防火墙:永恒的安全策略
山东省工商行政管理信息网络系统(简称“金管工程”)的建设目标主要是:实现“两网”、 “三化”、“三服务”和“五项建设任务”。“两网”即全省各级工商行政管理局机关工作网(局域网)和社会服务网(山东红盾信息网);“三化”即全省工商行政管理工作业务管理电脑化、档案存储光盘化、信息查询网络化;“三服务”即为政府的宏观调控提供可靠的决策依据,为工商行政管理机关的监督管理和行政执法服务,为企业(用户)经营提供工商信息咨询服务;“五项建设任务”即覆盖全省各级工商行政管理局信息高速公路网络分系统、工商行政管理业务处理应用分系统、企业信息服务(IC)卡分系统、工商行政管理数据处理分系统、工商行政管理机关办公事务处理分系统。在这一系统中,如何保证系统安全是一个重要环节,其中防火墙的应用成为一个重要手段。
坚守原则是安全措施的起步
为确保信息系统的安全,山东省工商行政管理局在设计内部网时,结合现阶段的实际需要和有关的防火墙技术,制定了以下原则:
重要数据保护原则 保护系统的关键信息不被窃取、不被篡改,保证在需要时能获得可用的数据。
保护硬件资源不被盗用原则 网络入侵者会利用信息资源,如硬盘空间、内存、CPU的运算能力等供自己使用,造成工商系统在需要这些资源时无法获得,所以必须保护所购置的硬件资源不被他人盗用。
保护形象原则 保护系统对外宣传窗口(WWW)服务器的安全,防止Web主页被篡改,防止入侵者以系统网络为跳板攻击其他网络。
提供合理有效的服务原则 从各级工商局内部网的需求来看,内部用户必需的Internet服务主要分为三大类:即电子邮件、FTP和WWW。对其他TCP/IP服务,则应禁止其穿透防火墙与Internet通信。因为第一,SNMP是用于网络系统的管理协议,SNMP中包含的信息均与网络管理控制有关,使其穿透防火墙,流入Internet是非常危险的;第二,NNTP是用于Internet网络新闻组的协议,由于NNTP所实现的Internet新闻自动接收是完全被动的,难以对接收内容及流量进行控制,所以让NNTP穿透防火墙具有很大的安全隐患,因此要求机关工作网中暂不提供Internet上的NNTP服务;第三,Telnet仅局限于各局内部网应用,而且Telnet的信息在网络中是以明文的方式进行传送的,在Internet服务中提供Telnet也是非常危险和不必要的,所以必须禁止Telnet穿透防火墙。
未被允许的信息流禁止通过防火墙原则 在进行需求分析以及防火墙设计时,必须遵循从小到大的原则,即需要什么服务就开设什么服务。缺省情况下,防火墙禁止所有信息通过,然后,根据具体需求,逐步允许指定的信息流通过。
外界Internet用户防止进入内部网原则 将提供给外部用户访问的服务器放在防火墙外的DMZ区(非军事化区),如Web Server、FTP Server、DNS Server。包括:1绝对禁止外部Internet用户穿透防火墙访问内部机关工作网。2用防火墙提供的功能屏蔽SafeMail(屏蔽内部邮件地址)、DNS(屏蔽内部域名)、NAT(屏蔽内部IP地址)、Proxy(屏蔽内部IP地址)。3进行完整的Auditing和Logging,这将有助于及时发现安全漏洞。
划分安全区是设计关键
由于工商业务的需要,在各级工商局都设有内部网段与外部Internet网段接口。在确定方案设计时,首先需确定网络边界的拓扑结构,即规划内部安全网、防火墙、DMZ以及与外部Internet的连接方式。
内部安全网
存放内部信息,仅供内部工作人员使用。在安全等级上,应处于最高位置,必须放在防火墙以内。通过防火墙杜绝外界非法访问,同时限制内部用户任意访问Internet。
非军事化区 在非军事化区(DMZ)中,存放企业内部网中的外界Internet用户信息,如对外公开的Web服务器、域名服务器及FTP服务器等。安全等级比内部网要求低一些,可放置在防火墙外。但“含金量”低并不意味着不需要保护,该区域的内容不允许外界用户肆意修改和损坏。一般来说,其安全保护是通过IP包过滤与操作系统的安全性结合来实现的。
与外界Internet连接 通过一个专门的路由器完成,在该路由器上根据需要设置IP包过滤规则,设计拓扑结构时,一般有两种方式:
第一种方式是在安装防火墙的设备上设置两块网卡,其中一块网卡连接内部安全网络,另一块连接非安全网,将对外公开的服务器放置在防火墙和路由器之间,形成DMZ,如图1所示。
这种方式的优点是:
层次清晰 可对内部安全网形成两级保护,第一级保护通过连接Internet的路由器完成,在路由器上设置IP包过滤规则,第二级保护由防火墙提供。这样可以避免防火墙直接暴露在黑客面前,减少被攻击的机会。
分担防火墙的负担 通过这种方式,所有Internet用户只能通过路由器访问DMZ服务器,而不会访问到安装防火墙的设备。
缺点是:
缺乏日志 由于对DMZ服务器的访问通过路由器完成,缺乏完整的日志文件,这就需要在这些服务器的操作系统上完成日志记录。
管理分散 由于两级保护分别通过路由器和防火墙完成,所以需要分别设置和管理。
针对以上问题,可以采用第二种方式,即直接在安装防火墙的设备上安装三块网卡,除两块网卡分别连接内部安全网和外部网之外,还特别增加一块网卡与DMZ连接,使DMZ单独形成一个网段,如图2所示。
这种方式的优点是:
可以在防火墙上生成完整的日志文件 由于对DMZ和内部网的访问在防火墙上设置。所以可以利用防火墙强大的日志功能生成完整的日志。
可以实现管理集中。
缺点是:
影响防火墙的运行性能 由于所有的通信,无论是访问DMZ、Internet还是访问内部网,都必须通过防火墙的控制,大大增加了防火墙的负载,特别是当外界Internet用户访问公开服务器时,其数量和强度都是无法预知的,有时甚至可能耗尽防火墙资源,阻塞正常通信。
防御体系缺乏层次 防火墙直接暴露在Internet上,增加了受攻击的可能性。
不太符合KISS原则(简单就是安全原则) 如配置三块网卡,增加了系统结构的复杂性,不便维护与管理。
经过详细论证,结合实际需求,山东省工商管理局使用了第一种拓扑结构,即两块网卡结构。原因是,由于整个网络分布面广,其公开的Internet服务器势必被许多Internet用户访问,两块网卡配置方式可以减少防火墙上的通信“瓶颈”,便于维护。同时在防黑客入侵方面,层次型的防御体系可以增加系统的安全性。
实施步骤与关注要点
在具体实施防火墙方案时,应遵循下列通用步骤,并掌握每个环节需要注意的问题。
1 需要直接接入Internet 的各级分局,要向Internet有关组织申请合法的域名和IP地址。
2 在内部划分、切割网络和分配IP地址、域名。
3 确定内部网、防火墙、DMZ Internet的运行效率。
4 确定Internet需向内部网段提供的服务。
从目前内部网需求以及TCP/IP各种应用服务的安全性考虑,山东省工商局在内部网与Internet之间提供了电子邮件、Web服务器以及FTP三种Internet应用服务。具体的规范是:
堵塞系统的安全漏洞(Hardening)
在确定一个防火墙设计方案时,必须从安全角度出发,主要考虑防火墙设备和DMZ设备的操作系统安全性。1在防火墙安装时,自动Hardening过程,关闭防火墙不需要的服务进程,删除防火墙中不需要的程序,禁止的未授权的用户登录。2确定DMZ中服务器的安全管理方式,在设计方案时,将全部对外公开的Web服务器、DNS服务器以及FTP服务器等放置在DMZ中,并在DMZ与外部连接的路由器上设置IP包过滤,然后在服务器上进行操作系统的安全控制。
添加路由
因为防火墙不允许动态路由,所以要添加静态路由。在防火墙上添加静态路由指向ISP或DMZ的路由器,在ISP或DMZ的路由器上添加静态路由指向防火墙。
在防火墙上实施网络地址转换(NAT)
因为机关内部网采用的是私有地址,若要与外部通信,需要公网地址。防火墙的网络地址转换(NAT)即可完成私有的IP地址与注册的公网地址之间的转换。
NAT分静态地址和动态地址两种转换模式,静态地址转换支持一对一的永久地址映射,而动态地址转换则是根据内部用户的需求临时分配公网地址,其地址映射是暂时的。
在防火墙上实施DNS
在设置防火墙之后,所有的DNS的请求都必须经过防火墙转发。这时,可根据需要将DNS系统设为内部DNS、FW、DNS及DMZ、DNZ结构。在ISP注册全部域名,向ISP提供全部DMZ域名服务器地址;修改DMZ域名服务器,在其中加入指针记录指向防火墙,所有接收到的电子邮件由防火墙转发;修改内部网域名服务器,将所有对Internet的域名解析请求送给防火墙;配置防火墙的DNS,作为连接内部网和Internet的中介。
关于FTP的考虑
FTP作为另一个常用的Internet服务,也应该提供内部用户。目前防火墙能提供三种FTP边连接方式:透明的FTP Proxy、非透明的FTP Proxy以及Browser FTP。FTP Proxy将FTP通信分为两段,进行用户验证,屏蔽内部地址。用户验证有多种选择,也可加进自己的验证方法。根据需求,为普通用户提供基于Web的FTP访问,而对于特定的用户允许其申请FTP口令,以便使用非透明FTP Proxy。
关于HTTP的考虑
允许机关内部网用户通过浏览器浏览外部站点是当前最基本的Internet服务,由防火墙提供的HTTP Proxy,可以屏蔽内部地址。同时配合IP Filter设置,可以阻止外部的HTTP请求,并提供特定地址的内部设备HTTP请求的控制。
关于e-mail的考虑
e-mail作为最基本的Internet服务之一,应当首先提供内部网用户的服务。与Internet的邮件交换将由DMZ中的邮件服务器来完成。
关于IP Filter
IP Filter是基于IP的最基本的保护,所有的上述涉及到的各种服务
