內部防火牆設計

更新日期: 2004 年 2 月 6 日


本頁內容

本單元內容
目標
適用於
如何使用本單元
設計指導方針
系統攻擊及防禦
裝置定義
防火牆功能
防火牆類別
類別 1—個人防火牆
類別 2—路由器防火牆
類別 3—低階硬體防火牆
類別 4—高階硬體防火牆
類別 5—高階伺服器防火牆
硬體需求
可用性
安全性
擴充性
整併
標準及指導方針
總結
參考資料

本單元內容

本單元可協助您選擇適合組織內部網路的防火牆產品。單元裡會介紹各種不同類別的防火牆,還會強調最重要的防火牆功能。也會列出設計指導方針,讓您能決定自己的需求,並選擇最合適的產品。

目標

透過本單元即可:

  • 識別您的內部防火牆所需功能。

  • 替防火牆產品分類。

  • 為您的內部防火牆選擇最佳防火牆產品。


適用於

本單元適用於下列技術:

  • 乙太網路/IP 防火牆產品


如何使用本單元

在閱讀本單元之前,您必須先了解 TCP/IP 通訊協定,還要了解您自己的網路架構。本單元也有另外一個用途,可用來找出哪些從內部防火牆輸入及輸出的流量是有效,而哪些是無效的。

本單元中所呈現的設計導引方針,會協助您在主要考慮成長及成本的情況下,從防火牆中選擇您所需要的功能。本單元也會定義不同分類的防火牆,而在使用設計指導方針之後,您就能選擇類別最合適的防火牆來滿足您的需求。以本單元中所提供的知識以及技術詞彙,您應能與防火牆製造商討論他們所能提供的產品,還能評估他們是否符合您的需求。

設計指導方針

本單元考慮的是企業內部網路中的內部防火牆需求,能夠符合這些需求的裝置,還有部署時可行的選項。不幸的是,外部及內部使用者的網路侵入已經成為一般事件,這表示組織必須安裝防止這些侵入的防護措施。防火牆要花錢,還會對網路流量造成阻礙。所以您必須確認您的防火牆儘可能設計的符合成本效益而且有效率。

網路架構

在企業網路架構中,通常會有三個區域:

  • 邊界網路
    此網路透過路由器直接面對網際網路,而路由器應該提供初始保護層,其形式為基本網路流量篩選。邊界網路會透過外圍防火牆將資料傳送通過外圍網路。

  • 外圍網路
    此網路通常稱為 DMZ (解除武裝的網路) 或邊緣網路 (Edge Network),它會將連入的使用者連結到 Web 伺服器或其他服務。然後 Web 伺服器會透過內部防火牆連結到內部網路中。

  • 內部網路
    內部網路會連結內部伺服器,例如 SQL Server 和內部使用者。

在企業組織中,經常會有外圍防火牆及內部防火牆兩種不同的防火牆。雖然這些防火牆的作用相同,所強調的功能卻不同。外圍防火牆專注於對未受信任的外部使用者提供限制,而內部防火牆則專注於避免外部使用者存取內部網路,並限制內部使用者所能進行的動作。如需更多有關外圍防火牆的資訊,請參閱<外圍防火牆設計>。

網路描繪在 [圖 1] 中

企業網路架構

[圖 1]
企業網路架構


設計觀點

防火牆會檢查連入的IP封包,並且封鎖經偵測為侵入的IP。藉由預設辨識特定封包為無效,可以完成部分封鎖。此外,您可以設定防火牆來封鎖特定封包。TCP/IP 通訊協定是在多年前所設計的,並沒有任何防駭客或防侵入的概念,以及有許多弱點。例如,ICMP 通訊協定是設計為 TCP/IP 內的訊號機制,但對濫用卻不設限,而可能導致像是拒絕服務攻擊這類的問題。內部防火牆比外圍防火牆需要更正確的系統需求。這是因為內部資料傳輸的合法目的地可能是內部網路中的任何伺服器,而更難控制。

有許多可用的防火牆類型,部分是價格上有所差異,但在功能及效能上也有所不同。一般來說,防火牆愈貴,功能也愈強大齊全。在本單元稍後的章節中,我們會將防火牆分類以有所區別,但在選取防火牆之前,您必須先決定自己的需求。您應該將下列因素列入考慮:

  • 預算

  • 現有設備

  • 可用性

  • 擴充性

  • 所需功能

預算

可用的預算為何?環境中的每個防火牆都應該儘可能提供最高的服務層級,同時保有成本效益,但是您必須意識到如果防火牆過份受制於成本,對企業就會有潛在的損壞風險。考量一下如果是服務遭到拒絕服務攻擊而暫停,您的組織必須付出的停機成本。

現有設備

現有設備可用來節省成本嗎?環境中可能已經有可以使用的防火牆,以及具有防火牆功能的路由器。

可用性

您的組織需要隨時都使用防火牆嗎?若您提供持續可用的公用 Web 伺服器設備,則您需要幾乎 100% 的執行時間。就所有防火牆來說,總是會有故障的機會,所以您要如何減輕這樣的情況?防火牆的可用性可以透過兩種方法來提升:

  • 備援的元件
    多準備一些較常故障的元件,例如電源供應器,以提升防火牆的可靠度,使第一個元件故障時不會影響作業。低成本防火牆通常不會有備援的選項,因為要增加可靠度太昂貴了,特別是通常沒辦法增加更多的處理能力。

  • 相同裝置
    相同的防火牆裝置可提供完全可靠的系統,但是需要相當大的成本,因為需要完全複製防火牆所連接的路由器或交換器的網路配線及連線。不過,視防火牆而定,也有可能會讓輸送量倍增以為補償。理論上,從最小到最大的所有防火牆都能夠有備援功能,但實務上還需要一套軟體切換機制,較小型的防火牆並沒有這樣的機制。

擴充性

防火牆的輸送量需求為何?輸送量可以從兩個方面來看,每秒傳輸速率 (bps) 及每秒傳送的封包。如果是新公司,您可能不會知道輸送量的比率,而要是公司成名了,從網際網路而來的輸送量就有可能會迅速上升。您要如何處理增加的情況?您得選擇可以隨著輸送量增加而擴大的防火牆解決方案。可以藉由增加更多元件來讓防火牆成長嗎,或是您可以平行安裝另一個防火牆嗎?

所需功能

需要哪些防火牆功能?根據針對組織所提供的服務所做的風險評估,您可以決定需要何種類型的防火牆功能,來保護提供這些服務的資產。因為會影響設計,而需要虛擬私人網路 (Virtual Private Networks,VPN) 嗎?

