外围防火墙设计
本页内容
本模块内容
目标
适用范围
如何使用本模块
设计指南
系统攻击和防护
设备定义
防火墙功能
防火墙类别
类别 1 - 个人防火墙
类别 2 - 路由器防火墙
类别 3 - 低端硬件防火墙
类别 4 - 高端硬件防火墙
类别 5 - 高端服务器防火墙
外围防火墙使用
外围防火墙规则
硬件要求
防火墙可用性
安全性
可伸缩性
性能
合并
标准和准则
总结
参考内容
本模块内容
本模块将介绍如何为您组织的外围网络选择合适的防火墙产品。本模块讲述了各种不同类别的可用防火墙,并重点讲述了它们的重要功能。本模块还介绍了如何确定自己的要求,以选择最合适的产品。
目标
使用本模块可以实现:
识别您的外围防火墙所必需的功能。
对防火墙产品进行分类。
选择最适合您的外围防火墙的防火墙产品。
适用范围
本模块适用于下列技术:
- 基于以太网/IP 的防火墙产品
如何使用本模块
阅读本模块之前,您首先应该了解 TCP/IP 协议、您自己的网络体系结构,尤其是您的外围网络中的设备。找出来自 Internet 的哪些入站通信可视为有效、哪些可视为无效也是很有用的。
本模块中讲述的设计准则将从一些主要因素进行考虑(如发展和成本),来帮助您选择所需的防火墙功能。本模块还将为您提供有关一些最具破坏性的入侵的信息,以便您可以确定环境中最有可能发生什么情况,以及确定阻止入侵的方法,这些方法不只是通过安装防火墙,还包括其他一些方法,如加强服务器配置或者与您的 Internet 服务提供商 (ISP) 一起就管理问题进行讨论。本模块还定义了各种不同类别的防火墙,使用这些设计准则,您应该能够选择出最符合您要求的防火墙类别。使用本模块提供的知识以及技术术语,您将能够与防火墙生产商讨论他们可以提供的产品,并且评估这些产品是否符合您的要求。
设计指南
来自外部用户和内部用户的网络入侵日益频繁,必须建立保护网络不会受到这些入侵破坏的机制。虽然防火墙可以为您的网络提供保护,但是它同时会耗费资金,并且会对通信产生障碍,因此您应该尽可能寻找最经济效率最高的防火墙。
网络体系结构
在企业网络体系结构中,通常有三个区域:
边界网络
此网络通过路由器直接面向 Internet,应该以基本网络通信筛选的形式提供初始层面的保护。路由器通过外围防火墙将数据一直提供到外围网络。外围网络
此网络通常称为 DMZ(demilitarized zone network,无戒备区网络)或者边缘网络,它将外来用户与 Web 服务器或其他服务链接起来。然后,Web 服务器将通过内部防火墙链接到内部网络。内部网络
内部网络则链接各个内部服务器(如 SQL Server)和内部用户。
这些网络如图 1 所示。
.gif "企业网络体系结构")
图 1:
企业网络体系结构
设计输入
防火墙检查外来的数据包,并阻止它认为具有入侵性的数据包。有些情况下可以通过将某些数据包在默认情况下标识为非法来对它们进行阻止,另一些情况下可以通过配置防火墙对它们进行阻止。TCP/IP 协议是很多年前设计的,当时没有考虑到黑客或者入侵的因素,有很多弱点。例如,ICMP 协议设计为 TCP/IP 内的一个信号机制,但是这种协议容易被滥用,从而可能导致诸如拒绝服务攻击等问题。外围防火墙可能比内部防火墙具有更严格的功能,因为外来通信由于其合法目标为 Web 服务器或其他特殊服务,因而受限更多。
有很多类型的防火墙,它们之间的差别部分是价格方面的,但也存在功能和性能方面的差别。通常情况下,防火墙价格越贵,性能就越好,功能就越多。在本模块后面的部分,将对这些防火墙进行分类以区分它们,但是在选择防火墙之前,您需要确定您的需要是什么,同时考虑下列因素:
预算
现有设施
可用性
可伸缩性
必需的功能
预算
可用的预算是多少?环境中的每个防火墙都应该在保持经济划算的同时尽可能提供最高级别的服务,但是请了解这一点,如果防火墙过于受到成本的制约,则会导致对您的企业的损害。请考虑组织在服务因遭受拒绝服务攻击而被中断时的停机时间成本。
现有设施
是否有一些现有的设施可用于节省成本?环境中可能已经安装了一些可以重新使用的防火墙,以及可能具有防火墙功能集的路由器。通常,您的 ISP 可能会在您的链路上实现防火墙限制,如“速率限制”,即限制某些发送给您的数据包的速率,以便在您的网络同时被很多其他计算机进行攻击时减少分布式拒绝服务攻击(即 DDoS)。请询问您的 ISP 它们是否根据 RFCs 1918 和 2827 进行了筛选。
可用性
防火墙是否需要在任何时候都可用?如果您要在用户可能想每天 24 小时进行连接的情况下提供公共的 Web 服务器设施,则需要几乎 100% 的运行时间。任何防火墙都有可能发生故障,因此需要减轻这种情况所造成的损失。防火墙的可用性可以通过下面两个方法得到提高:
冗余组件
为容易发生故障的组件配置备用组件(如电源)可改善防火墙的适应性,因为第一个组件失败时可能不会对运营造成任何影响。低成本的防火墙通常没有任何冗余选项,而且增加防火墙的适应性只会增加成本而不会提高处理能力。备用设备
为防火墙设备配置备用设备可以实现具有完全适应性的系统,但是同样需要可观的成本,因为它同时还要求完全相同的另一套网络线路,以及防火墙连接的路由器或交换机中的另一套备用连接。然而,这样做的好处是可能会倍增吞吐量,具体取决于防火墙类型。从理论上讲,从最小到最大的所有防火墙可以配置备用设备,但实际上,还需要一个软件切换机制,这种切换机制可能无法用于较小的防火墙。
可伸缩性
防火墙的吞吐量要求是什么?吞吐量可以按照每秒传输的位数进行衡量,也可以按照每秒传输的数据包数量进行衡量。如果是新的业务,可能无法知道吞吐率,但如果业务成功,则 Internet 的吞吐量可能会迅速提升。为了应对这种变化,就需要选择一种可以随着吞吐量的增加而扩展的防火墙解决方案,进行扩展的方式可以是通过向防火墙增加更多的组件,也可以通过并行安装另一个防火墙。
功能
需要哪些防火墙功能?针对您组织内所提供的服务进行风险评估,并由此确定为了保护提供这些服务的资产哪些防火墙功能是必需的。如果 VPN(虚拟专用网络)是必需的,则会影响该设计。
系统攻击和防护
本节内容将简要讲述一些常见的系统攻击,以及使用防火墙服务作为第一条防线的原因。
外部攻击
对于那些想对组织造成负面影响或者想窃取商业秘密以获得竞争优势的人们来说,Internet 是他们的伊甸园。如果您安装了外围防火墙并查看入侵日志时,一定会对攻击数量之高感到惊讶。这些入侵大多数只是想探询您的计算机的响应,找出正在运行何种服务。这可能看起来没有危害,但是如果攻击者发现了您的计算机,了解了它的弱点,就可能会攻击您的服务。
内部攻击
除了防卫基于 Internet 的攻击之外,还必须保护敏感的信息。大多数组织都有一些敏感性的信息,对于这些信息也应该进行保护,以防止内部网络上的某些用户进行访问,这些用户不但包括职员,还包括供应商、分包商和客户。虽然外围防火墙主要用于保护系统不受到外来入侵的破坏,但一些知识较为高深的内部用户也可能会尝试通过 Internet 进入其中。
入侵的类型
