最后一点是,防火墙无法防范数据驱动型的攻击。数据驱动型攻击从表面上看是无害的数据被邮寄或拷贝文不对题Internet主机上,但一旦执行就开始攻击。例如,一个数据型攻击可能导致主机修改与安全相关的文件,使得入侵者很容易获得对系统的访问权。
3)防火墙在网络中的应用
基于上述考虑,在防火墙设计时,我们首先将网络划分为三个基本子网区域:
? 内部服务子网;
? 公共子网(即公共服务区或DMZ停火区); ? 外部非安全网络;
不同子网区域有不同安全需求,因此不同子网区域应该有不同安全架构。使用防火墙建立屏蔽子网体系结构,它将内部服务子网和工作子网与外部非安全网络隔开。如图所示(图11-3)。
(图11-3)
屏蔽子网采用一台防火墙,交内部网与外部 非安全网通过屏蔽子网隔离,使得外部IP数据包只能到达化公共子网,而且也只有公共子网的IP数据包才能到达外部网。
这样的架构使得内部网和外部网不能直接通信,双方都只能到达公共子网。 将公共子网的对外提供WWW、电子邮件、域名解析和文件传输服务的服务器以及代理服务器放在屏蔽子网。代理服务器安装在屏蔽子网,代理内部用户访问非安全的公共网。这样既使外部用户能方便浏览下载企业的公开信息,与内部网用户交换邮件,又使外部用户不能通过这种方式攻击内部网的资源,篡改数据,同时也保证了WEB服务器和MAIL服务器上的数据。
2.防火墙配置
根据**房产综合信息网的结构,在**房产数据中心设置了防火墙设备,如下图所示。(图11-4)
公共数据网 DDN DMZ(非军事区) 防火墙 内部服务器对外服务器区 处室网处室网处室网
处室网(图11-4)
处室网其配置要点如下:
对外连接的路由器以及拨号访问服务器直接连接一防火墙的外网卡上。这样外部网络的拨号访问用户将作为一个不可信任的外部网络,被隔离在局域网的外面。
数据中心划分成服务器子网和办公子网。服务器子网包括对外提供服务的服务器,如WWW服务器、FTP服务器、DNS服务器等。办公子网是数据中心人员的日常办公用机器。数据中心服务器子网连接到防火墙的DMZ网卡上,构成了一个非军事化区,提供对外部网络用户的信息服务。数据中心的办公子网与各单位局域网一样,连接到位于数据中心的中心交换机上,作为内部网进行保护。
通过设在非军事化区的应用层安全服务器代理,外部网的用户可以访问到位于内部网的服务器资源。
各单位子网之间的安全暂时通过交换机设备的配置,划分虚网进行隔离。在必要时可以配置防火墙进行隔离。
3. 防火墙设备选型原则
这里配置的防火墙将使**房产网上的局域网通过广域网与外部网络相连,其安全性将影响到整个网络的,因此必须遵循以下原则,谨慎选择:
? 防火墙自身的安全必必须有保证,防火墙必须采用具备安全内核的操作系统,必须能够构建安全的网络拓扑。
? 防火墙必须具备高的性能。从**房产系统的实际情况来看,对防火墙工功能要求并不高,只需要能够隔离内外两部分网络,禁止外部用户直接进入防火墙内部,其它较高层次的安全功能可以通过应用层等较高层次的安全产品实现。因此要求该防火墙设备具备较高的IP包过滤能力;
? 必须采用国内自主研发的、经过国家认证的防火墙产品; ? 防火墙的功能。
4. 防火墙位于内部网络与外部连接处处理
防火墙位于内部网络与外部网络的连接处,对进出内部网络的所有数据进行检查,符合一定的访问控制规则的允许通过,否则要拒绝或修改数据中,并能检测出可能的非法内外网络入侵,及时进行处理和记录,保证网络安全。
防火墙能有效地防止黑客入侵,抵御来自外部网络的攻击,保证内部系统的资料不被盗取,可为现有的网络提供最有效、最彻底的保安措施。
防火墙主要功能如下:
1)网络地址转换
防火墙系统支持动态、静态、双向网络地址转换。防火墙提供了静态NAT和动态NAT两种方法,源NAT和目的NAT两种NAT方式。
2)IP包过滤
端口过滤:即指定为某些端口提供服务。
服务过滤;即协议过滤。防火墙系统支持现有的95种通信协议和730种应用服务,包括WWW、FTP、POP3、数据库服务、多媒体服务、Microsoft网络服务等等。
地址过滤:IP地址过滤是指定为某些IP地址的计算机提供相关服务。 3)HTTP协议内容过滤; 4)FTP协议内容过滤; 5)邮件内容过滤;
6)用户身份访问控制,用户身份认证:一次口令认证、IP/MAC绑定 7)入侵检测功能:实时检测是否有入侵行为 8)防火墙日志管理
9)方便而强大的管理功能:防火墙的强大的功能轻松配置完成。
拨号网络的安全设计
根据前面**房产大市场总体设计,可采用具有拨号接入功能的路由器与内部电话网连接。该拨号路由器位于设置的防火墙前面,因此,拨号用户访问网络资源时,会在三个不同的层次上受到控制。
? 拨号路由器本身提供的安全控制。大多数拨号路由器支持RADIUS和TACACS认证协议,提供AAA服务,即身份认证(Authentication)、访问控制(Authorization)和记帐(Accounting)。拨号路由器可以鉴别出不同的拨号用户身份。