系統攻擊及防禦

這一節提供一些較為人知的系統攻擊摘要,以及使用防火牆服務作為第一線防禦的理由。

外部攻擊

網際網路常常會被想對組織造成不利影響、竊取商業機密以取得競爭優勢的人作為工具。要是您安裝一個外圍防火牆,並查看一下侵入記錄,您會驚訝於其數量之大。這些侵入行為大部分都只是偵測看看您的機器是否有回應,以及執行那些服務。這看起來可能無害,但要是攻擊者發現了您的機器,在知道機器弱點之後,他就可以攻擊您的服務。

內部攻擊

並非所有攻擊都來自網際網路;您也得保護機密資訊不被企業網路的內部使用者所存取。大多數組織都會有需要保護以防止內部網路中特定使用者存取的機密資訊,包括員工、廠商、承包商及客戶。

侵入威脅

侵入威脅有許多形式,在這裡要描述這些威脅的效果有限,因為新的威脅每天都會產生。有些侵入看起來可能毫無傷害,例如 Ping 伺服器位址。然而,在發現伺服器存在後,駭客可能會嘗試更嚴重的攻擊。這表示應該將所有侵入行為都視為潛在威脅。一些最重大的侵入事件包括:

  • 封包竊聽者 (Packet Sniffer)
    竊聽者是加裝在 LAN 上的軟體應用程式或硬體裝置,並從 Ethernet 框架中擷取資訊。這些系統原先的目的是要進行疑難排解,及分析 Ethernet 流量,或是更深入探究框架,以檢查個別 IP 封包。竊聽者是以隨機的模式進行;也就是說,它們會接聽整個實體線路上的每一個封包。許多應用程式,諸如 Telnet,會以純文字傳送使用者名稱及密碼資訊,這些資訊會顯示在竊聽產品上。這表示有竊聽產品的駭客就可以存取許多應用程式。

    透過防火牆無法防止竊聽,因為竊聽者並不會產生網路流量,而許多潛在的竊聽侵入者都是您自己防火牆內的使用者。可以從網際網路下載免費的竊聽程式軟體,而您的使用者可在其個人電腦上執行該軟體,檢查它們所傳送的封包。若您在個人電腦中執行 Microsoft® Windows® 作業系統,使用者通常需要擁有系統管理員存取權限才能執行竊聽程式,因此將限制可能嘗試竊聽的使用者數目。不過為數可能眾多的系統管理員使用者,都能夠執行竊聽程式。除了存取機密資料外,他們還能看到上面所述的純文字密碼。由於許多人在每一套應用程式都會使用同樣的密碼,侵入者就能推論出加密的密碼是什麼,而取得更進一步的存取權。有幾種方法可以反制竊聽。主要的方法是使用強大的加密密碼,但這不在本單元的討論範圍內。

  • IP 詐騙
    變更 IP 封包的來源位址來隱藏傳送者的身分時,就是 IP 詐騙。網際網路上的路由作業僅使用目的地位址來傳送封包,而忽略來源位址。因此駭客就可以傳送毀滅性的封包到您的系統,並且偽裝來源,讓您不知道封包來自何方。詐騙並不一定是毀滅性的,但卻是侵入行為正在進行的訊息。位址可能在您的網路之外 (以隱藏侵入者的身分) 或者有可能是您所信任,擁有存取權限的內部位址之一。詐騙通常用於拒絕服務 (DoS) 攻擊,我們會在本單元稍後描述。

  • 拒絕服務攻擊
    DoS 攻擊是最難預防的。DoS 攻擊與其他類型的攻擊之所以不同,是 DoS 攻擊不會對您的網路造成永久傷害。相反地,DoS 攻擊會嘗試藉由轟炸特定電腦(伺服器或網路裝置),停止網路的功能,或是降低網路連結到特定地點的輸送量,使此其效能惡化到足以引起客戶反感,而造成組織的企業損失。分散式 DoS (Distributed DoS,DDoS) 是一種由許多其他電腦所啟動的攻擊,會集中轟炸您的電腦。攻擊的電腦不需要自己啟動攻擊,但由於自身安全上的弱點,允許自己遭受滲透。

  • 應用程式層攻擊
    應用程式層攻擊通常是最公開的攻擊,經常利用應用程式 (例如 Web 伺服器及資料庫伺服器) 中熟知的弱點。這個問題,特別是對 Web 伺服器來說,在於它們本就設計來讓未知且不能信任的公眾使用者存取。大多數攻擊都是針對產品已知的缺點。這表示最佳防禦就是經常安裝製造商提供的最新更新。在 2003 年 1 月發作的惡性 SQL 蠕蟲病毒,短時間內影響了 35,000 個系統。它利用 Microsoft® SQL Server™ 2000 中已知的問題來設計病毒,Microsoft 已在 2002 年 8 月發佈此問題的修復程式。此蠕蟲利用了許多系統管理員尚未套用建議的更新、且沒有安裝適當防火牆的弱點 (如果有安裝,就會將蠕蟲使用之連接埠的封包直接刪除)。防火牆在這些情況不過是暫時的阻擋措施。廠商建議應該要將升級套用到所有的產品,特別是要防止應用程式層攻擊。

  • 網路偵察
    網路偵察是要掃描網路,以便在啟動攻擊之前發現有效的 IP 位址、網域名稱系統 (DNS) 名稱及 IP 連接埠。網路偵察本身並不會造成傷害。不過要是有人發現了正在使用的位址,就能藉此啟動惡意攻擊。如果您查看防火牆的記錄,就會發現大部分的侵入行為都屬於這種類型。一般的偵察行為包括掃描接聽的傳輸控制協定 (Transport Control Protocol,TCP) 及使用者資料包通訊協定 (User Datagram Protocol,UDP) 連接埠,以及其他眾所皆知的接聽連接埠,如 Microsoft SQL Server 所使用的接聽連接埠,網路基本輸入/輸出系統 (NetBIOS),超文字傳輸協定 (HTTP,Hypertext Transfer Protocol,HTTP) 以及 Simple Mail Transport Protocol (SMTP)。這類偵察行為都會尋求回應,這會告知駭客伺服器的存在,而且正執行其中一項服務。這些偵察行為大部分可以藉由界限路由器或防火牆來加以防止,但是關閉一些這類的服務,會限制網路的診斷功能。


裝置定義

防火牆是用來控制兩個網路之間 IP 流量的機制。防火牆裝置一般都會在 OSI 模式的 L3 運作,然而有些模式也可以在更高的層級運作。

內部防火牆通常提供下列優點:

  • 保護內部伺服器不受網路攻擊。

  • 強化網路使用及存取原則。

  • 監視流量並且在偵測到可疑的模式時,發出警告。

有一點很重要的是,防火牆只能緩和特定類型的安全性風險。防火牆一般都不能避免對有軟體弱點的伺服器所造成的傷害。防火牆應該實作為組織整體安全性架構裡的一部份。

防火牆功能

依防火牆所支援的功能而定,可使用各種不同的技術來允許或封鎖流量。這些技術會以防火牆功能為基礎,提供不同程度的保護。下面依複雜度順序列出防火牆功能:

  • 網路介面卡輸入篩選器

  • 靜態封包篩選器

  • 網路位址轉譯 (NAT)

