOD,DOS攻击、扫描攻击、ARP欺骗攻击、流量攻击、非法组播源、非法DHCP服务器及DHCP攻击、窃取交换机的管理员密码、发送大量的广播报文,这些攻击的存在,会扰乱网络的正常运行,降低了校园网的效率。2.4.2 某校园网网络安全方案设计思想2.4.2.1 安全到边缘的设计思想用户在访问网络的过程中,首先要通过的
13、就是交换机,假如我们能在用户试图进入网络的时候,也就是在接入层交换机上部署网络安全无疑是达到更好的效果。2.422全局安全的设计思想锐捷网络提倡的是从全局的角度来把控网络安全,安全不是某一个设备的情况,应该让网络中的所有设备都发挥其安全功能,互相协作,形成一个全民皆兵的网络,最终从全局的角度把控网络安全。2.423全程安全的设计思想用户的网络访问行为能够分为三个阶段,包含访问网络前、访问网络的时候、访问网络后。对着每一个阶段,都应该有严格的安全操纵措施。2.4.3 某校园网网络安全方案锐捷网络结合SAM系统与交换机嵌入式安全防护机制设计的特点,从三个方面实现网络安全:事前的准确身份认证、事中的
14、实时处理、事后的完整审计。2.4.3.1 事前的身份认证关于每一个需要访问网络的用户,我们需要对其身份进行验证,身份验证信息包含用户的用户名/密码、用户PC的IP地址、用户PC的MAC地址、用户Pe所在交换机的IP地址、用户PC所在交换机的端口号、用户被系统定义的同意访问网络的时间,通过以上信息的绑定,能够达到如下的效果:每一个用户的身份在整个校园网中是唯一,避免了个人信息被盗用.当安全事故发生的时候,只要能够发现睾事者的一项信息比如IP地址,就能够准确定位到该用户,便于情况的处理。只有通过网络中心授权的用户才能够访问校园网,防止非法用户的非法接入,这也切断了恶意用户企图向校园网中传播网络病毒
15、、黑客程序的通道。2.4.3.2 络攻击的防范1、常见网络病毒的防范关于常见的比如冲击波、振荡波等对网络危害特别严重的网络病毒,通过部署扩展的ACL,能够对这些病毒所使用的TCP、UDP的端口进行防范,一旦某个用户不小心感染上了这种类型的病毒,不可能影响到网络中的其他用户,保证了校园网网络带宽的合理使用。2、未知网络病毒的防范关于未知的网络病毒,通过在网络中部署基于数据流类型的带宽操纵功能,为不一致的网络应用分配不一致的网络带宽,保证了关键应用比如WEB、课件资源库、邮件数据流有足够可用的带宽,当新的病毒产生时,不可能影响到要紧网络应用的运行,从而保证了网络的高可用性。3、防止IP地址盗用与A
16、RP攻击通过对每一个ARP报文进行深度的检测,即检测ARP报文中的源IP与源MAC是否与端口安全规则一致,假如不一致,视为更换了IP地址,所有的数据包都不能进入网络,这样可有效防止安全端口上的ARP欺骗,防止非法信息点冒充网络关键设备的IP(如服务器),造成网络通讯混乱。4、防止假冒IP、MAC发起的MACFloodSYNHood攻击通过部署IP、MAC、端口绑定与IP+MAC绑定(只需简单的一个命令就能够实现)。并实现端口反查功能,追查源IP、MAC访问,追查恶意用户。有效的防止通过假冒源IP/MAC地址进行网络的攻击,进一步增强网络的安全性。5、非法组播源的屏蔽锐捷产品均支持IMGP源端口
17、检查,实现全网杜绝非法组播源,指严格限定IGMP组播流的进入端口。当IGMP源端口检查关闭时,从任何端口进入的视频流均是合法的,交换机会把它们转发到已注册的端口。当IGMP源端口检查打开时,只有从路由连接口进入的视频流才是合法的,交换机把它们转发向已注册的端口;而从非路由连接口进入的视频流被视为是非法的,将被丢弃。锐捷产品支持IGMP源端口检查,有效操纵非法组播,实现全网杜绝非法组播源,更好地提高了网络的安全性与全网的性能,同时能够有效杜绝以组播方式的传播病毒.在校园网流媒体应用多元化与潮流下具有明显的优势,而且也是网络带宽合理的分配所务必的。同时IGMP源端口检查,具有效率更高、配置更简单、
