打印本文 关闭窗口 | |||||||
专家谈企业防火墙的安全防护配置 | |||||||
作者:陈鹏 文章来源:eNet 点击数 更新时间:2009/9/11 23:25:36 文章录入:陈鹏 责任编辑:陈鹏 | |||||||
|
|||||||
然而,在考察我国企业网络的安全现状时,我们仍然发现,有相当一部分网络,虽然安装了硬件防火墙防护设备,但由于管理员的水平有限,在防火墙的使用和配置上存在一些问题,并没有能最大程度的发挥防火墙的安全防护作用。下面,在大唐龙创公司长期从事网络安全一线工作的笔者列举一些在实际工作中发生的现象,出现的问题,以帮助我们的网络管理员能更好的防护企业的网络。 问题一: 某国家机关,防火墙投入运行后,实施了一套较为严格的安全规则,禁止内部员工使用QQ聊天,可是没过多久就有员工私自用PC拨号上网,结果导致感染了特洛依木马和蠕虫冲击波等病毒,并立刻在内部局域网中传播开来,造成内部网大面积瘫痪。 通过这个案例,我们需要明确的是,防火墙作为一种边界防护类型的网络安全设备,必须部署在受保护网络的边界处,只有这样,防火墙才能控制所有出入网络的数据通信,达到将入侵者拒之门外的目的。如果被保护网络的边界不惟一,有额外的出入口,那么入侵者会通过其它途径先入侵我们的主机,然后进一步攻击我们整个网络。 我们设置的防火墙策略,其实是与单位的制定的上网管理制度严格相关的,在配置防火墙控制策略前,我们一般需要先制定企业安全上网的管理制度,并彻底贯彻实施。在上述案例中,首先应该在单位制度中明确严格禁止私自拨号上网的行为,以防止出现多出口的情况。同时,在制定策略时,也要考虑员工的需求,可以按照时间段添加防火墙规则,比如在非工作时间开放员工QQ上网聊天等的权限。 问题二: 关于防火墙DMZ区的使用和防火墙的DMZ区域规则的配置。 现在很多企业网络一般都是很简单,防火墙部署在企业网出口,后面接内网核心交换机,核心交换机再接分支交换机,用户主机接各个分支交换机进行网络访问。笔者在用户使用大唐龙创防火墙或者其他品牌的调查中发现,由于一些网络集成商,对于防火墙的DMZ区没有深刻认识,有些企业防火墙的DMZ口并没有使用,企业网内部对外开放的服务器与所有上网办公主机是混在一起的。而有一些企业,虽然使用了DMZ接口,但由于设置的规则不合理,其实并没有起到DMZ区隔离安全效果。这其实都存在很大的安全隐患。 DMZ,即非军事化缓冲区,是当网络内部有服务需要开放给公网用户时而设置的独立区域。由于这些开放服务器要面对的是大量公网的任意未知用户,因此,在接入时一般必须使用防火墙的独立DMZ接口进行隔离,同时需要设置严格的防火墙控制策略,以防止入侵者的破坏。内部服务器要作为功能独立的主机要与单位用户的个人主机分开,同时为便于管理,一般地址段也是独立的,以区分于个人用户的地址段。 如果内部服务器是与其他主机混在一起,没有放在独立的DMZ区进行隔离,其后果可能是,一旦服务器被黑客利用其漏洞攻击成功,则整个网络就暴露在黑客面前,黑客将很轻松的以服务器为跳板攻击整个网络。 因此,我们在配置开放服务的防火墙DMZ区策略时,也一定要严格,一般都细化到服务器每个端口,开放了什么服务,才在防火墙规则中打开什么端口号。对于不使用的端口号,要全部禁止。同时,特别要注意的是,千万不要在防火墙中加DMZ区到内网区的全通规则,如果这样,DMZ区也就失去了防护的意义。如果确实有到内网的通信需求,也要细化到哪个IP地址的哪个端口,或者在需要时动态添加,当业务完成后,就要马上将规则删除。 问题三: 一些单位以前是通过传统路由器进行上网,现在考虑安全性的问题,才购买的硬件防火墙,在这种情况下,应该如何部署防火墙? 在网络设计中,一般有三种接入方式,下面对这三种防火墙的位置进行一下比较: 1) 放在路由器之前,路由器与接入光纤的光电转换之间,防火墙工作在透明方式。 这种方式下,路由器的配置不变,通过设置规则,防火墙可以有效保护内部开放的服务器和路由器本身,但由于防火墙在路由器外,此时内部用户的数据包到达防火墙时已经做了源地址转换SNAT,因此,防火墙不能对内部的用户做差异化的配置,而只能将内部所有用户视作一个整体进行业务的封锁和保护,因此在使用上有一定的局限。 