  • 狀態式檢查

  • 電路層級檢查

  • 應用程式層篩選

一般來說,提供複雜功能的防火牆也會支援較簡單的功能。然而,在選擇防火牆時應該仔細閱讀廠商的資訊,因為在防火牆的隱含和實際功能之間可能會有微妙的差異。一般來說選擇防火牆,包括要詢問功能,還要加以測試以確定產品確實能執行產品規格上的功能。

網路介面卡輸入篩選器

網路介面卡輸入篩選器會檢查來源或目的地位址和連入封包的其他資訊,並且會封鎖這個封包或允許它通過。它只能套用到連入的流量,而不能控制連出的流量。它會比對 UDP 及 TCP 的 IP 位址及連接埠編號,還有流量、TCP、UDP 及 Generic Routing Encapsulation (GRE) 的通訊協定。網路介面卡輸入篩選,能夠快速有效地拒絕符合在防火牆所設定之條件規則的標準連入封包。不過網路介面卡輸入篩選很容易就能躲過,因為它只比對 IP 流量的標頭,而且基本上假定,遭篩選的流量會遵守 IP 標準,且並未經過特意的設計以躲開篩選。

靜態封包篩選器

靜態封包篩選器與網路介面卡輸入篩選器相似之處在於,它們都只比對 IP 標頭以決定是否要允許流量通過介面。然而,靜態封包篩選器可以控制連到介面的輸入/輸出通訊。此外,靜態封包篩選器一般都會允許比網路介面卡篩選更多的一項功能,那就是檢查在 IP 標頭上有設定經過認可的 (ACK) 位元。ACK 位元會提供封包是否為新的要求,或者是對原先要求的回覆要求的資訊。ACK 位元不會查驗封包是否原先就是由接受封包的介面所傳送,只會檢查是否進入介面中的流量,是以 IP 標頭協定為基準而傳送回來的。

這項技術只能套用於 TCP 通訊協定而不能套用於 UDP 通訊訊定。靜態封包篩選像網路介面卡輸入篩選一樣非常快速,但是其功能受到限制,而且可用特別精巧的流量來避開此篩選。

網路位址轉譯

在全球的 IP 位址範圍中,特定位址範圍被指派為「私人位址」。這些位址範圍主要是用在您的組織中,而且在網際網路上沒有任何意義。預定要傳送到這些 IP 位址的流量,不能經網際網路路由,所以指派一個私人位址給您的內部裝置,能提供一些對抗侵入的保護。不過這些內部裝置常常自己也要存取網際網路,所以網路位址轉譯 (NAT) 會將私人位址轉譯成為網際網路位址。

儘管 NAT 嚴格來說並不是防火牆技術,但能夠隱藏伺服器的真實 IP 位址,以避免攻擊者取得關於伺服器的有用資訊。

狀態式檢查

在狀態式檢查裡,所有連出的流量都會記錄在一個狀態表裡。當連線流量回到介面時,狀態表會進行查核以確保流量是來自於這個介面。狀態式檢查比靜態封包篩選慢一點。不過,它能確保流量只有在符合連出流量需求時,才能通過。狀態表包含比如目的地 IP 位址,來源 IP 位址,被呼叫的連接埠以及來源主機。

特定防火牆能在狀態表裡儲存更多資訊(例如傳送及收到的 IP 片段),而其他防火牆能儲存的比較少。當完整的資訊或是零星的破碎資訊傳回時,防火牆可以對這些流量進行查驗。不同廠商的防火牆所執行的狀態式檢查功能並不相同,所以您必須仔細閱讀防火牆文件。狀態式檢查功能一般是用來協助緩和網路偵察及 IP 詐騙所造成的風險。

電路層級檢查

使用電路層級篩選,就可以檢查工作階段,而非只有連線或封包。工作階段可以包含多重連線。就跟動態封包篩選一樣,工作階段只會在回應使用者要求時建立。電路層級篩選能夠以次要連線 (例如 FTP 及資料流媒體),提供內建的通訊協定支援。一般來說,可以協助緩和網路偵察、DoS 及 IP 詐騙攻擊所造成的風險。

應用程式層篩選

防火牆流量檢查最複雜的層級,就是應用程式層篩選。您可以使用優良的應用程式篩選器來分析特殊應用程式的資料流,並提供應用程式專用的處理作業。這個過程包括在資料流通過防火牆時,進行檢查,篩選或封鎖,重新導向以及修改資料。這樣的機制是用來防止不安全的 SMTP 命令之類的事件,或者防止對內部網域名稱系統 (DNS) 的攻擊。一般來說,第三方廠商所提供的內容審查工作,包括病毒偵測、詞彙分析、站台分類等工具也能加到您的防火牆上。

應用程式層防火牆有能力以經過的流量,來檢查許多不同的通訊協定。不同於經常檢查網際網路流量的 Proxy 防火牆,例如 HTTP、FTP 下載及 SSL,應用程式層防火牆比較能控制任何流量通過防火牆的方式。例如,應用程式層防火牆能夠只允許發自防火牆邊界內的 UDP 流量通過。如果網際網路主機掃描狀態式防火牆的連接埠,看看是否允許 DNS 傳輸進入環境中,該連接埠掃描可能會顯示常用的 DNS 連接埠是開啟的,但是一旦遭到攻擊,狀態式防火牆就會拒絕要求,因為這並非來自內部。應用程式層防火牆可以根據流量是否來自內部,動態開啟連接埠。

應用程式層防火牆功能,可以協助緩和 IP 詐騙、DoS、部分應用程式層攻擊、網路偵察以及病毒/特洛伊木馬攻擊等等,所造成的風險。應用程式層防火牆的缺點在於它需要更多處理能力,而且通過的流量通常比狀態式或靜態篩選的防火牆更慢。使用應用程式層防火牆時最重要的考慮因素,是決定什麼樣的防火牆功能足供應用程式層使用。

應用程式層篩選廣泛用於保護公開的服務。如果您的組織擁有收集客戶的信用卡卡號及其他個人資訊的線上商店,就必須審慎採用最高層級的預防措施來保護此資訊。應用程式層功能可以確保通過特定連接埠的流量是適當的。不像封包篩選器或是狀態式檢查防火牆,只會查看連接埠、來源及目的地 IP 位址,支援應用程式層篩選功能的防火牆擁有檢查資料及前後通過之命令的能力。

大多數支援應用程式層功能的防火牆,只有純文字傳輸的應用程式層篩選,例如代理程式感知訊息服務、HTTP 以及 FTP。請記住,支援這個功能的防火牆,可以管理環境的流量進出。這項功能另一個優點是能夠檢查 DNS 流量,在流量通過防火牆時,可以尋找特定的 DNS 命令。這層額外的保護措施,能確保使用者或攻擊者無法在經允許的流量類型中,透露資訊。

防火牆類別

下一節將介紹幾種類別的防火牆,每種防火牆都提供特定的防火牆功能。特定防火牆類別可用來回應 IT 架構設計的特定需求。

將防火牆分成幾個類別,是考慮到要從服務的需求中歸納出硬體的抽象概念。然後服務需求可以符合類別功能。只要有防火牆適合一種特定的類別,就能支援那一類防火牆必須支援的所有功能。