18、更加有用的特点,更加适用于校园运营网络大规模的应用环境。6、对DOS攻击,扫描攻击的屏蔽通过在校园网中部署防止DoS攻击,扫描攻击,能够有效的避免这二种攻击行为,节约了网络带宽,避免了网络设备、服务器遭受到此类攻击时导致的网络中断。2.4.3.3 事后的完整审计当用户访问完网络后,会储存有完备的用户上网日志纪录,包含某个用户名,使用那个IP地址,MAC地址是多少,通过那一台交换机的哪一个端口,什么时候开始访问网络,什么时候结束,产生了多少流量。假如安全事故发生,能够通过查询该日志,来唯一的确定该用户的身份,便于了情况的处理。2.5 网络管理设计网络管理包含设备管理、用户管理、网络故障管理2.5
19、.1 网络用户管理网络用户管理见网络运营设计开户部分2.5.2 网络设备管理网络设备的管理通过STARVIEW实现,要紧提供下列功能,这些功能也是我们常见的解决问题的思路:1、网络现状及故隙的自动发现与熟悉STARVIEW能自动发现网络拓扑结构,让网络管理员对整个校园网了如指掌,关于用户私自挂接的HUB、交换机等设备能及时地发现,提早消除各类安全隐患。关于网络中的特殊故障,比如某台交换机的CPU利用率过高,某条链路上的流量负载过大,STARVIEW都能够以不一致的颜色进行显示,方便管理员及时地发现网络中的特殊情况。2、网络流量的查看STARVIEW在网络初步特殊的情况下,能进一步的察看网络中的
20、全面流量,从而为网络故障的定位提供了丰富的数据支持。3、网络故障的信息自动报告STARV正W支持故障信息的自动告警,当网络设备出现故障时,会通过TRAP的方式进行告警,网络管理员SIErent的界面上能看到各类故障信息,这些信息同样为管理员的故障排除提供了丰富的信息。文件。)编辑(J)查着心事件期选项(Q)阳助如圃凶W,脚闻I曲3也会事件期TraP事件阈值报警事件-系统事件:质件简设备重起规剜设曾修改事件以JIJ谓苜先选择条件和摄作,然后在猫述中指定值.1选探视则条件:这朝UwS用于所杳事件.上移I 下膝 I权财明:定义事件如3若事件类型:乏?件源I针对所利的事件2选择双剜*作:-怦到达后应用
21、本坡取若审件类型为热自动/ 移动到造聋重起 gD Pr0Qw Fl, Eai 1 通知 ,x tQx(r;22氏翳第变/事件到达后将暮动到指定蛆若事件类型为热启空”称动到处童&X声音等告D Pro FII八送建网隆网居田腐公)StuV . 今WEfI通知butrHtrfQ, Cft4硒名称:”到达后做於修通事件到达后咚四处工丽新知,投件Sl这个信IB仪件 声音告善I 股清4、设备面板管理STARVIEW的设备面板管理能够很清晰的看到校园中设备的面板,包含端口数量、状态等等,同时能够很方便的登陆到设备上,进行配置的修改,完善与各类信息的察看。5、RGNOS操作系统的批量升级校园网很大的一个特点就
22、是规模大,需要使用大量的接入层交换机,假如需要对这些交换机进行升级,一台一台的操作,会给管理员的工作带来很大的压力,STARVIEW提供的操作系统的批量升级功能,能够很方便的一次对所有的相同型号的交换机进行升级,加大的较少了网络管理员的工作量。2.53网络故障管理随着校园网用户数的增多,特别是宿舍网运营的开始,用户网络故障的排除会成为校园网管理工作的重点与难点,传统的网络故障解决方式要紧是这样一个流程:上不了网?3=A打电话、去网络中心/1网管员手工登记受理),SL/与用户预约,上门处理+R=I网管员安排处理人员和时间2.6 流量管理系统设计网络中的流量情况是网络是否正常的关键,网络中大量的P