2) 放在路由器之后,路由器与交换机之间,防火墙工作在透明方式。 同第一种方式相比,这种方式仍不需要修改路由器和内部PC的配置,且由于是防在内网,因此可以在规则配置时做差异化的配置,如领导的PC可以任何时间访问任何资源,而普通员工上班时间只能访问网页和收发mail,而下班时间才将MSN,QQ,视频等业务放开。目前使用这种方式的网络比较普遍。但这种方式在网络改造时最容易忽略案例二所讲到的,没有把内部开放服务的集中和放在DMZ区进行隔离。 3) 防火墙替换出口路由器,作为出口网关,工作在路由方式。 同以上两种方式相比,此时防火墙承担了更大的功能,不仅可以实现方式二的所有功能,而且网络拓扑也变得简单,今后网络出现故障也容易查询,特别是随着防火墙产品性能的提高和功能的更加丰富,这种方式已越来越成为主流。 在方案的选择中,如果出口路由器的档次比防火墙还低,一般建议将原有路由器进行替换,以提高网络的整体性能。 在第三种方案中,对于替换原有出口路由器的处理,根据其使用年限和路由器档次的不同,可以如下选择: 1)做为出口防火墙的备份,当防火墙出现故障时,作为备用设备顶替。 2)对于比较大的网络,可以使用在内部重要部门子网的出口,如财务部,隐藏重要部门内部的网络拓扑和PC的地址,不受攻击。 3)使用在其他网络的建设中,或者使用了很长时间或者档次比较低级,也可以申请报废。
问题四: 关于防火墙防毒和防止木马的问题,容易进入以下两个误区: 一:认为防火墙本身就具有强大的防毒和防止木马的功能,没有必要再购买杀毒软件 二:认为防火墙不具备任何防毒和防止木马的能力 其实,这两种观点都是错误的。 硬件防火墙由于内部主机是通过地址转换的方式连接internet,有效隐藏了内部主机,同时,防火墙通过封锁部分病毒传播端口,可以在一定程度上防止病毒的感染和传播。 但病毒还是可以通过以下途径进入到我们内网,用户还可能下载和安装一些网上的不明来历的软件,用户可能收发的电子邮件中含有病毒,或者用户使用移动U盘进行拷贝时,感染病毒。因此,至少从目前来看,解决病毒的问题,在每个桌面安装杀毒软件客户端还是十分必要的。 问题五: 关于一般企业的防火墙的安全配置问题,需要遵循的如下几个步骤: 将防火墙的规则配置分对内和对外两个部分。 对外开放服务的规则,一般到细化的每个服务器的每个端口,这样才可以保护服务器,不会被黑客利用操作系统或者开放的多余服务端口的漏洞进行攻击。 对内规则,要根据的自己的实际情况进行合理的配置,比如根据用户的不同级别设置不同的权限,最高权限的用户不受任何限制,中等权限的用户仅开放MSN,QQ,mail,web,ftp,telnet等业务,而最低级别的用户可能只开放邮件服务等。同时,可以还可以根据时间段对上网行为进行控制,比如在上班时间禁止BT下载,视频等业务。 对于QQ,MSN等用户动态端口的行为,大唐龙创防火墙还可以利用内容过滤的机制进行按照时间段和用户的禁止和日志记录。 问题六: 某企业,购买防火墙后,开始时一切正常,但一年后,企业内部上了视频会议系统,经过防火墙的流量因此而大幅度增加,防火墙的处理负担加大,导致网速开始变慢。 因此,购买防火墙前应充分考虑到今后一定时间内的各种应用的可能性。可能出现的出口带宽的增加,主机数的增加,以及业务的增加对防火墙的新的要求能否满足,是否需要软件系统或者硬件升级,是否有必要在选择防火墙型号时选用高端一些的设备。如果问题已经发生,要及时请求防火墙厂商或安全集成商帮助解决。 问题七: 关于防火墙的使用和培训。 对于防火墙的使用者,进行充分有效的培训也非常必要,因此用户可能增加业务种类,而需要不断的动态调整防火墙策略。同时,下载保存好防火墙的配置,修改防火墙的默认口令和保存好防火墙的口令,都应是网络管理员一个很好的习惯。同时,培训一些常见病毒,如ARP欺骗,冲击波等可能造成网络出现的故障现象和如何利用防火墙和其他工具定位的方法。对于防火墙日志系统的使用方法,通过培训网络使用者要清楚防火墙内所做的控制规则配置和每一条的含义,并可以根据新的需要动态调整防火墙的安全控制策略。
【责任编辑 彭凡】 |
|||||||
打印本文 关闭窗口 |