不同的類別如下:

  • 類別 1 - 個人防火牆

  • 類別 2 - 路由器防火牆

  • 類別 3 - 低階硬體防火牆

  • 類別 4 - 高階硬體防火牆

  • 類別 5 - 高階伺服器防火牆

有一點很重要而必須瞭解的是,這些類別有部分會重疊。這種重疊設計可以允許某種防火牆類型跨越多個類別。許多類別的防火牆也可以由同一家廠商所提供,一種以上的硬體模型來組成,所以您的組織可以選取適合目前及將來需求的模型。除了價格及功能組合外,防火牆也能以效能 (或輸送量) 為基準來分類。不過,廠商通常不會提供防火牆的輸送量數據。他們所提供的(一般為硬體防火牆裝置),並不會遵照標準度量程序,如此一來就很難在製造商之間做比較。例如,其中一項度量方法就是每秒傳輸位元 (bps) 數量,但由於防火牆實際上會傳遞 IP 封包,如果用來度量速率的封包大小並未包括在內的話,這種度量方法就失去了意義。

下列子區段會詳細定義防火牆類別。

類別 1—個人防火牆

個人防火牆的定義是在作業系統中執行的軟體服務,能為個人電腦提供簡單的防火牆功能。隨著永久網際網路連線的數量 (跟撥號連線正好相反) 逐漸成長,個人防火牆的使用率也增加。

雖然個人防火牆是設計用來保護單一的個人電腦,但如果這台電腦所在的小型網路,讓內部網路其他電腦共同這台電腦的網際網路連線,那麼個人防火牆也能保護小型網路。不過,個人防火牆的效能有其限制,而且會降低安裝防火牆之電腦的效能。這樣的保護機制效果通常比專用的防火牆來的差,因為它通常僅限於封鎖IP及連接埠位址,而個人電腦通常需要較低層次的保護。

個人防火牆可能可以免費由作業系統或以很低的成本取得。它們適合預期的目的,但不應該考慮用於企業中,即使是小型的衛星分公司也不行,因為其效能與功能受到限制。不過,它們特別適合使用膝上型電腦的行動使用者。

下列表格顯示個人防火牆可用的功能;功能及價格的差距很大。不過,由於缺乏特定功能 (尤其是膝上型電腦),所以重要性可能不大。

[表 1]:類別 1-個人防火牆

防火牆屬性

支援基本功能

大多數的個人防火牆都支援靜態
封包篩選器、NAT 及狀態式檢查,
有些則支援電路層級檢查
和 (或) 應用程式層篩選

設定

自動 (也可選擇手動)

封鎖或允許 IP 位址

封鎖或允許通訊協定或連接埠編號

封鎖或允許連入 ICMP 訊息

控制連出存取

應用程式保護

可能

聽覺或視覺警示

可能

攻擊的記錄檔

可能

即時警示

依產品而定

VPN 支援

一般沒有

遠端管理

一般沒有

製造商支援

變化很大 (依產品而定)

高可用性選項

同時工作階段數目

1 到 10

模組化升級能力 (硬體或軟體)

無到有限度

價格範圍

低 (有些情況為免費)


優點

個人防火牆的優點包括:

  • 不昂貴
    在只需要有限數量的授權時,個人防火牆是不貴的選擇。個人防火牆整合到 Windows XP 版本中。與其他 Windows 版本或其他作業系統一起使用的額外產品,可以免費或以不高的成本取得。

  • 容易設定
    個人防火牆產品一向會有現成可用的基本設定,具有簡單的設定選項。

缺點

個人防火牆的缺點包括:

  • 難以集中管理
    個人防火牆需要在每一個用戶端上面設定,而這增加了管理負荷。

  • 只有基本控制
    設定只偏向為靜態封包篩選與應用程式權限型封鎖的組合。

  • 效能限制
    個人防火牆是設計用來保護單一個人電腦。在作為小型網路路由器的個人電腦上使用,會降低整體效能。


類別 2—路由器防火牆

路由器通常會支援一種以上先前討論過的防火牆功能;可再細分為用於網際網路連線的低階裝置以及高階的傳統路由器。低階路由器提供基本的防火牆功能,封鎖和允許特定的 IP 位址及連接埠編號,並使用 NAT 來隱藏內部 IP 位址。路由器通常提供標準的防火牆功能,專為封鎖來自網際網路的侵入行為而最佳化,同時不需要任何設定,還能以更進一步的設定來提升其功能。

高階路由器能加以設定成封鎖更為明顯的侵入行為,如 Ping 以及透過使用 AGL 來實作其他 IP 位址及連接埠限制,使存取控制更加嚴謹。其他的防火牆功能或許也可以在一些路由器上提供狀態式封包篩選。在高階路由器中,防火牆功能與防火牆硬體裝置相似,但價格更低,不過傳送量也較低。

[表 2] 類別 2—路由器防火牆

防火牆屬性

支援基本功能

大多數路由器防火牆都支援靜態封包篩選器。低階路由器通常會支援 NAT。高階路由器可能會支援狀態式檢查和 (或) 應用程式層篩選。

設定

在低階路由器上,一般均為自動 (也有手動選項)。而高階路由器則多為手動選項

封鎖或允許 IP 位址

封鎖或允許通訊協定/連接埠編號

封鎖或允許連入 ICMP 訊息

控制連出存取

應用程式保護

可能

聽覺或視覺警示

一般都有

攻擊的記錄檔

大多數情況下

即時警示

大多數情況下

支援 VPN

通常出現在較低階的路由器中,高階路由器較不常見。有可以專門執行此工作的專用裝置或伺服器

遠端管理

製造商支援

低階路由器上一般都有限制,高階路由器則有良好支援。

有高可用性選項

低階:否
高階:是

同時工作階段數目

10 - 1,000

模組化升級能力 (硬體或軟體)

低階:否
高階:有限

價格範圍

低到高


優點

路由器防火牆的優點包括:

  • 低成本解決方案
    啟動現有路由器防火牆功能,並不會讓路由器的成本增加,而且不需要額外的硬體。

  • 設定可以合併
    可以在路由器設定為一般作業時完成路由器防火牆設定,因此使管理工作最小化。因為網路硬體及管理性經過簡化,這個解決方案特別適合分公司。

  • 投資保護
    操作人員很熟悉路由器防火牆設定及管理,所以不需要重新訓練。網路配線經過簡化,因為不需要安裝額外的硬體,如此一來也能簡化網路管理。

缺點

路由器防火牆的缺點包括:

  • 功能有限
    一般來說,低階路由器只提供基本防火牆功能。高階路由器一般都會提供較高層次的防火牆功能,但可能需要相當程度的設定。這項設定大部分都是經由很容易忘記的額外控制來完成,所以有點難以正確設定。

