ccidnet????

出版日期:2004-05-31 总期号:1317 本年期号:38

本期导读
要闻综合
中国信息化
网络与通信
软件与服务
产品与应用
渠道与市场
华东专刊
华南专刊
西北专刊
东北专刊
西南专刊
 SPI防火墙的应用模式谈



  今天,在中国,通过ISP实现国际互联网接入的企业和个人用户在2003年底已达8000万之多。由于大多数用户疏于安全防范,近几年每遇病毒发作时都有大量的用户受到影响,现在病毒的侵害已不是仅限于对本机的攻击,还包括利用网络协议和系统的漏洞对其他网络上的主机进行攻击,往往是一台PC受到感染,局域网中的其他PC甚至是Internet上的PC都会受到严重的影响,去年冲击波蠕虫的肆虐就是一个例子。

  防火墙实际上是将网络分为了两个或多个区域,对于大多数成长型企业而言实际上两个区域或三个区域就可以实现用户的安全需求了。从大多数用户对防火墙的理解而言,防火墙应用的模式就应该介于国际互联网和内网之间,但很多人都忽略了防火墙的另外一种应用模式,即内网与内网之间的防护。为了更好地说明这两种应用模式,我们将从用户的需求角度上对这两种应用模式进行描述。

  防火墙介于国际互联网与内网之间:

  ISP的接入方式是多样化的,比如专线接入就包含了DDN、光纤等多种接入方式,但这些较昂贵的接入方式一般而言是不为成长型企业所采用的。可以说目前在国内最常用成长型企业接入方式就是ADSL 接入+ PPPoE 拨号和以太网接入+PPPoE拨号这两种方式。虽然接入方式是多样化的,但对于企业在国际互联网出口处部署防火墙时首先要考虑的问题还是ISP分配的地址问题。地址问题主要归纳为以下几类:

  单个动态合法地址满足企业内用户上网问题

  单个固定合法地址满足企业内用户上网问题

  多个固定合法地址满足企业内用户上网问题

  另外,接入互联网之后以下几个需求也是成长型企业较为关心的:

  如何实现多个用户共享一个合法地址的上网的需求

  如何实现内部服务器在互联网上的发布服务

  如何实现出差用户通过互联网对企业内网的访问

  如何实现内网用户对外网VPN网关的访问

  单个动态地址

  国内大多数个人用户,在宽带接入时多数获得的是单个动态的合法地址,ISP分配动态地址可以使得较少的地址为较多的接入用户提供服务,因为IPV4的地址资源面对今天互联网的高速发展已经接近枯竭,在IPV6还没有普及到接入层面之前,人们仍然需要合理有效地利用IPV4的地址。

  目前对于面向成长型企业的防火墙而言,除了可以解决企业内网在互联网上的安全问题,在有些厂商如Netgear 公司的VPN防火墙及宽带路由器产品上这些问题也都已得到了完善的解决。解决方法如下:

  通过PAT(即基于端口的地址转换)技术,使得多个用户共享一个地址实现互联网的访问,目前几乎所有的宽带接入设备以及防火墙都具有该功能。

  通过端口转发技术和动态域名技术配合使用,加之防火墙的策略配置可以实现外网通过域名对内部服务器所提供的应用进行访问。

  通过设置对内网服务器私网地址和外网口所得到的合法地址做一对一的地址映射,来实现外网对DMZ服务器的访问。

  通过防火墙内置的IP Sec VPN网关配合动态域名技术,可以实现出差用户、分支公司、合作伙伴对公司内网服务器的安全访问。

  总结:可以看到动态域名技术与防火墙紧密的结合,可以经济有效地解决互联网上用户对企业信息发布服务器的访问以及IP Sec VPN隧道的互联。

  单个固定合法地址

  一般具有以下两点需求的用户会希望通过宽带接入方式,获得单个静态的合法地址:

  希望申请标识机构性质域名的用户,如:www.xxxx.com.cn 、www.yyyy.com等等

  希望通过在企业内部维护对外发布信息的一台Web服务器

  如果有以上需求的用户,则首先须从ISP那里获得一个固定的合法的地址。

  对于这些具有单个的固定合法地址的用户,可以通过以下方式解决宽带接入后的需求:

  通过PAT(即基于端口的地址转换)技术,使得多个用户共享一个地址实现互联网的访问,目前几乎所有的宽带接入设备以及防火墙都具有该功能。

  通过端口转发技术,加之防火墙的策略配置,可以实现外网通过域名对内部服务器所提供的应用进行访问。

  通过设置对内网服务器私网地址和外网口所得到的合法地址做一对一的地址映射,来实现外网对DMZ服务器的访问。

  通过防火墙内置的IP Sec VPN网关,可以实现出差用户、分支公司、合作伙伴对公司内网服务器的安全访问。

  总结:采用单个固定合法地址进行接入,对企业而言与动态地址不同的是可以申请获得一个标识机构性质域名,这是采用单个固定地址进行接入的最大好处,但申请域名和固定合法地址是需要额外费用的。

  多个固定合法地址

  对于某些国内中型企业,通过以太网专线接入有可能会需要较小的一段合法地址(比如29位掩码的一段地址),而这些地址在防火墙上的应用主要是两方面:

  一个地址作PAT以及防火墙端口地址

  剩下的地址一般用于需要多个服务器来共同在互联网上发布服务的应用,典型的如电子商务、较为大型的分栏目Web服务等。

  这些具有合法地址的服务器一般都被置于防火墙的DMZ(非军事区)。

  较大的企业有时会为整个公司申请一大段合法地址段(比如一个C或几个C),这在国外的大企业是很常见的。但是对于国内成长型企业而言,一般不会这样申请地址因为费用将会很高,而且一般有这样需求的企业接入方式一般都采用专线进行接入,需要采用节点路由器实现与ISP的互联,关于这种情况不在本文讨论范畴之内。

  防火墙介于两个内网之间:

  从全球企业网络被攻击的统计上来说,绝大多数的攻击来自企业内部,这也就能理解为何将防火墙置于企业内部的原因了。介于内网之间的防火墙我们也称之为二级防火墙。

  目前多数企业网络内部的数据交换都通过以太网交换机来实现,为了隔离广播域以及方便管理,多数企业都对交换机进行了VLAN的划分,如果VLAN之间进行访问还需要通过配置三层交换进行三层的数据交换。虽然三层交换机可以通过ACL来实现不同VLAN之间的访问控制,但毕竟无法像防火墙一样通过动态包过滤机制来实现对访问策略的控制,以及策略定义的灵活性。

  为了更好地保护某个重要部门的信息安全,我们可以通过架设二级防火墙来隔离该部门与其他内网网段之间的流量,并进行合理控制。