23、2P软件的使用,已经对各类网络业务的正常开展产生了非常严重的影响,有的学校甚至由于P2P软件的泛滥,直接导致了网络出口的瘫痪。261方案一:传统的流量管理方案传统的流量管理方案的做法很多就是简单的封堵这些P2P软件,从而达到操纵流量的目的,这有三大弊端,第一:这些软件之因此有如此强大的生命力,是由于用户通过使用这些软件的确能快速的获取各类有用的资源,假如简单的通过禁止的方式,用户的意见会非常的大,同时,各类有用的资源我们很难获取。第二:各类新型的,对网络带宽消耗更大的应用软件也在不断的出现。所谓道高一尺,魔高一丈,一味的封堵这些软件,我们永远处于被动的局面,显然不能从根本上解决这个问题。第三:
24、我们无法获取网络中的流量信息,无法为校园网的优化,网络管理,网络故障预防与排除提供数据支撑。2.6.2方案二:锐捷的流量管理与操纵方案锐捷网络的流量管理要紧通过RG-NTD+口志处理软件+RG-SAM系统来实现。NTD是锐捷流量管懂得决方案的重要构成部分,我们希望能为用户提供一种流量操纵与管理的方法而不单纯是流量计费,锐捷的流量管理方案有三大功能:第一:为SAM系统对用户进行流量计费提供原始数据,这是我们已经实现了的功能。该功能能满足不一致消费层次的用户对带宽的需求,经济条件好一点,能够多用点流量,提高了用户的满意度。而且,关于以后新出现的功能更加强大的下载软件,都不必担心用户任意使用造成带宽
25、拥塞。第:提供日志审计与带宽管理功能,通过NTD、SAM、日志系统的结合,能够做到基于用户身份对用户进行管理,做到将用户名、源IP、目的IP直接关联,通过目的IP,能够直接定位到用户名,安全事件处理起来非常的方便,同时还能提供P2P的限速,带宽管理等功能,这一部分的功能我们会在明年4月份提供。第三:能够对网络中的各类流量了如指掌,能够对用户经常访问的资源进行分析对比,为应用系统的建设、服务器的升级改造提供数据支持:能够及时的发现网络中的病毒、恶意流量,从而进行有效的防范,结合认证计费系统SAM,能够捕捉到事件源头,并于做出处理。总体来说,流量操纵与管理与日志系统的整体解决方案关于校园网的长期健
26、康可持续进展是很有帮助的。网络防火墙设计中的问题1 .方案:硬件?还是软件?现在防火墙的功能越来越多越花哨,如此多的功能必定要求系统有一个高效的处理能力。防火墙从实现上能够分为软件防火墙与硬件防火墙。软件防火墙以CheCkPOinl公司的Firewall-I为代表,事实上现是通过dev_add_pack的办法加载过滤函数(Linux,其他操作系统没有作分析,估计类似),通过在操作系统底层做工作来实现防火墙的各类功能与优化。国内也有一些所谓的软件防火墙,但据熟悉大多是所谓“个人”防火墙,而且功能及其有限,故不在此讨论范围。在国内目前已通过公安部检验的防火墙中,硬件防火墙占绝大多数。硬件防火墙一种
27、是从硬件到软件都单独设计,典型如NetSCreen防火墙不但软件部分单独设计,硬件部分也使用专门的ASIC集成电路。另外一种就是基于PC架构的使用通过定制的通用操作系统的所谓硬件防火墙。目前国内绝大多数防火墙都属于这种类型。尽管都号称硬件防火墙,国内厂家与国外厂家还是存在着巨大区别。硬件防火墙需要在硬件与软件两方面同时下功夫,国外厂家的通常做法是软件运算硬件化,其所设计或者选用的运行平台本身的性能可能并不高,但它将要紧的运算程序(查表运算是防火墙的要紧工作)做成芯片,以减少主机CPU的运算压力。国内厂家的防火墙硬件平台基本上使用通用PC系统或者工业Pe架构(直接原因是能够节约硬件开发成本),在
