防火墙设备可以满足《网络安全等级保护基本要求》中安全区域边界对边界防护和访问控制的相关测评项的要求。对于等级保护第二级以上的网络,是必备设备。所以在网络设计阶段,应当充分考虑满足等级保护相关要求,而防火墙是必须考虑中的一类设备。具体防火墙的选型与配套,需要根据业务的要求进行选购。
实施防火墙
管理员必须能够评估实施问题,以便为其系统实现成功的安全解决方案。了解防火墙的类型意味着了解防火墙如何评估流量并决定允许什么和不允许什么。了解防火墙的实现意味着了解防火墙是如何与其所保护的网络相关的设置的。最广泛使用的配置包括:
·基于网络主机
·双宿主机
·基于路由器的防火墙
·筛选主机
基于主机
在基于主机(有时称为基于网络主机)的场景中,防火墙是安装在具有现有操作系统的现有计算机上的软件解决方案。最值得关注的问题是这种情况是,无论防火墙解决方案有多好,它都取决于底层操作系统。在这种情况下,托管防火墙的计算机拥有强化的操作系统绝对至关重要。强化操作系统是指采取多项安全预防措施,包括:
在基于网络主机的实施中,您将防火墙软件安装到现有服务器上。有时,服务器的操作系统可能附带此类软件。管理员使用运行 Linux 的计算机、配置其内置防火墙并将该服务器用作防火墙的情况并不罕见。该选项的主要优点是成本。只需将防火墙软件安装到现有计算机上并将该计算机用作防火墙要便宜得多。
在实践中
非军事区
越来越多的组织选择使用 DMZ。DMZ是非军事区。DMZ 是使用两个独立的防火墙创建的。一个防火墙面向外界或互联网,另一个面向内部或公司网络。它允许在面向互联网的服务和后端公司资源之间提供额外的保护层。
通常,Web 服务器、电子邮件服务器和 FTP 服务器位于 DMZ 内。域控制器、数据库服务器和文件服务器位于公司网络内部。这意味着,如果黑客突破第一道防火墙的安全性,她只能影响网络服务器或电子邮件服务器。她将无法直接获取公司数据。获取这些数据需要黑客突破另一个防火墙的安全性。
无论您使用哪种类型的防火墙,这种安排都是首选方法。管理员通常会选择在 DMZ 外侧使用较弱且较便宜的防火墙,例如简单的数据包过滤防火墙。然后,他们使用更严格的防火墙,例如 DMZ 内侧的状态数据包过滤。如果在外部防火墙上使用入侵检测系统,那么在黑客成功突破内部防火墙之前,很可能会检测到对该防火墙的任何破坏。防火墙。这也是媒体充斥着黑客破坏网站的故事的原因之一,但黑客真正获取敏感数据的故事却很少见。
许多路由器供应商现在提供实现 DMZ 的单一设备。他们通过在一台设备中创建两个防火墙来实现这一点,因此您可以购买实现整个 DMZ 的单个设备。路由器有一个端口用于外部连接(即 Internet),另一个端口用于 DMZ,其余端口用于内部网络。图显示了DMZ。
DMZ
双宿主机
双宿主主机是在至少有两个网络接口的服务器上运行的防火墙。这是一项非常古老的技术,现在可能不会经常看到它。如今大多数防火墙都是在实际的路由器中实现的,而不是在服务器中。服务器充当网络与其所连接的接口之间的路由器。为了实现此功能,自动路由功能被禁用,这意味着来自 Internet 的 IP 数据包不会直接路由到网络。管理员可以选择要路由哪些数据包以及如何路由它们。防火墙内外的系统可以与双宿主机通信,但不能直接相互通信。双宿主机如图所示。
宿主主机
双宿主主机配置只是网络主机防火墙实现的扩展版本。这意味着它还取决于底层操作系统的安全性。每当防火墙在任何类型的服务器上运行时,该服务器操作系统的安全性就变得比平常更加重要。
该选项的优点是相对简单且便宜。主要缺点是它对底层操作系统的依赖。
基于路由器的防火墙
管理员可以在路由器上实施防火墙保护。事实上,即使是当今最简单的低端路由器也包含某种类型的防火墙。在具有多层保护的大型网络中,这通常是第一层保护。尽管可以在路由器上实施各种类型的防火墙,但最常见的类型使用数据包过滤。家庭或小型办公室的宽带连接用户可以获得包过滤防火墙路由器来替代宽带公司提供的基本路由器。
在许多情况下,该解决方案对于防火墙新手来说也是理想的选择。许多供应商提供基于路由器的防火墙,供应商可以根据客户的需求对其进行预配置。然后,客户可以在其网络和外部互联网连接之间安装它。此外,大多数更知名的品牌(思科、3Com 等)都在其硬件中提供特定于供应商的培训和认证,从而相对容易找到合格的管理员或培训现有员工。
实施基于路由器的防火墙的另一种有价值的方法是在网络的各个部分之间实施。如果网络被划分为多个网段,则每个网段都需要使用路由器来连接到其他网段。使用还包含防火墙的路由器可显着提高安全性。如果网络某一部分的安全受到损害,则网络的其余部分不一定会受到破坏。
也许基于路由器的防火墙的最大优势是易于设置。在许多情况下,供应商甚至会为您配置防火墙,您只需将其插入即可。当今大多数家用路由器,例如 Linksys、Belkin 或Netgear 的路由器,都具有内置防火墙。事实上,几乎所有高端路由器都包含防火墙功能。
筛选的主机
屏蔽主机实际上是防火墙的组合。在此配置中,使用堡垒主机和屏蔽路由器的组合。该组合创建了可有效过滤流量的双防火墙解决方案。两个防火墙可以是不同的类型。堡垒主机(请参阅以下仅供参考)可能是应用程序网关和路由器数据包筛选器(反之亦然)。这种方法(如下图所示)提供了两种类型防火墙的优点,并且在概念上与双宿主主机类似。
屏蔽的主机
与双宿主防火墙相比,屏蔽主机具有一些明显的优势。与双宿主防火墙不同,屏蔽主机只需要一个网络接口,不需要在应用程序网关和路由器之间有单独的子网。这使得防火墙更加灵活,但可能安全性较低,因为它仅依赖一个网络接口卡,这意味着它可能被配置为将某些可信服务传递到防火墙的应用程序网关部分,并直接传递到网络内的服务器。
使用屏蔽主机时最重要的问题是它本质上将两个防火墙合二为一。因此,任何安全缺陷或错误配置都会影响两个防火墙。当您使用 DMZ 时,物理上有两个独立的防火墙,任何安全缺陷传播到这两个防火墙的可能性都很低。
仅供参考:堡垒主机
堡垒主机是 Internet 和专用网络之间的单点联系。它通常只会运行有限数量的服务(那些对专用网络绝对必要的服务),而不会运行其他服务。堡垒主机通常是网络与外界之间的包过滤防火墙。
除了这些防火墙配置之外,防火墙检查数据包的方式也有不同的方法。数据包过滤器工作在 OSI模型的网络层,简单地阻止某些特定的数据包基于协议、端口号、源地址和目标地址等标准的数据包。例如,数据包过滤器可能会拒绝端口 1024 及以上端口上的所有流量,或者可能会阻止使用 tFTP 协议的所有传入流量。当然,端口位于传输层。传入和传出过滤器可以规定哪些信息传入或传出本地网络。
屏蔽路由器允许您拒绝或允许来自堡垒主机的某些流量,从而增加安全性。它是流量的第一站,只有筛选路由器允许流量通过才能继续。
原文始发于微信公众号(河南等级保护测评):网络安全等级保护:实施防火墙
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论