  • 只有基本控制
    設定只偏向為靜態封包篩選與應用程式權限型封鎖的組合。

  • 效能影響
    將路由器用作防火牆,會降低路由器的效能及路由功能,而路由功能是路由器的主要工作。

  • 記錄檔效能
    使用一個記錄檔來捕捉異常的活動,特別是路由器已經遭受攻擊時,會嚴重降低路由器的效能。


類別 3—低階硬體防火牆

低階硬體防火牆市場是隨插即用的單位,不太需要設定,甚至不必設定。這些裝置通常會結合交換器和 (或) VPN 功能。低階硬體防火牆適合小型公司及較大的組織內部使用。低階硬體防火牆通常會提供靜態過態功能以及基本的遠端管理功能。較大廠商提供的裝置,若有需要會提供升級路徑,讓您執行高階防火牆的相同軟體。

[表 3] 類別 3—低-階硬體防火牆

防火牆屬性

支援基本功能

大部分低階防火牆都支援靜態封包篩選器及 NAT。有可能支援狀態式檢查及應用程式層篩選。

設定

自動 (也可選擇手動)

封鎖或允許 IP 位址

封鎖或允許通訊協定/連接埠編號

封鎖或允許連入 ICMP 訊息

控制連出存取

應用程式保護

一般沒有

聽覺或視覺警示

一般沒有

攻擊的記錄檔

一般沒有

即時警示

一般沒有

支援 VPN

有時

遠端管理

製造商支援

有限制

有高可用性選項

一般沒有

同時工作階段數目

> 10-7500

模組化升級能力 (硬體或軟體)

有限制

價格範圍


優點

低階硬體防火牆的優點包括:

  • 低成本
    低階防火牆的採購成本不高。

  • 設定簡單
    幾乎不需要任何設定。

缺點

低階硬體防火牆的缺點包括:

  • 功能有限
    一般來說,低階硬體防火牆只能提供基本的防火牆功能。不能平行執行以進行備援。

  • 輸送量低落
    低階硬體防火牆並非設計用來處理高輸送量,因此可能會造成瓶頸。

  • 製造商支援有限
    由於這些是低成本的項目,因此製造商支援通常僅限於電子郵件和 (或) 網站支援。

  • 升級能力有限
    通常不會有硬體升級,不過常會有定期性的韌體升級可用。


類別 4—高階硬體防火牆

在高階硬體防火牆市場中有高效能,具高度恢復力的產品,適合企業或服務提供者使用。這些產品通常都能提供最好的保護,而且無損網路效能。

要達成恢復性的辦法是增加第二台防火牆,以熱待命的形式執行,透過自動狀態式同步處理來維護目前的連線表。

您應該在每個連線到網際網路的網路中使用防火牆,因為侵入行為不斷發生; DoS 攻擊,偷竊以及資料毀損等威脅隨時可見。高階硬體防火牆裝置應該集中或在總公司部署。

[表 4]:類別 4 — 高-階硬體防火牆

防火牆屬性

支援基本功能

大部分高階硬體防火牆都支援靜態封包篩選器及 NAT 。也有可能支援狀態式檢查及應用程式層篩選

設定

一般均為手動

封鎖或允許 IP 位址

封鎖或允許通訊協定/連接埠編號

封鎖或允許連入 ICMP 訊息

控制連出存取

應用程式保護

有可能

聽覺或視覺警示

攻擊的記錄檔

即時警示

VPN 支援

有可能

遠端管理

製造商支援

良好

有高可用性選項

同時工作階段數目

> 7500-500,000

模組化升級能力 (硬體或軟體)

價格範圍


優點

高階硬體防火牆的優點包括:

  • 高效能
    硬體防火牆產品是設計用來作為單一目的使用,以最低的效能降級提供高層次的侵入封鎖功能。

  • 高可用性
    高階硬體防火牆能相互連接在一起,以達到最佳化的可用性及負載平衡。

  • 模組化系統
    硬體及軟體都能針對新需求而升級。硬體升級可能包括額外的 Ethernet 連接埠,而軟體升級可能包括偵測新的侵入方法。

  • 遠端管理
    高階硬體防火牆能提供比低階硬體防火牆更好的遠端管理功能。

  • 備援能力
    高階硬體防火牆可能會有像是以第二台防火牆熱待命或主動待命的可用性及備援功能。

  • 應用程式層篩選
    高階硬體防火牆與低階硬體防火牆不同的是,低階硬體防火牆通常只會在 OSI 模型的層級 3 及層級 4 進行篩選。而高階硬體防火牆能為熟知的應用程式提供層級 5 到 7 的篩選。

缺點

高階硬體防火牆的缺點包括:

  • 高成本
    高階硬體防火牆傾向於較昂貴。雖然最低可以以 $100 購得,但成本常常會因同時工作階段、輸送量及可用性需求而改變,對企業來說成本更高。

  • 複雜設定及管理
    因為這種類別的防火牆比低階防火牆的功能更強,所以也更難以設定和管理。


類別 5—高階伺服器防火牆

高階伺服器防火牆會將防火牆功能加到高階伺服器上,在一般硬體及軟體系統上,提供強大又快速的保護。此方法的優點是使用熟悉的硬體或軟體。這樣一來就能提供降低數量的庫存項目,簡化的訓練及管理,可靠性及擴充性。許多高階硬體防火牆產品都建置在產業標準硬體平台上執行的產業標準作業系統 (但在外觀上看不出來),所以在技術上與伺服器防火牆只有些許差異。不過,因為作業系統是看得到的,所以伺服器防火牆功能可加以升級,並且透過如叢集之類的技能,變得更加可靠。

因為伺服器防火牆乃是在一般常用作業系統上執行的伺服器,額外的軟體及功能都能加從各種不同的廠商加到防火牆上(與硬體防火牆僅限於一個廠商不同)。對作業系統的熟悉度也可以引導更有效率的防火牆保障,因為一些其他類別會需要相當的專門知識來進行完整和準確的設定。

這種類別的防火牆適用於高額投資的特定硬體或軟體平台,因為讓防火牆使用相同的平台,能夠簡化管理。此類別的快取能力也很有效率。

[表 5]:類別 5—高-階硬體防火牆

防火牆屬性

支援的功能

大部分的高階伺服器防火牆都支援靜態封包篩選器及 NAT。也可能支援狀態式檢視及/或應用程式層篩選

設定

一般均為手動

封鎖或允許 IP 位址

封鎖或允許通訊協定/連接埠編號

封鎖或允許連入 ICMP 訊息

控制連出存取

應用程式保護

有可能

聽覺/視覺警示

攻擊的記錄檔

即時警示

VPN 支援

有可能

遠端管理

製造商支援

良好

有高可用性選項

同時工作階段數目

>50,000 (跨多個網路區段)

模組化升級能力 (硬體或軟體)

其他

一般使用的作業系統

價格範圍


優點

伺服器防火牆的優點包括:

  • 高效能
    在規模剛好的伺服器上執行時,這些防火牆可以提供高層級的效能。

  • 服務的整合與合併
    伺服器防火牆可利用它們所執行之作業系統的各種功能。例如,在 Microsoft Windows Server™ 2003 作業系統上執行的防火牆軟體,能利用作業系統內建的網路負載平衡功能。此外,防火牆還能再度利用 Windows Server 2003 作業系統,當作 VPN 伺服器使用。