入侵威胁可能会采取多种形式,在这里对这些入侵进行全面描述的作用有限,因为新的入侵形式每天都在产生。有些入侵可能好像没有什么害处,如 ping 一个服务器地址,但是发现存在服务器之后,黑客可能会尝试进行更严重的攻击。换句话说,所有入侵都应该被视为是潜在有害的。其中的一些主要入侵包括:
数据包嗅探器
嗅探器指的是与 LAN 相连并从以太网帧获取信息的应用程序软件或硬件设备。这些系统的最初意图在于对以太网通信进行故障排除和分析,或者深入了解帧以检查单个的 IP 数据包。嗅探器以混合模式运行,即它们侦听物理线路上的每个数据包。很多应用程序(如 Telnet)都会以明文形式发送用户名和密码信息,这些内容可以被嗅探器产品读取,因此使用嗅探器的黑客就可能会得到对于很多应用程序的访问权限。通过防火墙可以阻止进行嗅探,因为嗅探器不会产生网络通信。有很多措施可用来对付嗅探,主要是通过确保使用强加密的密码,但是此内容不在本模块讲述范围之内。
IP 欺骗
IP 欺骗是指对 IP 数据包的源地址进行更改以隐藏发送方的身份。因为 Internet 中的路由操作只使用目标地址将数据包发送到它的路径上,而会忽略源地址,所以黑客可能会伪装这个源地址向您的系统发送破坏性的数据包,而您不了解它来自何处。欺骗不一定具有破坏性,但是它表明入侵随时会出现。该地址可能位于您的网络之外(来隐藏入侵者的身份),也可能是一个具有特许权限的受信任内部地址。欺骗通常用于进行拒绝服务攻击,这部分内容将在本模块后面部分讲述。通过实现下面任一机制或者同时实现这两个机制可能会防止 IP 欺骗:
访问控制
拒绝访问来自 Internet、源地址为内部网络地址的外来数据包。RFC 2827 筛选
很重要的一点是要确保在外出通信中不会发生 IP 欺骗。欺骗的数据包肯定源自某个人的网络;您应该确保自己的网络没有被用作进行欺骗的源地址。因此,您应该阻止那些从您的网络发出、但源地址不属于分配给您的源地址的通信。您的 ISP 可能也能够通过检查源地址是否属于您的网络,来阻止来自您的网络的欺骗通信。这种技术称为 RFC 2827 筛选,请与您的 ISP 联系,以获取如何实现这种技术的详细信息。筛选出站的通信对您没有什么益处,但是另一个执行类似筛选的网络可能会阻止对您网络的欺骗攻击。大多数的现代防火墙都具有阻止入站 IP 欺骗的功能。
拒绝服务攻击
拒绝服务攻击是最难阻止的攻击。这些攻击与其他类型的攻击不同,因为它们不会对网络产生永久性破坏,而是通过对某个特定的计算机(服务器或者网络设备)发起攻击,或者将网络链路的吞吐量降低到足以造成客户厌烦和业务损失的程度,从而停止网络的运行。分布式 DoS (DDoS) 攻击是这样一种攻击,即从很多其他计算机发起,集中攻击您的系统。攻击计算机本身不一定发起了这个攻击,但是由于它们自身的安全漏洞,使得它们自身被黑客渗透,黑客指示它们向您的网络发送大量数据,从而造成您的 ISP 拥塞或者您的某个设备拥塞。应用程序层攻击
应用程序层攻击通常是最引人注意的攻击,通常利用应用程序(如 Web 服务器和数据库服务器)中众所周知的弱点。这些应用程序的问题在于它们被设计为供公共用户访问,这些用户是未知的并且不可信任,尤其对于 Web 服务器来说更是这样。大多数攻击是针对产品中的已知缺陷的,因此最好的防护是安装生产商提供的最新更新。臭名昭著的结构化查询语言 (SQL) Slammer 蠕虫病毒曾经在 2003 年 1 月份它发布的很短时间内影响了 35,000 个系统。这个蠕虫病毒就是利用了 Microsoft® SQL Server® 2000 中的一个已知问题(对于这个问题,Microsoft 早在四个月前,即 2002 年 8 月份就已经发布了一个修复程序),因此它利用了很多管理员既没有应用推荐的更新也没有安装适当的防火墙(防火墙本来可以阻止数据包发送到该蠕虫病毒所使用的端口)这一事实。请注意,防火墙在这些情况下只是起到一个后方屏障的作用;生产商建议对于所有产品都应该应用升级,尤其用来防止应用程序层的攻击。网络侦察
网络侦察指的是对网络进行扫描以发现有效的 IP 地址、域名系统 (DNS) 名称和 IP 端口,然后发起攻击。虽然网络侦察本身没有什么害处,但是可以发现哪些地址正在使用可能会帮助某些人发起恶意的攻击。实际上,如果查看防火墙的日志,则会发现大多数入侵都具有这种特征;典型的探询包括扫描传输控制协议 (TCP) 和用户数据报协议 (UDP) 侦听端口,以及一些其他的已知侦听端口,如 Microsoft SQL Server、NetBIOS、HTTP 和 SMTP 使用的端口。所有这样的探询都会寻求一个响应,该响应将告知黑客服务器的存在并且在运行这些服务中的一种。很多这样的探询可通过边界路由器或者防火墙阻止。默认情况下存在很多服务,但是应关闭不必要的服务,而关闭其中的某些服务可能会限制您的网络诊断功能。病毒/特洛伊木马
一般说来,防火墙不能检测病毒,因为病毒通常嵌在电子邮件附件中。传统病毒只是要破坏它们感染的设备,但是现代的病毒通常会尝试复制并破坏其他本地计算机或者通过发送多个附加了病毒的电子邮件在 Internet 上进行传播。很多这样的病毒都会在感染的设备上安装一个特洛伊木马程序。特洛伊木马程序可能不会进行任何直接的损坏,但是会将信息从它安装的设备通过 Internet 发送到黑客那里,然后这个黑客了解它正在运行什么软件以及哪些位置易于攻击,就可以对该设备发起一个有目标的攻击了。虽然针对病毒的主要防护是在设备上总是保持最新的防病毒软件,但是外围防火墙也可能有助于限制特洛伊木马程序的影响。
设备定义
防火墙是一种用于控制两个网络之间的 IP 通信的机制。防火墙设备通常是在 OSI 模型的 L3 运行的,但是某些型号也可以在更高层运行。
防火墙通常会提供下列优点:
保护内部服务器不会受到网络攻击
执行网络使用和访问策略
监视通信并在检测到可疑情况时生成警报
要注意的重要一点是,防火墙只能降低某些类型的安全性危险。防火墙通常无法防止对具有软件缺陷的服务器造成的损害。防火墙应该作为一个组织的综合安全体系结构的一部分进行实现。
防火墙功能
根据防火墙支持的功能的不同,可以使用一些技术来允许或者阻止通信。这些技术会根据防火墙的功能提供各种不同级别的保护。下面的防火墙功能是按照复杂程度递增的顺序列出的:
网络适配器输入筛选器
静态数据包筛选器
网络地址转换 (NAT)
状态检查
线路层检查
代理
应用程序层筛选
通常,提供复杂功能的防火墙也支持更简单的功能。但是,选择防火墙时您应该仔细阅读供应商信息,因为它所包含的功能和实际的功能之间可能存在细微的差别。选择防火墙时,您需要询问有关功能的信息,并对功能进行测试,确保该产品确实具有规格说明书中所述的功能。
网络适配器输入筛选器
网络适配器输入筛选检查传入数据包中的源地址或目标地址及其他信息,然后阻止数据包通过或者允许它通过。它只适用于外来的通信,不能控制外出的通信。它会对 IP 地址、UDP 和 TCP 的端口号,以及通信的协议、TCP、UDP 和通用路由封装 (GRE) 进行匹配检查。
对于保护 Web 服务器的外围防火墙来说,合法的外来通信应当只能访问该 Web 服务器 IP 地址,通常还可以访问一个有限范围的端口号,如用于 HTTP 的 80 或者用于 HTTPS 的 443。虽然外围防火墙应该具有这种控制,但是还应该在边界路由器中实现这种控制。