28、提高硬件性能方面所能做的工作仅仅是提升系统CPU的处理能力,增大内存容量而已。现在国内防火墙的一个典型结构就是:工业主板+x86+128(256)M内存+DOCDOM+硬盘(或者不要硬盘而另增加一个日志服务器)+百兆网卡这样一个工业PC结构。在软件性能方面,国内外厂家的差别就更大了,国外(一些著名)厂家均是使用专用的操作系统,自行设计防火墙。而国内所有厂家操作系统系统都是基于通用的Linux,无一例外。各厂家的区别仅仅在于对LinUX系统本身与防火墙部分(2.2内核为ipchains,2.4以后内核为netfilter)所作的改动量有多大。事实上,Linux只是一个通用操作系统,它并没有针对防
29、火墙功能做什么优化,而且其处理大数据量通信方面的能力一直并不突出,甚至比较低下(这也是LinUX一直只是低端服务器的宠儿的重要原因,我自己认为,在这一点上它还不如BSD系列,据说国外有用BSD做防火墙的,国内尚未见到)。现在绝大部分厂家,甚至包含号称国内最大的天融信,在软件方面所作的工作无非也就是系统有针对性的裁减、防火墙部分代码的少量改动(绝大部分还是没有什么改动)与少量的系统补丁。而且我们在分析各厂家产品时能够注意这一点,假如哪个厂家对系统本身做了什么大的改动,它确信会把这个视为一个重要的卖点,大吹特吹,遗憾的是大概还没有什么厂家有能力去做宣传(天融信大概有一个类似于CheCkPOint的
30、功能:开放式的安全应用接口TOPSEC,但它毕竟做了多少工作,还需要去认真熟悉)。目前国内厂家也已经认识到这个问题,有些在做一些底层的工作,但有明显成效的,大概还没有。在此我们仅针对以LinUX(或者其他通用操作系统)为基础的、以PC架构为硬件载体的防火墙做讨论,下列如不特别提出,均同。2 .内核与防火墙设计现在有一种商业卖点,即所谓“建立在安全操作系统之上的第四代防火墙”(关于防火墙分代的问题,目前有很多讨论,比较一致的是把包过滤防火墙称之第一代防火墙,把应用型防火墙(通常结合了包过滤功能,因此也成为混合型防火墙)称之第二代防火墙,有些厂家把增加了检测通信信息、状态检测与应用监测的防火墙称之
31、第三代防火墙,更有甚者在此基础上提出了使用安全操作系统的防火墙,并把这个称之第四代防火墙)。所谓安全操作系统,事实上大多用的还是LinUX,所不一致的是需要做一些内核加固与简单改造的工作,要紧有下列:取消危险的系统调用,或者者截获系统调用,稍加改动(如加载一些IIkm);限制命令执行权限;取消IP转发功能;检查每个分组的接口;使用随机连接序号;驻留分组过滤模块;取消动态路由功能;使用多个安全内核(这个只见有人提出,但未见到实例,对此不是很清晰)。以上诸多工作,事实上基本上都没有对内核源码做太大改动,因此从个人角度来看算不上能够太夸大的地方。关于防火墙部分,国内大部分已经升级到2.4内核所支持的
32、netfilteronetfilter己经是一个功能比较完善的防火墙框架,它已经支持基于状态的监测(通过COnneCIionIraCk模块实现)。而且netfilter是一个设计很合理的框架,能够在适当的位置上登记一些需要的处理函数,正式代码中已经登记了许多处理函数,如在NF_IP_F0RWARD点上登记了装发的包过滤功能(包过滤等功能便是由这些正式登记的函数实现的)。我们也能够登记自己的处理函数,在功能上作扩展(如加入简单的IDS功能等等)。这一点是国内厂家能够做文章的地方,至于netfilter源码的修改,对国内厂家来说大概不太现实。至于使用其它防火墙模型的,目前还没有看到(可能是nelf
33、ilter已经设计的很成功,不需要我们再去做太多工作)。3 .自我保护能力(安全性)由于防火墙的特殊功能与特殊位置,它自然是众多攻击者的目标,因此它的自我包含能力在设计过程中应该放在首要的位置。A.管理上的安全性防火墙需要一个管理界面,而管理过程如何设计的更安全,是一个很重要的问题。目前有两种方案。a.设置专门的服务端口为了减少管理上的风险与降低设计上的难度,有一些防火墙(如东方龙马)在防火墙上专门添加了一个服务端口,这个端口只是用来与管理主机连接。除了专用的服务口外,防火墙不同意来自任何其它端口的直接访问。这样做的显著特点就是降低了设计上的难度,由于管理通信是单独的通道,不管是内网主机、外网
34、主机还是DMZ内主机都无法窃听到该通信,安全性显然很高,而且设计时也无需考虑通信过程加密的问题。然而这样做,我们需要单独设置一台管理主机,显然太过浪费,而且这样管理起来的灵活性也不好。b.通信过程加密这样无需一个专门的端口,内网任意一台主机都能够在适当的情况下成为管理主机,管理主机与防火墙之间使用加密的方式通信。目前国内有使用的是使用自定义协议、一次性口令认证。对加密这个领域熟悉不多,不做详细讨论。B.对来自外部(与内部)攻击的反应能力目前常见的来自外部的攻击方式要紧有:a. DOS(DDOS)攻击(分布式)拒绝服务攻击是目前一种很普遍的攻击方式,在预防上也是非常困难的。目前防火墙关于这种攻击
35、大概没有太多的解决办法,要紧是提高防火墙本身的健壮性(如增加缓冲区大小)。在LinUX内核中有一个防止SynfIooding攻击的选项:CONFIG_SYN,COOKIES,它是通过为每一个Syn建立一个缓冲(COokie)来分辨可信请求与不可信请求。另外关于ICMP攻击,能够通过关闭ICMP回应来实现。b. IP假冒(IPSPOOfing)IP假冒是指一个非法的主机假冒内部的主机地址,骗取服务器的“信任”,从而达到对网络的攻击目的。第一,防火墙设计上应该明白网络内外的IP地址分配,从而丢弃所有来自网络外部但却有内部地址的数据包。实际实现起来非常简单,只要在内核中打开rp_filier功能即可
36、。第二,防火墙将内网的实际地址隐蔽起来,外网很难明白内部的IP地址,攻击难度加大。IP假冒要紧来自外部,对内网无需考虑此问题(事实上同时内网的IP假冒情况也能够得到遏制)。c.特洛伊木马防火墙本身预防木马比较简单,只要不让系统不能执行下载的程序即可。一个需要说明的地方是务必指出的是,防火墙能抗特洛伊木马的攻击并不意味着内网主机也能防止木马攻击。事实上,内网主机可能会透过防火墙下载执行携带木马的程序而感染。内网主机的在预防木马方面的安全性仍然需要主机自己解决(防火墙只能在内网主机感染木马以后起一定的防范作用)。d.口令字攻击口令字攻击既可能来自外部,也可能来自内部,要紧是来自内部。(在管理主机与
37、防火墙通过单独接口通信的情况下,口令字攻击是不存在的)来自外部的攻击即用穷举的办法猜测防火墙管理的口令字,这个很容易解决,只要不把管理部分提供给外部接口即可。内部的口令字攻击要紧是穷举与嗅探,其中以嗅探危害最大。嗅探指监测网络截获管理主机给防火墙的口令字,假如口令字已加密,则解密得到口令字。目前通常使用一次性口令与禁止直接登录防火墙的措施来防止对口令字的攻击。e.邮件诈骗邮件诈骗是目前越来越突出的攻击方式。防火墙本身防止邮件诈骗非常简单,不接收任何邮件就能够了。然而象木马攻击一样,内网主机仍可收发邮件,邮件诈骗的危险仍然存在,其解决办法一个是内网主机本身采取措施防止邮件诈骗,另一个是在防火墙上
38、做过滤。f.对抗防火墙(anti-fircwall)目前一个网络安全中一个研究的热点就是对抗网络安全产品如防火墙。一种是分析防火墙功能与探测防火墙内部网络结构,典型的如FireWa1匕另外有一些其他的网络安全性分析工具本身具有双刃性,这类工具用于攻击网络,也可能会很有效的探测到防火墙与内部网络的安全缺陷,典型的如SATAN与ISS公司的InternetSeCUritySCanner。目前关于这种探测(攻击)手段,尚无有效的预防措施,由于防火墙本身是一个被动的东西,它只能靠隐藏内部网络结构与提高自身的安全性来对抗这些攻击。C.透明代理的使用应用代理防火墙通常是通过设置不一致用户的访问权限来实现,
39、这样就需要有用户认证体系。往常的防火墙在访问方式上要紧是要求用户登录进系统(假如使用SoCk代理的方式则需要修改客户应用)。透明代理的使用,能够降低系统登录固有的安全风险与出错概率,从而提高了防火墙的安全性。4.透明性防火墙的透明性指防火墙关于用户是透明的,在防火墙接入网络时,网络与用户无需做任何设置与改动,也根本意识不到防火墙的存在。防火墙作为一个实际存在的物理设备,要想放入已存在地网络中又不对网络有任何影响,就务必以网桥的方式置入网络。传统方式下,防火墙安装时,更象是一台路由器或者者网关,原有网络拓扑结构往往需要改变,网络设备(包含主机与路由器)的设置(IP与网关、DNS路由表等等)也需要
40、改变。但假如防火墙使用了透明模式,即使用类似网桥的方式运行,用户将不必重新设定与修改路由,也不需要明白防火墙的位置,防火墙就能够直接安装与放置到网络中使用。透明模式最大的好处在于现有网络无需做任何改动,这就方便了很多客户,再者,从透明模式转换到非透明模式又很容易,适用性显然较广。当然,如今的防火墙仅仅起到一个防火墙的作用,其他网关位置的功能如NAT、VPN功能不再适用,当然,其他功能如透明代理还能够继续使用。目前透明模式的实现上可使用ARP代理与路由技术实现。如今防火墙相当于一个ARP代理的功能。内网(能够仍含有路由器或者子网,依次类推)、防火墙、路由器的位置大致如下:内网防火墙路由器(需要说
41、明的是,这种方式是绝大多数校园网级网络的实现方式)内网主机要想实现透明访问,务必能够透明的传送内网与路由器之间的ARP包,而如今由于事实上内网与路由器之间无法连通,防火墙就务必配置成一个ARP代理(ARPProXy)在内网主机与路由器之间传递ARP包。防火墙所要做的就是当路由器发送ARP广播包询问内网内的某一主机的硬件地址时,防火墙用与路由器相连接口的MAC地址问送ARP包;内网内某一主机发送ARP广播包询问路由器的硬件地址时,防火墙用与内网相连接口的MAC地址回送ARP包,因此路由器与内网主机都认为将数据包发给了对方,而实际上是发给了防火墙转发。显然,如今防火墙还务必实现路由转发,使内外网之
42、间的数据包能够透明的转发。另外,防火墙要起到防火墙的作用,显然还需要把数据包上传给本身应用层处理(如今实现应用层代理、过滤等功能),如今需要端口转发来实现(?这个地方不是十分清楚,也没找到有关资料)。透明模式与非透明模式在网络拓扑结构上的最大区别就是:透明模式的两块网卡(与路由器相连的与与内网相连的)在一个网段(也与子网在同一个网段);而非透明模式的两块网卡分别属于两个网段(内网可能是内部不可路由地址,外网则是合法地址)。这个过程如下:1 .用ARP代理实现路由器与子网的透明连接(网络层)2 .用路由转发在IP层实现数据包传递(IP层)3 .用端口重定向实现IP包上传到应用层(IP层)前边我们
43、讨论过透明代理,与这里所说的防火墙的透明模式是两个概念。透明代理要紧是为实现内网主机能够透明的访问外网,而无需考虑自己是不可路由地址还是可路由地址。内网主机在使用内部网络地址的情况下仍然能够使用透明代理,如今防火墙既起到网关的作用又起到代理服务器的作用(显然如今不是透明模式)。需要澄清的一点是,内外网地址的转换(即NAT,透明代理也是一种特殊的地址转换)与透明模式之间并没有必定的联系。透明模式下的防火墙能实现透明代理,非透明模式下的防火墙(如今它必定又是一个网关)也能实现透明代理。它们的共同点在于能够简化内网客户的设置而已。目前国内大多防火墙都实现了透明代理,但实现了透明模式的并不多。这些防火
44、墙能够很明显的从其广告中看出来:假如哪个防火墙实现了透明模式,它的广告中确信会与透明代理区分开而大书特书的。5.可靠性防火墙系统处于网络的关键部位,其可靠性显然非常重要。一个故障频频、可靠性很差的产品显然不可能让人放心,而且防火墙居于内外网交界的关键位置,一旦防火墙出现问题,整个内网的主机都将根本无法访问外网,这甚至比路由器故障(路由器的拓扑结构通常都是冗余设计)更让人无法承受。防火墙的可靠性也表现在两个方面:硬件与软件。国外成熟厂商的防火墙产品硬件方面的可靠性通常较高,使用专门硬件架构且不必多说,使用PC架构的其硬件也多是专门设计,系统各个部分从网络接口到存储设备(通常为电子硬盘)集成在一起
45、(一块板子),这样自然提高了产品的可靠性。国内则明显参差不齐,大相径庭,大多直接使用PC架构,且多为工业PC,使用现成的网卡,DOC/DOM作为存储设备。工业PC尽管可靠性比普通PC要高很多,但是毕竟其仍然是拼凑式的,设备各部分分立,从可靠性的角度看显然不如集成的(著名的水桶原理)。国内已经有部分厂家意识到了这个问题,开始自行设计硬件。但大多数厂家还是从成本的角度考虑使用通用PC架构。另外一方面,软件可靠性的提高也是防火墙优劣的要紧差别所在。而国内整个软件行业的可靠性体系还没有成熟,软件可靠性测试大多处于极其初级的水平(可靠性测试与bug测试完全是两个概念)。一方面是可靠性体系建立不起来,一方
46、面是为了迎合用户的需求与跟随网络应用的不断进展,多数防火墙厂商一直处于不断的扩充与修改中,其可靠性更不能让人恭维。总的来说,如同国内大多数行业(除了少数如航天、航空)一样,网络安全产品特别是防火墙的可靠性大概还没有引起人们的重视。6.市场定位市场上防火墙的售价极为悬殊,从数万元到数十万元,甚至到百万元不等。由于用户数量不一致,用户安全要求不一致,功能要求不一致,因此防火墙的价格也不尽相同。厂商因而也有所区分,多数厂家还推出模块化产品,以符合各类不一致用户的要求。总的说来,防火墙是以用户数量作为大的分界线。如CheCkPOinl的一个报价:ChcckPointFirewall-I4.125use
47、r19000.00CheckPointFirewall-14.150user31000.00CheckpointFirewall-14.11OOuser51000.00ChcckPointFirewall-14.1250user64000.00ChcckPointFirewaIl-I4.1无限用户131000.00从用户量上防火墙能够分为:a. 1025用户:这个区间要紧用户为单一用户、家庭、小型办公室等小型网络环境。防火墙通常为IOM(针对硬件防火墙而言),两网络接口,涵盖防火墙基本功能:包过滤、透明模式、网络地址转换、状态检测、管理、实时报警、日志。通常另有可选功能:VPN、带宽管理等等。这个区间的防火墙报价通常在万元以上2万元下列(没有VPN与带宽管理的价格更低)。据调查,这个区间的防火墙反而种类不多,也许是国内厂商不屑于这个市场的缘故?b. 25100用户这个区间用户要紧为小型企业网。防火墙开始升级到IOoM,三或者更多网络接口。VPN、带宽管理往往成为标准模块。这个