  • 可用性、備援功能和擴充性
    由於此防火牆是在標準個人電腦上執行,因此具備其所執行之個人電腦平台所具備的所有可用性、備援功能和擴充性。

缺點

伺服器防火牆的缺點包括:

  • 需要高階硬體
    為求高效能,多數伺服器防火牆產品在中央處理器 (CPU)、記憶體和網路介面方面,皆需要高階硬體。

  • 易受弱點影響
    因為伺服器防火牆產品都在熟知的作業系統上執行,因而易受作業系統本身以及伺服器上所執行的其他軟體之弱點影響。雖然對硬體防火牆來說也有這樣的問題,但攻擊者並不像熟悉大多數伺服器作業系統那般,熟悉硬體防火牆的作業系統。

內部防火牆用法

內部防火牆的存在目的,是要控制內部網路內外的存取。使用者類型可能包括:

  • 受信任的
    組織的員工,可能是要連出外圍區域或網際網路的內部使用者,比如分公司員工的外部使用者,遠端使用者或在家工作的使用者。

  • 半信任的
    組織的商業夥伴,與不受信任的使用者相比,有較高的信任層級。不過比起組織員工所用的,通常是較低層級的信任程度。

  • 不受信任的
    例如,組織公開網站的使用者。

來自網際網路不受信任的使用者,理論上應該只能存取您外圍區域的網站伺服器。如果它們需要存取內部伺服器 (例如檢查庫存量),則受信任的 Web 伺服器會詢問其行為,因此絕不可能允許不受信任的使用者通過內部防火牆。

選取要用在這種防火牆類別時,有幾點問題需要考慮。下表重點指出這些問題。

表 6 網際網路防火牆類別選擇問題

問題

這種防火牆的特徵

如安全性系統管理員所指定的必要防火牆功能

提升安全性可能會造成所需安全性程度、使用功能的成本及可能的效能折損情況之間的平衡問題。雖然很多組織會希望這種防火牆服務擁有最高的安全性,但是有些則因為整體效能會因此減低而無法接受。以量非常大的非電子商務網站為例,在較高層級藉由使用靜態封包篩選,而不是應用程式層篩選所得到的輸送量為基礎下,可以允許較低層級的安全性。

而裝置是否為專用實體裝置,提供其他功能或是實體裝置上的邏輯防火牆

取決於所需效能,資料敏感性及從外圍區域需要多頻繁的存取。

而企業管理架構所指定的裝置管理需求。

一般會使用某種形式的記錄方式,而通常也需要事件監視機制。您可能在此選擇不允許遠端管理,以避免惡意的使用者由遠端來管理此裝置。

輸送量需求很可能是由組織內的網路及服務系統管理員所決定

這些會依每個環境而有所不同,但在裝置或服務器上的硬體功能,以及所使用的防火牆功能,會決定整體可用的網路輸送量。

可用性需求

要再次強調的是,這一點仍然依 Web 伺服器的存取需求而定。如果起初使用它們來處理提供網頁即可滿足的資訊要求,則進入內部網路的流量將會很低。然而,就電子商務的情況而言,需要高層級的可用性。


內部防火牆規則

內部防火牆會監控受信任的外部及內部區域。內部防火牆的技術需求比外圍防火牆的技術需求複雜許多,這是因為這些網路之間的流量類型及流量的複雜性所引起的。

這一節裡我們要探討「堡壘主機」。Bastion 主機是位於外圍網路的伺服器,為內部及外部使用者提供服務。堡壘主機的範例包括網頁伺服器及 VPN 伺服器。一般來說,您的內部防火牆需要透過預設值或設定,實作以下規則:

  • 預設情況下封鎖所有封包。

  • 在外部介面中,封鎖顯然來自於內部 IP 位址的封包,以避免詐騙。

  • 在內部介面中,封鎖顯然來自外部 IP 位址的對外封包,以限制內部攻擊。

  • 允許 UDP 查詢,並從內部 DNS 伺服器回應到 DNS resolver 堡壘主機。

  • 允許 UDP 查詢,並從 DNS resolver 堡壘主機回應到內部 DNS 伺服器。

  • 允許從內部 DNS 伺服器到 DNS resolver 堡壘主機的 TCP 查詢,還包括對這些查詢的回應。

  • 允許從 DNS resolver 堡壘主機到內部 DNS 伺服器的 TCP 查詢,還包括對那些查詢的回應。

  • 允許 DNS 通告堡壘主機與內部 DNS 伺服器主機之間的區域傳輸。

  • 允許從內部 SMTP 郵件伺服器到對外 SMTP 堡壘主機的外送郵件。

  • 允許從內部 SMTP 堡壘主機到內部 SMTP 郵件伺服器的內送郵件。

  • 允許從 VPN 伺服器後端產生的流量抵達內部主機,以及傳回 VPN 伺服器的回應。

  • 允許內部網路上到 RADUIS 伺服器的驗証流量,以及傳回 VPN 伺服器的回應。

  • 從內部用戶端輸出的網頁存取,都會通過一個 Proxy 伺服器,還有回傳到用戶端的回應。

  • 支援 Microsoft Windows 2000/2003 在外圍網域及內部網域網路區段之間的網域驗証流量。

  • 至少支援五個網路區段。

  • 在它們連接的所有網路區段之間 (電路層級防火牆 - 層級 3 及層級 4),執行封包的狀態式檢查。

  • 支援像是狀態式錯誤後移轉的高可用性功能。

  • 在所有連接的網路區段之間,不使用網路位址轉譯 (NAT) 的路由傳輸。


硬體需求

軟體及硬體防火牆的硬體需求並不相同,如下:

  • 硬體防火牆
    這些裝置通常會在自訂的硬體平台上執行特定程式碼。硬體防火牆的規格(及價格)通常依所能處理的連線數以及所用軟體的複雜度而成比例改變。

  • 軟體防火牆
    這些也會依照同時連線數及防火牆軟體的複雜性來設定。還有可以根據支援的連線數,計算伺服器處理器速度、記憶體大小及所需磁碟空間等等的計算器。您應該考慮其他可能會在防火牆伺服器上執行的軟體,比如負載平衡及 VPN 軟體。此外,還要考慮向上及向外擴充防火牆規模的方法。這些方法包括藉由增加額外的處理器,記憶體及網路卡來提升系統效能,並且使用多個系統及負載平衡,分散處理防火牆的工作。有些產品會利用對稱式多處理 (Symmetrical Multiprocess,SMP) 以提升效能。Windows Server 2003 的網路負載平衡服務,能為部份軟體防火牆產品提供容錯功能、高可用性、效率及效能改進。


可用性

要提升防火牆的可用性,可以實作為單一具備重覆元件或不具備重覆元件的防火牆裝置,或是作為合併部分錯誤後移轉及/或負載平衡機制的重覆防火牆。這些選項的優缺點會呈現在下列子章節。