网络适配器输入筛选能够对满足该防火墙上所配置规则条件的标准外来数据包进行快速和有效的拒绝。但是,这种形式的筛选可能会轻易地被规避,因为它只会对 IP 通信的标头进行匹配检查,并且是基于下面的基本假设运行的,即认为正在筛选的通信符合 IP 标准,而且没有故意规避筛选。
静态数据包筛选器
静态数据包筛选也只是检查 IP 标头来确定是否允许通信穿过该接口,在这个意义上与网络适配器输入筛选是相似的。但是,静态数据包筛选器能够对接口的出站通信和入站通信都进行控制。另外,静态数据包筛选器通常还允许使用一个网络适配器筛选没有的附加功能,即检查 IP 标头上是否设置了已确认 (ACK) 标志位。ACK 标志位提供了有关该数据包是一个新请求还是一个从原始请求返回的请求的信息。它不会验证该数据包是否是由接收它的接口最初发送的;它只根据 IP 标头的约定检查进入该接口的通信看起来是否是返回通信。
这种技术只适用于 TCP 协议,而不适用于 UDP 协议。与网络适配器输入筛选类似,静态数据包筛选非常快,但是其功能受到限制并且特别精心制作的通信可以躲避它。
与网络适配器输入筛选一样,除了在外围防火墙实现之外,静态数据包筛选也应该在边界路由器上实现。
网络地址转换
在全球 IP 地址范围内,某些地址范围被指定为“专用地址”。这些地址旨在用于组织内部,在 Internet 上没有意义。目标为任何这样的 IP 地址的通信都不能通过 Internet 进行路由,因此为您的内部设备指定专用地址会为它们提供一些入侵保护。但是,这些内部设备本身通常需要访问 Internet,因此网络地址转换 (NAT) 会将专用地址转换为 Internet 地址。
虽然 NAT 并不是严格的防火墙技术,但是隐藏服务器的真正 IP 地址会防止黑客获取有关该服务器的有价值的指印信息。
状态检查
在状态检查中,所有外出通信都会记录在一个状态表中。当连接通信返回接口时,就会检查该状态表以确保该通信是从此接口发起的。状态检查比静态数据包筛选稍微慢些,但是,它确保了只有通信符合外出通信的要求时才允许它通过。状态表包含了一些项目如目标 IP 地址、源 IP 地址、正在调用的端口以及发起主机。
某些防火墙在状态表中存储的信息可能比其他防火墙存储的信息要多(如发送和接收的 IP 碎片)。防火墙可以在所有或者只是部分碎片信息返回时验证通信是否已处理。不同供应商的防火墙实现状态检查的方式也不同,因此您应该仔细阅读防火墙文档。
状态检查功能通常有助于降低由网络侦察和 IP 欺骗引起的风险。
线路层检查
使用线路级筛选可以检查会话(与连接或数据包相对)。只是为了响应用户请求才会建立会话,会话可能包括多个连接。线路层筛选为次级连接提供了协议的内置支持,如 FTP 和流式媒体。它通常有助于减轻网络侦察、DoS 和 IP 欺骗攻击带来的危险。
代理防火墙
代理防火墙代表客户端请求信息。与上面讨论的防火墙技术不同,这种通信不会直接发生在客户端和承载该服务的服务器之间。实际上,代理防火墙代表客户端收集信息,并返回它从返回客户端的服务那里接收的数据。因为代理服务器会为一个客户端收集此信息,它还会将这些内容缓存到磁盘或内存,因此如果另一个客户端作出同样的数据请求,该请求就可以从缓存得到满足,从而减少网络通信和服务器处理时间。
对于非加密会话,如 FTP 只读会话和 HTTP 会话,代理防火墙实际上会为客户端和服务器创建单独的会话,因此两者之间从来不会有直接的连接。另一方面,对于加密的会话,代理服务器则会验证标头信息是否符合安全套接字层 (SSL) 通信的标准,然后才会允许该通信通过。但是,代理不能影响只是经过的数据,因为它是由客户端和服务器进行端到端加密的。
代理服务器相对于防火墙技术的优点包括:
客户端和服务器之间无直接连接
客户端和服务器之间通常不直接连接。即使直接连接(例如通过 SSL),也会对协议标头和通信进行检查。服务器可以缓存经常被请求的站点的内容
缓存可以节省带宽,并阻止不必要的请求离开此环境。验证通过它传送的协议
除了验证传输通信所使用的端口号,代理服务器还将验证通过它们传送的协议。进行检查的最典型协议是仅 FTP 下载、HTTP、SSL 以及一些文本消息传递服务(如仅文本、无视频、音频或者文件传输)。可以配置为根据用户 ID 转发请求
除了可以将代理服务器配置为根据源 IP、端口和协议转发请求,通常还可以配置为根据用户 ID 转发请求,也就是说,仅对某些用户设置限制。
代理服务器的主要缺点在于,它要求更多的处理能力来执行协议检查。但是,处理能力是随时都在增加的,因此这已经越来越不是个问题。还有,代理服务器没有状态筛选防火墙或者数据包筛选防火墙的吞吐量。可以断言,协议检查的这些其他优点由于以下情形而成为必要:世界上用于本地用户的高速网络数量巨大,Internet 连接正在越来越多地可用于不受信任的节点,这些节点是由几乎没有或者根本没有提供受信任 Internet 服务的合法权利的 ISP 连接的。
代理功能通常有助于降低网络侦察、DoS、IP 欺骗攻击、病毒/特洛伊木马以及某些应用程序层攻击造成的危险。
应用程序层筛选
应用程序层筛选是复杂级别最高的防火墙通信检查。较好的应用程序筛选器可使您能够为某个特定的应用程序分析数据流以及提供应用程序特定的处理,其中包括检查、筛选或阻止、重定向以及在它通过防火墙时修改数据。
这种机制可用于防护诸如不安全的 SMTP 命令或针对内部域名系统 (DNS) 服务器的攻击之类的内容。通常情况下,可以向防火墙添加用于内容筛选的第三方工具,如病毒检测、词法分析以及站点分类。
应用程序层防火墙能够基于通过它的通信检查很多不同协议。与代理防火墙不同,应用程序层防火墙对于通信通过防火墙的路径具有更加强大的控制能力,而前者通常只是检查 Internet 通信(如 HTTP、FTP 下载和 SSL)。例如,一个应用程序层防火墙能够只允许从防火墙边界内部发起的 UDP 通信通过。如果某个 Internet 主机要对一个状态防火墙进行端口扫描,以查看是否允许DNS 通信进入该环境,该端口扫描则可能会显示与 DNS 相关联的已知端口为打开状态,但是一旦发起了攻击,该状态防火墙就会拒绝这些请求,因为它们不是从内部发起的。应用程序层防火墙则可能会基于通信是否是从内部发起的来动态打开端口。
应用程序层防火墙功能通常有助于降低 IP 欺骗、DoS、某些应用程序层攻击、网络侦察以及病毒/特洛伊木马攻击造成的危险。应用程序层防火墙的缺点在某种意义上与代理防火墙相似,即它也要求更多的处理能力,通常比状态筛选防火墙或者静态筛选防火墙处理通信的速度要慢得多。使用应用程序层防火墙时最重要的考虑因素为确定防火墙是否能够在应用程序层运行。
应用程序层功能确保了通过端口的通信是合适的。与只是查看端口以及源 IP 地址和目标 IP 地址的数据包筛选器或者状态检查防火墙不同,支持应用程序层筛选功能的防火墙能够检查在两个方向通过防火墙的数据和命令。
大多数支持应用程序层功能的防火墙只具有对于明文通信的应用程序层筛选,如对代理敏感的消息传递服务、HTTP 和 FTP。要记住的重要一点是,支持此功能的防火墙可以对进出该环境的通信都进行控制。此功能的另一个优点是,当 DNS 通信通过该防火墙查找 DNS 特定的命令时,它能够对该 DNS 通信进行检查。此附加的保护层确保用户或攻击者无法在通信的允许类型中隐藏信息。
如果您的组织有一个在线商店,它收集客户的信用卡号码和其他个人信息,则应该采取最高级别的防范措施来保护这些信息。这种情况下,有必要使用安全套接字层 (SSL) 协议对用户 PC 和您的 Web 服务器之间的这种高安全性数据进行加密。
应当区分应用程序层功能与 SSL 一起使用的情况。SSL 是加密的,防火墙无法理解这些协议命令,这是因为它们位于加密的数据包中。每个支持应用程序层功能的防火墙处理这种情况的方式都是不同的,因此请务必阅读您所选择的防火墙的打印文档。
问题在于,一旦建立了 SSL 会话并协商了加密,没有设备能够检查数据。例如,一个客户端,它使用的是支持代理类型应用程序层功能的防火墙,该客户端要求防火墙代表它启动一个到安全 Web 服务器的连接。防火墙和服务器进行 TCP 连接的初始设置,防火墙将该连接转交给该客户端以设置与服务器之间的加密。连接转交非客户端之后,防火墙就不能检查数据了。
当应用程序层功能用于公开展示 Internet 服务时,可以使用下列选项:
在防火墙处终止 SSL 通信
防火墙在解密 Internet 服务数据的过程中,可以检查外来 SSL 连接是否为合法 Web 通信,并且可以放弃通信。重新生成 SSL 通信,并从防火墙发送到公开的 Web 服务
当在 SSL 隧道内使用基本凭据(如明文格式的用户名和密码)时,这种方法尤其有用。可以嗅探防火墙内部接口和公开 Web 服务之间通信的个人将无法进入该通信,因为它进行了重新加密。允许 SSL 通信通过防火墙传送到后端服务器
从本质上讲,这种方法与内部客户端与外部服务器之间的 SSL 连接正好相反。
这些选项提供了很多方法用来控制允许加密的会话可通过隧道进入该环境的程度。通常,使得加密通信离环境边缘越近越好,因为两者之间的任何位置都无法真正看到隧道内部。
防火墙类别
这部分内容将列出一些防火墙类别,对于每个类别还将列出一些功能。特定的防火墙类别可用来响应 IT 体系结构设计中的特定要求。
将防火墙分类可实现按服务要求来确定硬件,因而可以根据类别功能来满足服务要求。只要防火墙属于某个特定的类别,您就可以假设它支持该类别的所有服务。
各种不同的类别如下所示:
个人防火墙
路由器防火墙
低端硬件防火墙
高端硬件防火墙
服务器防火墙
要了解的重要一点是其中某些类别是交叉的;这是设计使然。这种交叉使得一种类型的防火墙解决方案能够跨越多个类别。来自一个供应商的多个硬件型号也可能属于很多类别,因此组织可以一种既能满足其现在要求又满足将来要求的最适合型号。
除了价格和功能集,还可以根据性能(或者吞吐量)对防火墙进行分类。但是,很多生产商不会提供防火墙的所有吞吐量数据。即使提供了这些数据(通常对于硬件防火墙设备),也没有遵循标准的计量流程,这就使得对各个生产商进行比较变得非常困难。例如,一种计量方式是每秒波特率 (bps) 的数值,但是当防火墙真正传递 IP 数据包时,如果计量速率过程中使用的数据包大小没有被包括在内,这种测量方式就毫无意义了。
下面几部分内容详细说明了每种防火墙类别。
类别 1 - 个人防火墙
个人防火墙定义为一种软件服务,它为个人计算机提供简单的防火墙功能。因为永久性 Internet 连接(与拨号连接相比)不断发展,所以个人防火墙的使用也发生了增长。
虽然个人防火墙设计用于保护单个计算机,但是如果这台计算机安装在了一个小型网络上,并且与该内部网络上的其他计算机共享到 Internet 的连接的话,个人防火墙也可以保护这种小型网络。但是个人防火墙软件的性能有限,并且会降低安装该软件的个人计算机的性能。虽然人们通常说个人计算机只需要较低水平的保护,但是这种保护机制通常也不如一个专门的防火墙解决方案效率高,因为它们通常被限制为阻止 IP 地址和端口地址。
个人防火墙可能会随操作系统附带,或者价格较低。它们适用于它们本来的目的,但是由于它们有限的性能和功能,所以不应用于企业,即使很小的附属办事处也不应考虑使用这种防火墙。但是,这种防火墙特别适合使用膝上型计算机的移动用户。
个人防火墙在功能和价格上差别很大。但缺少某种特定的功能可能不是很重要,尤其是在膝上型计算机上。下表列出了个人防火墙一些常见的功能。
表 1:类别 1 - 个人防火墙
防火墙属性 |
值 |
|---|---|
支持的基本功能 |
大多数个人防火墙都支持静态数据包筛选器、NAT 和状态检查,有些个人防火墙支持线路层检查和/或应用程序层筛选。 |
配置 |
自动(也可使用手动选项) |
阻止或允许 IP 地址 |
是 |
阻止或允许协议或端口号 |
是 |
阻止或允许外来 ICMP 消息 |
是 |
控制外出访问 |
是 |
应用程序保护 |
可能 |
声音或可视警报 |
可能 |
攻击日志文件 |
可能 |
实时警报 |
可能 |
VPN 支持 |
通常不支持 |
远程管理 |
通常不支持 |
生产商支持 |
差别较大(取决于产品) |
高可用性选项 |
否 |
并发会话的数量 |
1 到 10 |
模块可升级性(硬件或软件) |
无到有限 |
价格范围 |
低(某些情况下免费) |
个人防火墙具有下列优点和缺点。
优点
个人防火墙的优点包括:
便宜
如果只需要有限数量的许可,个人防火墙则是一个较为便宜的选择。Microsoft Windows® XP 操作系统的各版本都集成有个人防火墙。与其他版本 Windows 或者其他操作系统一起使用的其他产品要么免费,要么价格较低。容易配置
个人防火墙产品趋向于具有能够独立于计算机单独运行的基本配置,并带有简单的配置选项。
缺点
个人防火墙的缺点包括:
集中管理比较困难
需要在每个客户端上配置个人防火墙。这增加了管理上的开销。仅具有基本控制
配置趋向于仅为静态数据包筛选和基于权限的应用程序阻止的组合。性能限制
个人防火墙是为保护单台个人计算机而设计的。在一个作为小型网络的路由器使用的计算机上使用个人防火墙时会导致性能下降。
类别 2 - 路由器防火墙
路由器通常支持前面讨论的一个或者多个防火墙功能;它们可被划分为用于 Internet 连接的低端设备和传统的高端路由器。低端路由器提供了用于阻止和允许特定 IP 地址和端口号的基本防火墙功能,并使用 NAT 来隐藏内部 IP 地址。它们通常将防火墙功能提供为标准的、为阻止来自 Internet 的入侵进行了优化的功能;虽然不需要配置,但是对它们进行进一步配置可进一步优化它们的性能。
高端路由器可配置为通过阻止较为明显的入侵(如 ping)以及通过使用 ACL 实现其他 IP 地址和端口限制,来加强访问权限。也可提供其他的防火墙功能,这些功能在某些路由器中提供了静态数据包筛选。在高端路由器中,以较低的成本提供了与硬件防火墙设备相似的防火墙功能,但是吞吐量较低。
表 2:类别 2 - 路由器防火墙
防火墙属性 |
值 |
|---|---|
支持的基本功能 |
大多数路由器防火墙都支持静态数据包筛选器。低端路由器通常支持 NAT。高端路由器可能支持状态检查和/或应用程序层筛选。 |
配置 |
在低端路由器上通常为自动(带有手动选项)。在高端路由器上通常为手动。 |
阻止或允许 IP 地址 |
是 |
阻止或允许协议/端口号 |
是 |
阻止或允许外来 ICMP 消息 |
是 |
控制外出访问 |
是 |
应用程序保护 |
可能 |
声音或可视警报 |
通常支持 |
攻击日志文件 |
在很多情况下支持 |
实时警报 |
在很多情况下支持 |
VPN 支持 |
在低端路由器中常见,在高端路由器中不常见。存在用于此任务的单独专门设备或服务器。 |
远程管理 |
是 |
生产商支持 |
通常情况下在低端产品中有限,在高端产品中较好。 |
高可用性选项可用 |
低端:否 - 高端:是 |
并发会话的数量 |
10 - 1,000 |
模块可升级性(硬件或软件) |
低端:否 - 高端:有限 |
价格范围 |
从低到高都有 |
路由器防火墙具有下列优点和缺点。
优点
路由器防火墙的优点包括:
低成本解决方案
激活现有路由器防火墙功能可能不会增加路由器的价格,也不需要附加硬件。可以整合配置
为正常操作配置防火墙后,路由器防火墙配置就告完成,因此降低了管理工作量。这种解决方案尤其适合于附属的办事处,因为网络硬件和可管理性很简单。保护投资
操作人员熟悉路由器防火墙的配置和管理,因此不需要再培训。网络连线简单,因为不用安装附加的硬件,同时简化了网络管理。
缺点
路由器防火墙的缺点包括:
功能有限
通常情况下,低端路由器只能提供基本的防火墙功能。高端路由器通常可以提供较高级的防火墙功能,但是需要进行一些较为麻烦的配置,其中很多配置是通过增加控制完成的,而这些很容易忘记,使得正确配置变得较为困难。仅具有基本控制
配置趋向于仅为静态数据包筛选和基于权限的应用程序阻止的组合。影响性能
使用路由器作为防火墙会降低路由器的性能,减慢路由功能的速度,而路由功能才是其主要任务。日志文件性能
使用日志文件获取特殊的活动可能会严重降低路由器的性能,在遭受攻击时更是这样。
类别 3 - 低端硬件防火墙
低端硬件防火墙市场中都是一些即插即用设备,几乎不需要或者根本不需要进行配置。这些设备通常还结合了交换机和/或 VPN 功能。低端硬件防火墙旨在用于小型企业,以及供大型组织的内部使用。它们通常会提供静态筛选功能和基本的远程管理功能。来自较大生产商的设备可能会与它们的高端设备运行相同的软件,应该能够在需要时提供升级路径。
表 3:类别 3 - 低端硬件防火墙
防火墙属性 |
值 |
|---|---|
支持的基本功能 |
大多数低端硬件防火墙都支持静态数据包筛选器和 NAT。可能支持静态检查和/或应用程序层筛选。 |
配置 |
自动(也可使用手动选项) |
阻止或允许 IP 地址 |
是 |
阻止或允许协议/端口号 |
是 |
阻止或允许外来 ICMP 消息 |
是 |
控制外出访问 |
是 |
应用程序保护 |
通常不支持 |
声音或可视警报 |
通常不支持 |
攻击日志文件 |
通常不支持 |
实时警报 |
通常不支持 |
VPN 支持 |
有时支持 |
远程管理 |
是 |
生产商支持 |
有限 |
高可用性选项可用 |
通常不支持 |
并发会话的数量 |
> 10 - 7500 |
模块可升级性(硬件或软件) |
有限 |
价格范围 |
低 |
低端硬件防火墙具有下列优点和缺点。
优点
低端硬件防火墙的优点包括:
成本低
低端防火墙可以较低的价格买到。配置简单
几乎不需要进行配置。
缺点
低端硬件防火墙的缺点包括:
功能有限
通常情况下,低端硬件防火墙只提供基本的防火墙功能。它们不能并行运行以降低冗余性。吞吐量有限
低端硬件防火墙不是为处理高吞吐量连接而设计的,因此可能会导致出现瓶颈。生产商提供的支持有限
生产商的支持通常仅限于电子邮件和/或网站,因为这些支持的成本比较低。升级能力有限
通常不能进行硬件升级,但是通常会提供定期的固件升级。
类别 4 - 高端硬件防火墙
在高端硬件防火墙市场中,有一些性能较高、高适应性的产品,这些产品适用于企业或者服务提供商。这些产品通常能够提供最好的保护,而不会降低网络的性能。
通过添加另一个防火墙作为热备用设备,可以达到适应性的目的,该热备用设备通过自动状态同步维护一个最新的连接表。
应当在每个与 Internet 连接的网络中使用防火墙,因为入侵会不断发生;DoS 攻击、窃取以及数据损坏随时都在进行。应该考虑将高端硬件防火墙设备部署在集中位置或者总部这样的位置。
表 4:类别 4 - 高端硬件防火墙
防火墙属性 |
值 |
|---|---|
支持的基本功能 |
大多数高端硬件防火墙都支持静态数据包筛选器和 NAT。这些设备可能支持静态检查和/或应用程序层筛选。 |
配置 |
通常为手动 |
阻止或允许 IP 地址 |
是 |
阻止或允许协议/端口号 |
是 |
阻止或允许外来 ICMP 消息 |
是 |
控制外出访问 |
是 |
应用程序保护 |
可能 |
声音或可视警报 |
是 |
攻击日志文件 |
是 |
实时警报 |
是 |
VPN 支持 |
可能 |
远程管理 |
是 |
生产商支持 |
好 |
高可用性选项可用 |
是 |
并发会话的数量 |
> 7500 - 500,000 |
模块可升级性(硬件或软件) |
是 |
价格范围 |
高 |
高端硬件防火墙具有下列优点和缺点。
优点
高端硬件防火墙的优点包括:
高性能
硬件防火墙产品是为单一目标设计的,提供较高级别的入侵防护,同时对性能造成的影响最低。高可用性
高端硬件防火墙可连接在一起,以实现最佳的可用性和负载平衡。模块化系统
硬件和软件都可以升级,以满足新的要求。硬件升级可能包括附加的以太网端口,而软件升级可能包括对于入侵的新检测方法。远程管理
高端硬件防火墙比低端硬件防火墙提供了更佳的远程管理功能。适应性
高端硬件防火墙可能具有可用性和适应性功能,例如通过使用第二个设备实现热备用或主动备用。应用程序层筛选
与低端硬件防火墙不同,高端硬件防火墙对一些知名的应用程序在 OSI 模型的第4、5、6 和 7 层都提供了筛选。
缺点
高端硬件防火墙的缺点包括:
成本高
高端硬件防火墙一般比较昂贵。即使可以 $100 的低价格购买,但企业防火墙的成本也要高得多,因为价格通常是基于并发会话的数量、吞吐量和可用性要求的。配置和管理复杂
因为高端硬件防火墙比低端防火墙具有更加强大的功能,所以配置和管理起来也较为复杂。
类别 5 - 高端服务器防火墙
有很多产品都可用于向高端服务器增加防火墙功能,从而在普通的硬件和软件系统上提供强大的快速保护。这种方式的优点在于使用熟悉的硬件或软件,从而减少了库存设备的数量、简化了培训和管理、提供了可靠性和可伸缩性。很多高端硬件产品都是在运行行业标准的操作系统(但是看不到)的行业标准硬件平台上实现的,因此无论从技术上还是性能上,与服务器防火墙都几乎没有什么区别。但是,因为操作系统仍然可见,所以服务器防火墙可以进行升级,并且可以通过如群集这样的技术使其更加富有适应性。
因为服务器防火墙是一个正在运行常用操作系统的服务器,因此可以向防火墙增加来自多个供应商的附加软件、特性和功能(而不只是一个供应商,一个供应商只是硬件防火墙的情况)。如果对操作系统较为熟悉,也可提升防火墙保护的效果,这是因为某些其他类别的防火墙需要一些相当多的专业技术知识才能进行完整和正确的配置。
此类别适合对特定硬件或软件平台上投资较高的情形,因为对于防火墙使用相同的平台会使管理任务更加简单。
此类别的缓存功能也可能非常高效。
表 5:类别 5 - 高端服务器防火墙
防火墙属性 |
值 |
|---|---|
支持的功能 |
大多数高端服务器防火墙都支持静态数据包筛选器和 NAT。这些防火墙还可能支持静态检查和/或应用程序层筛选。 |
配置 |
通常为手动 |
阻止或允许 IP 地址 |
是 |
阻止或允许协议/端口号 |
是 |
阻止或允许外来 ICMP 消息 |
是 |
控制外出访问 |
是 |
应用程序保护 |
可能 |
声音或可视警报 |
是 |
攻击日志文件 |
是 |
实时警报 |
是 |
VPN 支持 |
可能 |
远程管理 |
是 |
生产商支持 |
好 |
高可用性选项可用 |
是 |
并发会话的数量 |
>大于 50,000(跨越多个网段) |
模块可升级性(硬件或软件) |
是 |
其他 |
常用操作系统 |
价格范围 |
高 |
服务器防火墙具有下列一般的优点和缺点。
优点
服务器防火墙的优点包括:
高性能
在一个大小合适的服务器上运行时,这些服务器可以提供较高级别的性能。整合服务
运行在操作系统上的服务器防火墙可以利用操作系统的各种功能。例如,运行在 Microsoft Windows Server™ 2003 操作系统上的软件防火墙可以利用该操作系统内置的网络负载平衡功能。另外,同样使用 Windows Server 2003 的功能,防火墙还可以作为 VPN 服务器使用。可用性、适应性和可扩展性
由于这种防火墙运行在标准个人计算机硬件上,因此具有它在其上运行的个人计算机平台的所有可用性、适应性和可扩展性。
缺点
服务器防火墙的缺点包括:
要求高端硬件
为了获得高性能,大多数服务器防火墙产品都要求使用高端硬件,即高端中央处理单元 (CPU)、内存和网络接口。容易遭受攻击
由于服务器防火墙产品是在知名操作系统上运行的,因此具有操作系统以及服务器上运行的其他软件存在的安全隐患。虽然这种情况对于硬件防火墙也可能发生,但是它们的操作系统通常不像大多数服务器操作系统那样为黑客所熟悉。
外围防火墙使用
设置外围防火墙是为了满足组织边界之外用户的需要。这些用户类型可能包括:
信任
组织的员工,如各个分支办事处工作人员、远程用户或者在家工作的用户。部分信任
组织的业务合作伙伴,这类用户的信任级别比不受信任的用户高。但是,这类用户通常又比组织的员工低一个信任级别。不信任
例如,组织公共网站的用户。
要考虑的重要一点是,外围防火墙特别容易受到外部攻击,因为入侵者必须破坏该防火墙才能进一步进入您的网络。因此,它将成为明显的攻击目标。
边界位置中使用的防火墙是通向外部世界的通道。在很多大型组织中,此处实现的防火墙类别通常是高端硬件防火墙或者服务器防火墙,但是某些组织使用的是路由器防火墙。选择防火墙类别用作外围防火墙时,应该考虑一些问题。下表重点列出了这些问题。
表 6. 外围防火墙类别选择问题
问题 |
在此位置实现的典型防火墙特征 |
|---|---|
安全管理员指定的必需防火墙功能 |
这是一个必需安全性级别与功能成本以及增加安全性可能导致的性能下降之间的平衡问题。虽然很多组织想通过外围防火墙得到最高的安全性,但有些组织不想影响性能。例如,不涉及电子商务的高容量网站,在通过使用静态数据包筛选器而不是使用应用程序层筛选而获取较高级别吞吐量的基础上,可能允许较低级别的安全性。 |
该设备是一个专门的物理设备、提供其他功能,还是物理设备上的一个逻辑防火墙 |
作为 Internet 和企业网络之间的通道,外围防火墙通常实现为专用的设备,这样是为了在该设备被侵入时将攻击的范围和内部网络的可访问性降到最低。 |
组织的管理体系结构决定了设备的可管理性要求 |
通常,需要使用某些形式的记录,一般还同时需要一种事件监视机制。为了防止恶意用户远程管理该设备,此处可能不允许远程管理,而只允许本地管理。 |
吞吐量要求可能是由组织内部的网络和服务管理员决定的 |
这些要求会根据每个环境的不同而发生变化,但是设备或者服务器中的硬件处理能力以及所使用的防火墙功能将决定可用的网络整体吞吐量。 |
可用性要求 |
作为大型组织通往 Internet 的通道,通常需要高级的可用性,尤其是当外围防火墙用于保护一个产生营业收入的网站时。 |
外围防火墙规则
在下面的讨论内容中,“堡垒主机”一词指的是一个位于外围网络中的服务器,它同时向内部用户和外部用户提供服务。Bastion 主机的示例包括 Web 服务器和 VPN 服务器。
通常情况下,您的外围防火墙需要以默认的形式或者通过配置来实现下列规则:
拒绝所有通信,除非显式允许的通信。
阻止声明具有内部或者外围网络源地址的外来数据包。
阻止声明具有外部源 IP 地址的外出数据包(通信应该只源自堡垒主机)。
允许从 DNS 解析程序到 Internet 上的DNS 服务器的基于 UDP 的 DNS 查询和应答。
允许从 Internet DNS 服务器到 DNS 解析程序的基于 UDP 的 DNS 查询和应答。
允许基于 UDP 的外部客户端查询 DNS 解析程序并提供应答。
允许从 Internet DNS 服务器到 DNS 解析程序的基于 TCP 的 DNS 查询和应答。
允许从出站 SMTP 堡垒主机到 Internet 的外出邮件。
允许外来邮件从 Internet 到达入站 SMTP 堡垒主机。
允许从代理发起的通信从代理服务器到达 Internet。
允许代理应答从 Internet 定向到外围上的代理服务器。
硬件要求
外围防火墙的硬件要求对于基于软件的防火墙和基于硬件的防火墙来说是不同的,总结如下:
基于硬件的防火墙
这些设备通常在专用的硬件平台上运行特殊编制的代码。通常根据它们可以处理的连接数量以及要运行软件的复杂程度,确定它们的等级(或者定价)。基于软件的防火墙
这些防火墙也可以根据并发连接的数量和防火墙软件的复杂程度进行配置。存在一些根据所支持连接的数量,计算服务器所需处理器速度、内存大小和磁盘空间的计算方法。您还应该考虑可能在防火墙服务器上运行的其他软件,如负载平衡和 VPN 软件。另外,还要考虑向上扩展以及向外扩展防火墙的方法。这些方法包括,通过增加附加的处理器、内存和网卡增加系统的能力,以及使用多系统和负载平衡在这些系统上分配防火墙任务(请参阅本模块后面的可伸缩性)。有些产品利用对称多处理 (SMP) 来提高性能。Windows Server 2003 的网络负载平衡服务可以为一些软件防火墙产品提供容错、高可用性、效率和性能改善。
防火墙可用性
要增加外围防火墙的可用性,可以将其实现为带有冗余组件的单个防火墙设备,或者实现为一个冗余防火墙对,其中结合一些类型的故障转移和/或负载平衡机制。这些选项的优点和缺点在下面的内容中讲述。
单个无冗余组件的防火墙
图 2 所示为单个无冗余组件的防火墙:
.gif "单个无冗余组件的防火墙")
图 2:
单个无冗余组件的防火墙
使用单个无冗余组件的防火墙具有下列优点和缺点。
优点
单个无冗余组件的防火墙的优点包括:
成本低
由于只有一个防火墙,所以硬件成本和许可成本都较低。管理简单
管理工作得到简化,因为整个站点或企业只有一个防火墙。单个记录源
所有通信记录操作都集中在一台设备上。
缺点
单个无冗余组件的防火墙的缺点包括:
单一故障点
对于出站/入站 Internet 访问,存在单一故障点。可能存在通信瓶颈
单个防火墙可能是通信瓶颈,具体情况视连接数量和所需的吞吐量而定。
单个带冗余组件的防火墙
图 3 所示为单个带有冗余组件的防火墙:
.gif "单个带冗余组件的防火墙")
图 3:
单个带冗余组件的防火墙
使用单个带冗余组件的防火墙具有下列优点和缺点。
优点
单个带冗余组件的防火墙的优点包括:
成本低
由于只有一个防火墙,所以硬件成本和许可成本都较低。冗余组件的成本不是很高,如电源装置。管理简单
管理工作得到简化,因为整个站点或企业只有一个防火墙。单个记录源
所有通信记录操作都集中在一台设备上。
缺点
单个带冗余组件的防火墙的缺点包括:
单一故障点
根据冗余组件数量的不同,对于入站和/或出站 Internet 访问仍然可能只有一个故障点。成本
成本比没有冗余的防火墙高,并且可能还需要更高类别的防火墙才可以添加冗余。可能存在通信瓶颈
单个防火墙可能是通信的瓶颈,具体情况视连接的数量和所需的吞吐量而定。
容错防火墙
容错防火墙集包括为每个防火墙配置备用装置的机制,如图 4 所示。
.gif "容错防火墙")
图 4:
容错防火墙
使用容错防火墙集具有下列优点和缺点。
优点
容错防火墙集的优点包括:
容错
使用成对的服务器或者设备有助于提供所需级别的容错能力。集中记录日志
所有通信记录都集中到一对具有很好互连性的设备。共享会话状态
根据设备供应商的不同,此级别的防火墙之间可能能够共享会话状态。
缺点
容错防火墙集的缺点包括:
复杂程度增加
由于网络通信的多通路特性,设置和支持这种类型的解决方案变得更加复杂。配置更复杂
各组防火墙规则如果配置不正确,可能会导致安全漏洞以及支持问题。
在前面的方案中,防火墙既可以基于硬件,也可以基于软件。在上面的图中,防火墙的作用是组织和 Internet 之间的通道,但是在该防火墙外面放置了边界路由器。此路由器尤其容易被入侵,因此还必须配置一些防火墙功能。可以实现有限的一些防火墙功能,而不用设置完整的防火墙功能集,从而依赖于防火墙设备来阻止全面的入侵。另外,防火墙可以在路由器中进行合并,而不用附加的独立防火墙设备。
容错防火墙配置
实现容错防火墙集(通常称为群集)时,有两种主要的方法,如以下各部分所述。
主动/被动容错防火墙集
在一个主动/被动容错防火墙集中,一个设备处理所有通信,而另一个设备不执行任何操作。通常有一个约定,这两个设备通过这个约定与其他伙伴节点进行可用性和/或连接状态通信。这种通信通常称为检测信号,每个系统都会向其他系统发送这种信号,每秒钟几次,以确保伙伴节点正在处理连接。当被动节点在某个特定的用户定义间隔中没有收到来自主动节点的检测信号时,它就会承担主动的角色。
图 5 所示为主动/被动容错防火墙集:
.gif "主动/被动容错防火墙集")
图 5:
主动/被动容错防火墙集
使用主动/被动容错防火墙集具有下列优点和缺点。
优点
主动/被动容错防火墙集的优点包括:
配置简单
此配置的设置过程和故障排除都较为简单,因为任何时候都只有一个网络路径。可预测故障转移负载
因为整个通信负载都会在故障转移时切换到被动节点,所以规划被动节点要管理的通信时较为简单。
缺点
主动/被动容错防火墙集的缺点包括:
- 配置效率低
主动/被动容错防火墙集效率较低,这是因为正常运行时被动节点对网络不会提供任何有用的功能。
主动/主动容错防火墙集
在一个主动/主动容错防火墙集中,两个或多个节点会一直主动侦听发送到每个节点共享的虚拟 IP 地址的所有请求。该负载是通过专门用于正在使用的容错机制的唯一算法,或者通过基于用户的静态配置进行分配的,以使得每个节点会同时主动筛选不同的通信。如果一个节点发生故障,剩下的节点就会分发对以前由这个故障节点承担的负载的处理。
图 6 所示为主动/主动容错防火墙集:
.gif "主动/主动容错防火墙集")
图 6:
主动/主动容错防火墙集
使用主动/主动容错防火墙集具有下列优点和缺点。
优点
主动/主动容错防火墙集的优点包括:
效率高
因为两个防火墙都会向网络提供服务,所以此配置比主动/被动容错防火墙集的效率要高。吞吐量大
在正常运行中,此配置与主动/被动配置相比,能够处理更高级别的通信,这是因为两个防火墙可以同时向网络提供服务。
缺点
主动/主动容错防火墙集的缺点包括:
可能超负荷
如果一个节点发生故障,剩余节点上的硬件资源可能不足以处理整体的吞吐量要求。对此进行相应的规划很重要,您应该了解一个节点发生故障而由剩余节点承担附加工作负载时可能会导致性能下降。复杂程度增加
因为网络通信会通过两个路由,所以故障排除变得更加复杂。
安全性
防火墙产品的安全性具有极高的重要性。虽然没有用于防火墙安全性的行业标准,但是独立于供应商的国际计算机安全协会 (ICSA) 运行着一个认证程序,此程序旨在测试商用防火墙产品的安全性。ICSA 测试了当今市场上大量的产品(有关详细信息,请参阅 www.icsalabs.com(英文))。
必须确保防火墙达到了所要求的安全性标准;为此,其中一种方法是获取 ICSA 认证。另外,应检查您选择的防火墙是否具有现有的跟踪记录。在 Internet 上有一些安全隐患数据库;您应该查看这些数据库,以便了解该产品在过去具有多少安全隐患以及它们的严重程度。
不幸的是,所有产品(基于硬件的产品以及基于软件的产品)都有缺陷。除了确定曾经影响过您要购买产品的缺陷数量和严重性之外,您还应该评估供应商对于暴露的这些隐患的负责程度。
可伸缩性
本部分内容将讲述防火墙解决方案的可伸缩性要求。防火墙的可伸缩性很大程度上取决于设备的性能特征,最好选择一个将来可以进行扩展,能够满足实际中将要面临情况的防火墙。为了达到可伸缩性,有两个基本的方法。它们是:
垂直扩展(向上扩展)
无论防火墙是硬件设备还是在服务器上运行的软件解决方案,通过增加内存数量、CPU 处理能力以及网络接口的吞吐量都可以获得各种不同程度的可伸缩性。但是,每个设备或者服务器在垂直方向可扩展的程度都有一个有限的上限。例如,如果您购买了一台带有四个 CPU 插槽的服务器,而您开始时使用了其中的两个,那么您只能再添加两个 CPU。水平扩展(扩大)
当服务器垂直方向上的扩展到达极限时,则需要进行水平扩展。大多数防火墙(基于硬件的防火墙和基于软件的防火墙)都能够通过使用一些形式的负载平衡来进行向外扩展。在这样的方案中,多个服务器可以组织成为一个群集,该群集在网络上的客户来看就像是一个服务器。这种情况在本质上与本模块前面的防火墙可伸缩性部分中描述的主动/主动群集相同。用于提供这种功能的技术可能与前面描述的相同,也可能与前面描述的不同,这取决于供应商。
向上扩展硬件防火墙可能很困难。但是,有些硬件防火墙生产商会提供向外扩展解决方案,因为它们的设备可以进行堆叠,来作为一个单独的负载平衡的设备运行。
某些基于软件的防火墙设计为可通过使用多个处理器向上扩展。这种防火墙本身通常不具备多处理功能,这是由基础操作系统控制的。但是,这种防火墙需要相应的硬件才能完全使用此功能。此方法允许在单个设备上或者冗余设备上进行扩展,而基于硬件的防火墙通常难以扩展,扩展程度如何完全取决于生产该设置时所内置的硬件。大多数防火墙是按照设备可以处理的并发连接数进行分类的。如果连接要求超过了该型号设备的能力,则通常需要更换该硬件设备。
如前所述,容错功能可以内置到防火墙服务器的操作系统中。对于硬件防火墙而言,要实现容错功能则可能要花费额外的成本。
性能
有一些技术可用于增强防火墙的性能,其中包括:
Gigabit 以太网/Fiber 支持
代理、反向 Web 代理和缓存
SSL 卸载接口
IPSec 卸载接口
对于基于软件的防火墙,这样的技术都可以从多个供应商那里购买到,并且价格较低。尽管对于硬件设备可能存在类似的第三方解决方案,但只能从该硬件防火墙本身的生产商那里获取。
下面几部分对其中每种性能增强技术进行了讨论。
Gigabit 以太网/Fiber 支持
很多交换机、路由器和防火墙都可以处理以太网 gigabit 速度接口,这些接口成本的降低增加了它们的普及性。此功能大大降低了接口在防火墙部署中成为瓶颈的可能性。
代理、反向 Web 代理和缓存
通常情况下,缓存功能只可用于基于软件的防火墙,因为它需要使用磁盘来缓存通信或数据。
SSL 卸载接口
SSL 加速卡通过承担防火墙 CPU 的加密处理负载,可以改善使用基于 SSL 加密的公共网站的性能。当 SSL 在防火墙处终止时,这些设备将提供明显的优点。
IPSec 卸载接口
IPSec 加速卡可以改善使用基于 IPSec 加密的公共服务的性能,如 VPN。这些设备将承担防火墙 CPU 的加密处理负载。IPSec 卸载可用于防火墙内部接口和发布服务之间的进行通信的通信,总而确保了通过外围网络的通信可以在外围网络主机之间进行加密。
合并
合并意味着将防火墙服务合并到另一个设备中,或者将其他服务合并到此防火墙中。合并的优点包括:
降低购买开销
通过将防火墙服务结合到另一个服务(例如,结合到路由器中),可以节省硬件设备的成本(尽管您仍然必须购买防火墙软件)。同样,通过将其他服务结合到防火墙中,也可以节省附加硬件的成本。减少库存和管理成本
通过减少硬件设备的数量,您可以降低运行成本,因为需要的硬件升级更少,布线得到简化,管理更为简单。更高的性能
根据所达到的合并内容,您可以改善性能。例如,通过将 Web 服务器缓存结合到防火墙中,您可以减少附加设备,使得这些服务能够以很高的速度互相通信,而不用通过以太网连线。
合并的示例包括:
将防火墙服务添加到边界路由器
大多数路由器都可以提供防火墙服务。此防火墙服务的功能在低成本路由器中可能很简单,但是高端路由器通常具有非常有用的防火墙服务。实际上,尽管您可以拥有一个单独的外围防火墙,但是边界路由器应该始终激活自己的防火墙服务,以保护该路由器本身和边界交换机。将防火墙服务添加到边界交换机
可以通过插件形式添加外围防火墙,从而降低成本,改善性能。具体情况取决于所选择的边界交换机。在外围防火墙中添加代理高速缓存
代理高速缓存存储经常访问的网页,这样当下一个请求方请求某个页面时,可以从缓存中提取该页面,而不用重新访问 Web 服务器,从而提高了响应速度,降低了 Web 服务器的负载。通常情况下,此功能只能结合到服务器防火墙中,因为它需要一个本地硬盘来承载该缓存。
考虑将其他服务合并到提供防火墙服务的同一个服务器或设备时,应确保使用某个特定的服务不会削弱该防火墙的可用性、安全性、可管理性或者性能。性能合并也很重要,因为附加服务生成的负载会降低防火墙服务的性能。
将服务合并到驻留防火墙服务的设备或服务器中的另一种方法是,将防火墙硬件设备作为一个插件合并到交换机中。这一方法的成本通常比各种类型的独立防火墙要低,并可以利用交换机的可用性功能,如双电源。这样的配置也易于管理,因为它不是一个单独的设备。另外,它的运行速度通常更快,因为它使用交换机的总线,该总线通常比外部连线的速度要快得多。
标准和准则
大多数使用 Internet 协议版本 4 (IPv4) 的 Internet 协议都可通过防火墙进行保护,其中包括较为低级的协议(如 TCP 和 UDP)和较为高级的协议(如 HTTP、SMTP 和 FTP)。考虑范围之内的任何防火墙产品都应该进行仔细检查,以确保它支持所需类型的通信。某些防火墙还可以解释 GRE,这是用于某些 VPN 实现中使用的点对点隧道协议 (PPTP) 的封装协议。
某些防火墙具有用于一些协议的内置应用程序层筛选器,这些协议如 HTTP、SSL、DNS、FTP、SOCKS v4、RPC、SMTP、H. 323 和邮局协议 (POP)。
总结
本模块提供了用于成功选择防火墙产品的实际过程。此过程包括了防火墙设计的所有方面,其中包括达成某个解决方案所需的各种评估和分类过程。
没有任何防火墙是 100% 安全的:确保您的网络不会从外部受到电子攻击的唯一方法是在它和所有其他系统和网络之间实现一个间隔。这样得到的是一个安全的网络,但实际上是不可用的。防火墙使您能够在将您的网络与外部网络进行连接时,或者联结两个内部网络时实现合适级别的安全防护。
本模块中简要列出的防火墙策略和设计过程只应被看作是整个安全策略的一部分,因为如果环境中的其他部分存在弱点,强大的防火墙也只能具有有限的价值。安全性必须应用于网络的每个组件,必须为每个组件都定义一个可解决环境中固有危险的安全策略。
参考内容
您可以从下列 URL 找到有关设计和部署防火墙服务的其他信息。
有关防火墙的概述: www.microsoft.com/technet/treeview/default.asp?url=/technet/security/topics/network/Firewall.asp(英文)
有关 Microsoft Windows Server 2003 安全性方面的详细信息,请参考文档“Windows Server 2003 Security Center”: https://www.microsoft.com/technet/security/prodtech/windows/win2003/(英文)
有关 Microsoft Internet Security & Acceleration Server 防火墙和 Web 代理产品的信息,请参阅: https://www.microsoft.com/china/isaserver/
要获得 Microsoft 用于向订阅者发送 Microsoft 产品安全性信息的免费电子邮件通知服务,请访问预订 Microsoft安全性通告服务网站: https://www.microsoft.com/china/security/bulletins/notify.asp
SANS (SysAdmin, Audit, Network, and Security) Institute 安全性资源可从下列网址获取: http://www.sans.org(英文)
Computer Emergency Response Team (CERT) 组织记录并发布安全警报,它是一个安全技术中心,其网址为: http://www.cert.org(英文)