沒有重複元件的單一防火牆

沒有重覆元件的單一防火牆描繪於下列圖例:

沒有備援元件的單一防火牆

[圖 2]
沒有備援元件的單一防火牆


優點

單一防火牆的優點包括:

  • 低成本
    因為只有一個防火牆,硬體及授權成本都很低。

  • 簡化的管理
    管理工作已經過簡化,因為整個站台或企業只有一個防火牆。

  • 單一記錄來源
    所有的流量記錄都集中到一個裝置。

缺點

沒有備援元件的單一防火牆其缺點包括:

  • 單點失敗
    針對輸入和 (或) 輸出存取,會有單點失敗。

  • 可能的傳輸瓶頸
    單一防火牆可能會是傳輸瓶頸,端視所需的連線數和輸送量而定。

有備援元件的單一防火牆

有備援元件的單一防火牆描繪於下面圖例:

沒有備援元件的單一防火牆

[圖 3]
沒有備援元件的單一防火牆


優點

單一防火牆的優點包括:

  • 低成本
    因為只有一個防火牆,硬體及授權成本都很低。電源供應器之類的備援元件成本並不高。

  • 簡化的管理
    管理工作已經過簡化,因為整個站台或企業只有一個防火牆。

  • 單一記錄來源
    所有的流量記錄都集中到一個裝置。

缺點

單一防火牆的缺點包括:

  • 單點失敗
    依備援元件的數量不同,仍然有可能在輸入和 (或) 輸出存取時,發生單點失敗。

  • 成本
    比沒有備援元件的防火牆成本要來得高,但也有可能需要更高階的防火牆,才能達到備援效果。

  • 可能的傳輸瓶頸
    單一防火牆可能會是傳輸瓶頸,端視所需的連線數和輸送量而定。

容錯防火牆

容錯防火牆組包含一個能讓兩個防火牆進行雙工處理的機制,詳見下面圖例。

容錯防火牆

[圖 4]
容錯防火牆


優點

容錯防火牆組的優點包括:

  • 容錯
    使用一對對的伺服器或裝置,可以協助提供需要的容錯等級。

  • 集中流量記錄
    流量記錄更為可靠,因為單獨一個防火牆或兩個防火牆都能將活動記錄到另一個防火牆或獨立的伺服器上。

  • 可能的狀態共用
    依產品而定,這種組合裡的防火牆有可能可以共同工作階段的狀態。

缺點

容錯防火牆組的缺點包括:

  • 增加的複雜性
    這種類型的解決方案,由於網路流量多重路徑的本質,在設定及支援上都更為複雜。

  • 複雜的設定
    不同組的防火牆規則,若未正確設定,有可能會導致安全性漏洞及支援問題。

  • 增加的成本
    由於至少需要兩個防火牆,成本會比單一防火牆組合還要高。

容錯防火牆設定

在實作容錯防火牆組時 (通常稱為叢集),主要有兩個方法,如下面的章節所述。

主動/被動容錯防火牆組

在主動/被動容錯防火牆組中,是由一個裝置(也稱為主動節點)來處理所有流量,而另一個裝置(被動節點)並不會傳送流量,也不會執行篩選,而會隨時監控主動節點的狀態。一般來說,每一個節點的可用性和 (或) 其連線狀態會與另一個節點通訊。這種通訊常常稱為活動訊號。活動訊號是指每個系統隔幾秒就會發出訊號,以確保連線正由協力節點處理。如果被動節點沒有從主動節點接到活動訊號,時間超過使用者所指定的特定間隔,那就表示主動節點已經故障,接下來被動節點就會扮演主動節點角色。主動/被動容錯防火牆描繪於下列圖例。

主動/被動容錯防火牆組

[圖 5]
主動/被動容錯防火牆組


優點

主動/被動容錯防火牆組的優點包括:

  • 簡單設定
    這項設定比下一個選項 (主動/主動) 更容易設定及進行疑難排解,因為任何時候同時只會有一個網路路徑是主動的。

  • 可預測的錯誤後移轉負載
    因為整體流量負載會在錯誤後移轉到被動節點,所以預期需要管理的被動節點流量很容易規劃。

缺點

主動/被動容錯防火牆組的缺點包括:

  • 無效率的使用量
    主動/被動容錯防火牆組的效率不佳,因為被動節點在正常運作下,無法對網路提供任何有用的功能,而且無法增加輸送量。

主動/主動容錯防火牆組

在主動/主動容錯防火牆組裡,會有兩個以上的節點,主動接聽所有送到一個虛擬 IP 位址的要求,而這個 IP 是所有節點所共用。透過使用中容錯機制的特有演算法,或透過靜態使用者設定,可將負載分散於節點之間。無論是那個方法,結果會是每個節點都會主動篩選不同的流量。在有一個節點失敗的事件中,存下的節點會將失敗的節點先前所承擔的處理負載分配掉。主動/主動容錯防火牆組畫在下面圖裡:

主動/被動容錯防火牆組

[圖 6]
主動/被動容錯防火牆組


優點

主動/主動容錯防火牆組的優點包括:

  • 更有效率
    因為所有防火牆都能提供服務給網路,使用起來就更有效率。

  • 更高的輸送量
    在正常運作下,這種設定相較於主動/被動設定可以處理更高的流量,因為所有防火牆都能同時提供服務給網路。

缺點

主動/主動容錯防火牆組的缺點包括:

  • 有可能會超載
    如果有一個節點故障了,其餘節點上的硬體資源有可能會不足以處理全部的輸送量需求。了解存留的節點在有節點故障時,要承擔額外的工作負載而可能會發生效能下降的狀況,並照著這一點來計劃十分重要。

  • 增加的複雜性
    因為網路流量可能會通過多個路由,疑難排解因此變得更複雜。


安全性

防火牆產品的安全性最為重要。雖然防火牆安全性並沒有工業標準,但廠商以外的獨立組織 International Computer Security Association (ICSA) 執行一套認證程式,目標是要測試買得到的防火牆產品的安全性。ICSA 測試了現在市場上可以買到的眾多防火牆產品。如需更多資訊,請參考下列網址:

www.icsalabs.com

一定要特別小心,以確保防火牆能夠達到需要的安全性標準,要達到這一點有個方法,那就是選擇通過 ICSA 憑証的防火牆。此外,應該要選擇有實用記錄的防火牆。網際網路上有一些安全性弱點的資料庫。您應該查看這些資料庫,取得您考慮要購買的產品弱點相關資訊。不幸的是,所有產品 (硬體及軟體) 都有錯誤。除了決定影響您考慮購買的產品錯誤數量及嚴重性之外,評估廠商對這些已經暴露的弱點的回應也很重要。

擴充性

這一節將討論防火牆解決方案的擴充性需求。防火牆的擴充性主要由所用裝置的效能特性來決定。選擇能夠調整規格以符合所面臨實作案列需求的防火牆,是很明智的。有兩個達到擴充性的基本方法:

  • 垂直擴充 (向上擴充)
    不論防火牆是硬體裝置或在伺服器上所執行的軟體解決方案,都可藉由增加記憶體、CPU 處理能力以及網路介面的輸送量,來達成不同程度的擴充性。然而,每個裝置或伺服器,在垂直擴充時都有其上限。例如,要是您採購了一台有四個 CPU 插槽的伺服器,而您一開始只裝兩個,那麼您就只能再增加兩個 CPU。

  • 水平擴充 (橫向擴充)
    一旦伺服器經過向上擴充到其限制時,水平擴充就變得相當重要。大部分防火牆(硬體及軟體)都可以透過使用某種形式的負載平衡,來進行水平擴充。在這樣的案例中,幾台伺服器可以整合到一個叢集中,而網路上的用戶端會將它們視為一台伺服器。這個案列基本上與本單元的<可用性>一節裡所描述的主動/主動叢集相同。用來提供這項功能的技能,可能跟之前所描述的一樣,也有可能不相同,而且要視廠商而定。

硬體防火牆要向上擴充很難。不過,有些硬體防火牆製造商提供橫向擴充的解決方案,因為他們的裝置可以堆疊成單一且負載平衡的設備來操作。

部份軟體防火牆的設計,是可以使用多個處理器來向上擴充。多重處理是由使用中的作業系統所控制,防火牆軟體不需要知道有額外的處理器;不過,除非防火牆軟體可用多工方式來作業,否則可能無法發揮多重處理器的所有優點。與硬體或裝置類型防火牆不同的是,硬體、裝置類型防火牆一般都會受限以製造時內建的硬體限制,而這種方法能夠在單一或重覆的裝置上擴充。大部分裝置類型防火牆都以裝置本身能夠處理的同時連線數來分類。要是連線需求超過裝置的固定擴充模型後,硬體裝置通常都需要加以替換。

正如同我們所討論過的,容錯功能有可能會內建在防火牆伺服的作業系統裡。至於硬體防火牆,容錯可能造成額外的花費。

整併

整併指的是將防火牆服務併入另一個裝置,或是將其他服務併入防火牆中。整併的好處包括:

  • 較低採購價格
    將防火牆服務合併到其他服務中,例如合併到路由器上,就能省下硬體裝置的成本,不過仍然要採購防火牆軟體。同樣地,要是其他服務能夠併入防火牆之內,就能省下額外硬體的成本。

  • 降低庫存量及管理成本
    降低硬體裝置的數目,即可降低營運成本。由於需要更少的硬體升級,配線得以簡化,管理起來也更容易。

  • 較高的效能
    依所達成的合併而定,效能有可能會提升。例如,將網頁伺服器快取合併到防火牆裡,可以去掉額外的裝置,而不同的服務之間能以比乙太網路線還要快的速度,進行高速通訊。

整併範例包括:

  • 新增防火牆服務至路由器
    大多數路由器可以整合防火牆服務。這項防火牆服務的能力在低成本路由器中可能很簡單,但高階路由器通常會有功能強大的防火牆服務。您或許至少會有一台路由器來連結內部網路裡的乙太網路網路區段。藉由將防火牆合併到路由器裡,您可以節省成本。即使您加裝的是特定的防火牆裝置,在您的路由器裡加上部分防火牆功能,可以協助限制外部入侵行為。

  • 新增防火牆服務至內部交換器
    根據所選的內部交換器而定,可能可以新增內建防火牆,以降低成本並改進效能。

考慮要將其他服務合併到提供防火牆服務的相同伺服器或裝置,您必須格外謹慎以確保使用特定服務並不會降低防火牆可用性、安全性或管理性。效能考量也很重要,因為其他服務所產生的負載會降低防火牆服務的效能。

另一個將服務合併到裝載防火牆服務的相同裝置或伺服器的方法是,將防火牆硬體裝置合併到交換器的 Blade 上。這個方法通常比任何類型的獨立防火牆還要便宜,而且能利用交換器的可用性功能,比如雙重電源供給。這樣的設定因為並未牽涉到其他裝置,也很容易管理。此外,這項解決方案通常執行效率更快,因為它使用了交換器上的匯流排,這比使用外部電纜線還要快上許多。

標準及指導方針

大部分使用網際網路通訊協定版本 4 (IPv4) 的網際網路通訊協定,可由防火牆加以保護。其中包含低階通訊協定 (例如 TCP 與 UDP) 及高階通訊協定 (例如 HTTP、SMTP 與 FTP)。任何考慮中的防火牆產品都應該重新檢討,以確定能夠支援需要的流量類型。部份防火牆也能解譯 GRE,GRE 是用於一些 VPN 實作當中的點對點通道通訊協定 (Point-to-Point Tunneling Protocol,PPTP) 的壓縮通縮協動協定。

有些防火牆有內建的應用程式層篩選器,供 HTTP、SSL、DNS、FTP、SOCKS v4、RPC、SMTP、H. 323,以及郵局通訊協定 (Post Office Protocol,POP) 等協定使用。

即使您正在使用 Ipv4,也應該仔細思考 TCP/IP 協定及 Ipv6 的未來,想想這是否為防火牆的必備需求。

總結

本單元提供了成功選擇防火牆產品的實用程序。這個程序涵蓋防火牆設計的所有層面,包括要達成解決方案所需的各種不同評估及分類程序。

沒有百分之百安全的防火牆。確保網路不會受到外部攻擊的不二法門,就是切斷所有系統和網路之間的連線。這樣的結果雖然會有個相當安全的網路,但實際上卻無法使用。防火牆讓您在將網路連接到外部網路,或是在結合兩個內部網路時,能夠實作適當層級的安全性保護。

本單元所勾勒的防火牆策略及設計程序,應僅視為整體安全策略的一部分。如果網路的其他部分有弱點,再強的防火牆也無法發揮作用。安全性必須套用到網路的每一個元件,且必須識別每一個元件在環境中的風險,然後透過安全性原則的定義來預防。

參考資料

更多關於防火牆服務的設計部署資訊,可以在下列 URL 找到:

如需更多關於 Window Server 2003 的安全性資訊,請參閱「Windows Server 2003 Security Center」單元,URL 如下: www.microsoft.com/technet/security/prodtech/windows/win2003/

如需 Microsoft Internet Security & Acceleration Server 防火牆及網頁快取產品的更多資訊,請造訪下列 URL: www.microsoft.com/isaserver/

如需 Microsoft 用來通知訂閱者,關於 Microsoft 產品安全性問題資訊的免費 Email 通知服務,請造訪 Microsoft Security Notification Service 網站,URL 如下: www.microsoft.com/technet/security/bulletin/notify.asp

SANS (SysAdmin, Audit, Network, and Security) Institute 的安全資源可在下列網站取得: www.sans.org

Computer Emergency Response Team (CERT) 組織會記錄並發行安全性警告,而且是安全專家聚集的中心,URL 如下: www.cert.org


顯示: