外圍防火牆設計

更新日期: 2004 年 2 月 6 日

本頁內容

本單元內容
目標
適用於
如何使用本單元
設計指導方針
系統攻擊及防禦
裝置定義
防火牆功能
防火牆類別
類別 1 - 個人防火牆
類別 2 - 路由器防火牆
類別 3 - 低階硬體防火牆
類別 4 - 高階硬體防火牆
類別 5 - 高階伺服器防火牆
外圍防火牆用法
外圍防火牆規則
硬體需求
防火牆屬性
安全性
擴充性
效能
整併
標準及指導方針
總結
參考資料

本單元內容

本單元能協助您為組織周邊網路選擇適合的防火牆產品。單元裡會介紹各種不同類別的防火牆,還會強調最重要的防火牆功能。也能作為您在決定自己需求時的指導方針,協助您選擇最合適的產品。

目標

透過此單元即可:

  • 識別您的外圍防火牆所需要的功能。

  • 替防火牆產品分類。

  • 選擇最適合您的外圍防火牆產品。


適用於

本單元適用於下列技術:

  • Ethernet/IP 防火牆產品


如何使用本單元

開始閱讀本單元之前,您應該先了解 TCP/IP 通訊協定,您的網路架構,特別是您的外圍或 DMZ 網路的裝置。本單元也有另外一個用途,可用來找出哪些從網際網路輸入的流量是有效,而哪些是無效的。

本單元中所呈現的設計指導方針,會協助您在將如成長及成本列入主要考慮時,從防火牆中選擇您所需要的功能。本單元也會提供您一些最具殺傷力的入侵行為的資訊,讓您能決定什麼樣的攻擊最有可能在您的環境裡發生,而且要如何防止入侵行為。不只是透過安全防火牆,還要讓伺服器設定更為嚴密,或與您的 ISP 商討相關控制辦法。本單元也會定義不同分類的防火牆,而在使用設計指導方針之後,您就能選擇等級最合適的防火牆來滿足您的需求。以本單元中所提供的知識以及技術詞彙,您應能與防火牆製造商討論他們所能提供的產品,還能評估他們是否符合您的需求。

設計指導方針

內外部使用者所造成的網路入侵行為日益頻繁,建立防止這些入侵行為的防禦措施勢在必行。雖然防火牆能保護您的網站,不過它也需要花錢,而且還會阻礙流量,所以您應該儘可能尋找最符合成本效益且最具效率的防火牆。

網路架構

在企業網路架構中,通常會有三個區域:

  • 邊界網路
    這個網路會透過路由器直接面對網際網路,而由路由器以基本網路流量篩選的形式,提供初始層的保護。路由器會經由外圍防火牆將資料餵送到周邊網路。

  • 周邊網路
    這個網路,通常稱為非軍事區網路 (Demilitarized Network,DMZ),或邊緣網路,會將連入的使用者連結到網頁伺服器或其他服務。然後網頁伺服器會透過內部防火牆連線到內部網路中。

  • 內部網路
    內部網路會連結內部伺服器,例如 SQL Server 和內部使用者。

這些網路描繪於 [圖 1]。

企業網路架構

[圖 1]
企業網路架構

設計觀點

防火牆會檢查連入的 IP 封包,並且阻擋該些它認為是入侵性的封包。部份阻擋行為可以在預設特定封包不合法的情況下辨識出來,其他封包則可以透過設定防火牆來加以阻擋。TCP/IP 通訊協定是在多年前所設計的,並沒有任何防駭客入侵的概念,而且還有許多弱點。例如,ICMP 通訊協定是設計作為 TCP/IP 當中的單一訊號機制,但對濫用卻不設限,而可能導致像是拒絕服務 (Denial-of-Service,DoS) 攻擊這類的問題。外圍防火牆的能力比起內部防火牆,更加侷限,因為連入的流量由於合法目的地是網頁伺服器或其他特殊服務,而受到的限制更多。

可用的防火牆有許多種,部份不但價格上有差異,在功能及效能上也有所不同。一般來說,防火牆愈貴,功能也愈強大齊全。在本單元稍後章節中,會針對防火牆分門別類而加以區別,但在選擇防火牆之前,您應該將下列因素列入考慮來決定自己的需求:

  • 預算

  • 現有設備

  • 可用性

  • 擴充性

  • 所需功能

預算

可用的預算為何?環境中的每個防火牆都應該提供盡可能最高的服務層級,並同時要合乎成本效益,但請留意要是防火牆因為成本考量而限制太多,會您的公司造成傷害。考量一下要是服務遭到拒絕服務攻擊而暫停,您的組織必須付出的停機成本。

現有設備

現有設備可用來節省成本嗎?環境中可能已經有能重複利用的防火牆,還有可加裝防火牆功能的路由器。您的 ISP 可能會常常會對您的連線實施防火牆限制,比如「限制傳輸率」,也就是說在您的網路同時受到許多其他電腦轟炸時,限制傳送給您之特定封包的傳輸率,以降低分散式拒絕服務攻擊 (DDoS)。請詢問您的 ISP 他們是否根據 RFC 1918 及 2827 執行篩選。

可用性

隨時都需要使用防火牆嗎?要是您提供使用者想要每天連線 24 小時的公開網頁伺服器設備,您就需要幾乎百分之百的存留時間。任何防火牆總是會有故障的時候,所以您必須緩和這樣的情況。防火牆的可用性能以兩種方法來提升:

  • 重複元件
    複製一些像是電源供給這類容易故障的元件,可改進防火牆的恢復力,因為第一個元件就算是故障了也不會對運作造成影響。低成本防火牆通常不會有任何重複備援的選項,而對防火牆增加恢復力會提高成本,卻沒辦法提升的處理能力。

  • 重複裝置
    複製防火牆裝置能提供具備完全恢復力的系統,但是同樣也要付出可觀的成本,因為這也需要完全複製網路電纜線,以及複製路由器裡或防火牆所連接之交換器的連線能力。不過,視防火牆而定,也有可能會讓輸送量倍增以為補償。理論上從最小到最大的所有防火牆都能夠加以複製,但實際上還需要一套軟體切換機制,而較小型的防火牆可能並沒有這樣的機制。

擴充性

防火牆的輸送量需求為何?輸送量可以從兩個方面來看,每秒傳輸速率 (bps) 及每秒傳送的封包。如果是第一次嘗試,您可能不會知道輸送率,而要是嘗試成功了,從網際網路而來的輸送量就有可能會迅速竄升。為了應付這樣的改變,您得選擇可以隨著輸送量增加而擴充的防火牆產品,不論是透過增加更多元件到防火牆裡,或是平行安裝另一個防火牆都行。

功能

需要哪些防火牆功能?根據您組織內部所提供的服務的風險評估,您可以決定需要哪些防火牆功能,以保護提供相關服務的資產。如果需要虛擬私人網路 (Virtual Private Networks,VPN),將會影響到設計。

系統攻擊及防禦

這一節裡提供一些較為人知的系統攻擊摘要,還有使用防火牆服務作為第一道防線的理由。

外部攻擊

網際網路是那些想對公司造成不利影響、竊取商業機密以取得競爭優勢的人的避風港。要是您安裝一個外圍防火牆,並查看一下入侵記錄,您會驚訝於其數量之大。這些入侵行為大部份都只是偵測看看您的機器是否有回應,而且找出您執行哪些服務。這看起來可能無傷大雅,但要是攻擊者探索到您的機器,在知道機器弱點之後,他就可以攻擊您的服務。

內部攻擊

除了提供保護防止來自網際網路的攻擊之外,機密資訊也要加以保護。大部份組織都有應該加以保護的機密資訊。不能讓包括雇員、廠商、承包商及客戶在內的內部網路特定使用者取得。雖然外圍防火牆主要是用來防止外部侵入行為,有相關知識的內部使用者也有可能會嘗試由網際網路進入。

入侵類型

入侵威脅有許多種形式,而要在這裡描述這些威脅相當有限,因為每天都會產生新的威脅。部份入侵行為,比如 Ping 伺服器位址,可能看似無害,但是在探索到伺服器的存在之後,駭客就會嘗試更嚴重的攻擊。換句話說,所有入侵行為都應該視為是有害的。一些最重大的入侵事件包括:

  • 封包竊聽者
    竊聽者是加裝在 LAN 上的軟體應用程式或硬體裝置,能從 Ethernet 框架中擷取資訊。這些系統原先的目的是要進行疑難排解,及分析 Ethernet 流量,或是更深入探究框架,以檢查個別 IP 封包。竊聽者是以隨機的模式進行;也就是說,他們會竊聽整個實體線路上的每一組封包。許多應用程式,諸如 Telnet,是以竊聽產品能夠讀取的純文字傳送使用者名稱及密碼資訊,所以有竊聽軟體的駭客就能存取許多應用程式。

    透過防火牆並不能預防竊聽,因為竊聽者並不會產生網路流量。有很多不同的方法可以反制竊聽,主要是透過使用增強式加密的密碼,但這不在本單元討論範圍之內。

  • IP 詐騙
    IP 封包的來源位址為隱藏傳送者的身分而經過變更時,就會發生 IP 詐騙。因為網際網路內的路由操作僅會使用目的位置來傳送封包上路,而忽略來源位址,所以駭客可以送出毀滅性的封包到您的系統上,偽裝來源讓您不知道封包來自何方。詐騙並不一定是毀滅性的,但卻是入侵行為即將到來的訊息。位址可能在您的網路之外 (以隱藏入侵者的身分) 或者有可能是您所信任,擁有存取權的內部位址之一。詐騙通常用於拒絕服務 (DoS) 攻擊,我們會在本單元稍後說明。

    加裝下列任一機制,即有可能防止 IP 詐騙:

    • 存取控制
      拒絕從網際網路連入,且來源位址是在您內路網路的封包存取。

    • RFC 2827 篩選
      確認您的連出流量裡,沒有發生 IP 詐騙是很重要的。經偽裝的封包一定是來自於某個人的網路;您得確認您的網路並未被用於偽裝的來源。所以,您應該避免所有從您的網路連出的流量,並沒有您本身配置當中的來源位址。您的 ISP 也能夠從您的網路拋棄偽裝的封包,方法是檢查來源位址是否屬於您的網路。這項技術稱為 RFC 2827 篩選;如需如何實行的相關資訊,請洽您的 ISP。篩選輸出流量對您沒有任何好處,但另一個執行類似篩選的網路,可防止對您的網路所發動的詐騙攻擊。現在大部份防火牆都有能力避免輸入的 IP 詐騙。

  • 拒絕服務攻擊
    拒絕服務 (DoS) 是最難防備的一種攻擊。它們與其他類型的攻擊不同的是,它們並不會造成您網路永久的傷害;相反的,DoS 攻擊會嘗試藉由轟炸特定電腦 (伺服器或網路裝置),停止網路的功能,或是降低網路連結到特定地點的輸送量,使此其效能惡化到足以引起客戶反感,而造成公司生意上的損失。分散式 DoS (Distributed DoS) 是一種由許多其他電腦所發動的攻擊,會集中轟炸您的電腦。攻擊的電腦不一定需要自己發動攻擊,但由於它們自身安全上的弱點,會允許自己遭受駭客滲透。駭客會引導這些電腦傳送大量的資料給您的網路,擠爆與您 ISP 的連線或您的裝置之一。

  • 應用程式層攻擊
    應用程式層攻擊常常是最為公開的攻擊,而且通常會利用比如網頁伺服器及資料庫伺服器等應用程式中的知名弱點。這個問題,特別是對網頁伺服器來說,在於它們本來就設計成讓未知且不能信任的公眾使用者存取。大部份的攻擊都是針對產品的已知弱點,所以最佳的防禦是安裝製造商提供的更新。惡名昭彰的「結構化查詢語言 (Structured Query Language,SQL)」Slammer 蠕蟲在 2003 年 1 月釋出後,很短的時間內就影響了 35,000個系統。Slammer 蠕蟲利用的是 Microsoft® SQL Server 一個已知的問題。為此 Microsoft 於 2002 年 8 月發行了一個修補程式。這個蠕蟲就利用許多系統管理員還沒有套用建議的更新,也沒有合適防火牆 (防火牆能丟棄目的地為這個蠕蟲所使用連接埠的封包)的事實。防火牆在這些情況不過是擋球網;製造商建議應該要將升級套用到所有產品,特別是要避免應用程式層攻擊的升級。

  • 網路偵察
    網路偵察是指在發動攻擊之前,掃瞄網路以探索有效的 IP 位址、網域名稱系統 (DNS) 名稱,以及 IP 連接埠。雖然網路偵察本身無害,不過要是有人發現了正在使用的位址,就能藉此發動惡意攻擊。一般的偵察行為包括掃瞄接聽的傳輸控制協定 (Transport Control Protocol,TCP) 及使用者資料包通訊協定 (User Datagram Protocol,UDP) 連接埠,以及其他眾所皆知的接聽連接埠,如 Microsoft SQL Server 所使用的接聽連接埠、網路基本輸入/輸出系統 (NetBIOS)、超文字傳輸協定 (Hypertext Transfer Protocol,HTTP) 以及 Simple Mail Transport Protocol (SMTP)。這類偵察行為都會尋求回應,這會告知駭客伺服器的存在,而且正執行當中一項服務。這些偵察行為大多可透過邊界路由器或防火牆來防止。許多服務都是預設存在的,請關閉任何不受要求的服務,不過關閉一些這類服務,可能會限制網路的診斷能力。

  • 病毒/特洛伊木馬程式
    防火牆通常無法偵測病毒,因為它們經常是內嵌在電子郵件附件當中。傳統病毒傾向只損害它們所感染的裝置,但現今的病毒通常都會複製,並且損害其他本機電腦,或者透過傳送多封夾帶病毒的電子郵件,散播到網際網路上。這些病毒大多會在受到感染的裝置上安置特洛伊木馬程式。特洛伊木馬程式並不會造成直接的傷害,而且是會從安裝的裝置上,透過網際網路將資訊傳回給駭客。然後駭客在知道裝置上正在執行什麼軟體,弱點在那裡之後,就可以對該裝置發動鎖定目標的攻擊。雖然對抗病毒的主要防禦一向都是在裝置上維持最新的防毒軟體,不過外圍防火牆在限制特洛伊木馬程式的效率上,也能發揮功效。


裝置定義

防火牆是用來控制兩個網路之間 IP 流量的機制。防火牆裝置一般都會在 OSI 模式的 L3 運作,然而有些模式也可以在更高的層級運作。

防火牆通常提供下列好處:

  • 保護內部伺服器不受網路攻擊。

  • 強化網路使用及存取原則。

  • 監視流量並且在偵測到可疑的模式時,發出警告。

有一點很重要的是,防火牆只能緩和特定類型的安全性風險。防火牆一般都不能避免對有軟體弱點的伺服器所造成的傷害。防火牆應該實作為組織整體安全性架構裡的一部份。

防火牆功能

依防火牆所支援的功能而定,可使用各種不同的技術來允許或阻擋流量。這些技術會以防火牆功能為基礎,提供不同程度的保護。下面依複雜度順序列出防火牆功能:

  • 網路介面卡輸入篩選器

  • 靜態封包篩選器

  • 網路位址轉譯 (NAT)

  • 狀態檢查

  • 電路層檢查

  • Proxy

  • 應用程式層篩選

一般來說,提供複雜功能的防火牆也支援較簡單的功能。不過,您在選擇防火牆時,應該仔細閱讀廠商資訊,因為廠商提及的功能與防火牆的實際功能間,可能會有細微的差距。要選擇防火牆時,您得詢問相關功能,還要加以測試以確定產品確實能執行產品規格上的功能。

網路介面卡輸入篩選器

網路介面卡輸入篩選器會檢查來源或目的位址,以及連入封包內的其他資訊,並且會阻擋這個封包或允許它通過。它只能套用到連入的流量,而不能控制連出的流量。它會比對 UDP 及 TCP 的 IP 位址和埠號,還有流量的通訊協定、TCP、UDP 及標準路由封裝 (GRE)。

對保護網頁伺服器的外圍防火牆來說,合法的連入流量應該只能存取網頁伺服器的 IP 位址,而且通常會限定埠號,諸如 HTTP 為 80 或 HTTPS 為 433。雖然外圍防火牆應該會有這項控制,這應控制也應該加到邊界路由器中。

網路介面卡輸入篩選,能夠快速有效地拒絕符合在防火牆所設定準則的標準的連入封包。不過,這種形式的篩選可以輕易避開,因為它只會比對 IP 流量的標頭,所以要多下點功夫在對要篩選之流量會遵守 IP 標準,而且不會被刻意改造以躲開篩選的基本假設上。

靜態封包篩選器

靜態封包篩選器與網路介面卡篩選器相似之處在於,它們都只比對 IP 標頭以決定是否要允許流量通過介面。然而,靜態封包篩選器可以控制連到介面的輸入/輸出通訊。此外,靜態封包篩選器一般都會允許比網路介面卡篩選還多一項功能,那就是檢查在 IP 標頭上是否有設定經過認可 (ACK) 的位元。ACK 位元會提供封包是否為新的要求,或者是對原先要求的回覆要求的資訊。ACK 位元不會驗證封包是否原先就是由接受封包的介面所傳送,只會檢查是否進入介面中的流量,是根據 IP 標頭規定而傳送回來的。

這項技術只能套用於 TCP 通訊協定而不能套用於 UDP 通訊訊定。和其他的網路介面卡輸入篩選一樣,靜態封包篩選速度很快但能力有限,且可以藉由特別指定的流量迴避開。

就跟網路介面卡輸入篩選一樣,靜態封包篩選除了能實作在外圍防火牆以外,也能實作在邊界路由器上。

網路位址轉譯

在全球的 IP 位址範圍中,特定位址範圍被指派為「私人位址」。這些主要是用在您的組織中,而且在網際網路上沒有任何意義。預定要傳送到這些 IP 位址的流量,不能經網際網路路由,所以指派一個私人位址給您的內部網路裝置,能提供一些對抗入侵的保護。不過這些內部裝置常常自己也要存取網際網路,所以「網路位址轉譯 (NAT)」會將私人位址轉譯成為網際網路位址。

儘管 NAT 嚴格來說並不是防火牆技術,但能夠隱藏伺服器的真實 IP 位址,以避免攻擊者取得關於伺服器的有用資訊。

狀態檢查

在狀態檢查裡,所有連出的流量都會被記錄在一份狀態表裡。當連線流量回到介面時,狀態表會進行查核以確保流量是來自於這個介面。狀態檢查雖然比靜態封包篩選還要慢一點,不過它能確保流量只有在符合連出流量需求時,才能通過。狀態表包含比如目的 IP 位址,來源 IP 位址,被呼叫的連接埠以及來源主機。

特定防火牆能比其他防火牆,在狀態表裡儲存更多的資訊 (比如傳出及收到的 IP 片段)。當完整的資訊或是零星的破碎資訊傳回時,防火牆可以對這些流量進行檢測。不同廠商的防火牆所實作的狀態檢查功能各有差異,所以您必須仔細閱讀防火牆文件。

狀態檢查功能一般是用來協助緩和網路偵察及 IP 詐騙所造成的風險。

電路層檢查

透過電路層的篩選,就能夠檢查工作階段,而不是檢查連線或封包。工作階段只會在回應使用者要求時才會建立,而且可能包含多個連線。電路層篩選能以例如 FTP 及資料流媒體的次要連線,提供內建的通訊協定支援。一般來說,可以協助緩和網路偵察、DOS 及 IP 詐騙攻擊所造成的風險。

Proxy 防火牆

Proxy 防火牆會要求代表用戶端的資訊。與前述的防火牆技術相比起來,用戶端和服務主機伺服器並不會直接通訊。相反的,Proxy 防火牆會收集代表用戶端的資訊,並將服務收到的資料回傳給用戶端。由於 Proxy 伺服器會針對一用戶端收集這些資訊,它同時也會儲存內容到磁碟或記憶體。若是另一台 Proxy 伺服器要求同一份資料時,這項要求即可由快取記憶中取得,因而減少網路流量與伺服器的處理時間。

對於未加密的工作階段,如 FTP 唯讀及 HTTP 等工作階段,Proxy 防火牆實際上會產生一個對應於用戶端與伺服器兩者的工作階段,兩者間因此不需直接連線。另一方面,在加密工作階段部份,Proxy 伺服器會在允許流量通過前,對加密工作階段的標頭資訊與 SSL 進行驗證。不過,Proxy 伺服器無法檢測通過的資料,因為這部份已受到用戶端與伺服器兩端的加密。

Proxy 伺服器相較於防火牆技術的優點將於下面討論,包括:

  • 用戶端和伺服器間無直接連線
    用戶端和伺服器彼此通常不進行直接連線;即使有直接連線 (如利用 SSL),也會檢查通訊協定表頭和流量。

  • 伺服器可快取經常要求之網站的內容
    快取可節省頻寬並防止不必要的要求離開環境。

  • 驗證通過其中的通訊協定
    除了驗證通訊所經由的埠號外,Proxy 伺服器還會驗證通過它們的通訊協定。最常受檢查的通訊協定,是僅限 FTP 下載、 SSL 及一些文字訊息服務 (例如限定文字,不允許視訊、音訊或是檔案傳輸)。

  • 可根據使用者識別碼設定為轉寄要求
    Proxy 伺服器常常可根據使用者識別碼 (也就是限制只能針對特定使用者加以設定),而不只是來源 IP、連接埠或通訊協定等來設定為轉寄要求。

Proxy 伺服器的主要缺點是,需要太多的處理能力來執行通訊協定檢查。不過,處理能力是一直都在提升,所以這並不是個大問題。然而 Proxy 伺服器仍缺少篩選封包的防火牆能力。在家庭使用者採用高速網路,以及在 ISP 沒有義務提供信任的網際網路服務,使得網際網路連線中無法取得信任的節點變得越來越多的環境來說,檢查通訊協定附加的好處可說是必要的。

Proxy 功能,一般可以協助緩和網路偵察、DOS、IP 詐騙攻擊、病毒/特洛伊木馬攻擊及部份應用程式層攻擊等所造成的風險。

應用程式層篩選

防火牆流量檢查最複雜的層級,就是應用程式層篩選。良好的應用程式篩選器,可讓您分析資料流以用於特定應用程式,並提供應用程式專屬的處理作業,包括在資料通過防火牆時進行檢查、過濾或封鎖、重新導向和修改。

這樣的機制是用來防止比如不安全的 SMTP 命令,或者防止對內部「網域名稱系統 (DNS)」的攻擊。一般來說,協力廠商所提供的內容審查工作,包括病毒偵測、詞彙分析、網站分類等工具也能加到您的防火牆上。

應用程式層防火牆有能力根據其經過的流量來檢查許多不同的通訊協定。不像 Proxy 防火牆通常只檢查 HTTP、FTP、SSL 及下載的網際網路流量,應用程式層防火牆能偵測任何通過防火牆的網際網路流量。例如,應用程式層防火牆能夠只允許發自防火牆邊界內的 UDP 流量通過。若是有網際網路主機要掃瞄可設定狀況的防火牆連接埠,看看是否允許 DNS 流量進入環境中,連接埠掃瞄可能會展示與 DNS 關聯的已知連接埠是開啟的,但是一旦攻擊開始,靜態防火牆就會拒絕要求,因為它們並非來自內部。應用程式層防火牆可以根據流量是否來自內部,動態開啟連接埠。

應用程式層防火牆功能,可以協助緩和 IP 詐騙、DOS、部份應用程式層攻擊、網路偵察以及病毒/特洛伊木馬攻擊等所造成的風險。應用程式層防火牆的缺點與 Proxy 類似,比起可設定狀況和靜態的篩選防火牆,所需要的處理能力更大,而且一般來說通過的流量更慢。使用應用程式層防火牆時最重要的考慮因素是,決定什麼樣的防火牆功能足以供應用程式層使用。

應用程式層功能能夠確保通過特定連接埠的流量是適當的。不像封包篩選或是狀態檢查防火牆,只會檢查連接埠、來源及目的 IP 位置,支援應用程式層篩選的防火牆有能力可以同時檢查資料及前後通過的命令。

大多數支援應用程式層功能的防火牆,只有純文字傳輸,比如 Proxy 感知訊息服務,HTTP 及 FTP。請記住,支援這個功能的防火牆,可以掌管流量進出環境。這項功能的另一個優點是能夠在 DNS 流量通過防火牆進行檢查,以尋找特定的 DNS 命令。這層額外的保護措施,能確保使用者或攻擊者無法在經允許的流量類型中,透露資訊。

如果您的組織有線上商店會收集信用卡號碼和客戶的個人資訊,那麼在保護這些資訊上採取高層預防措施就必須小心謹慎。在這些案例中,高安全性資料的類型會利用 Secure Sockets Layer (SSL) 通訊協定,在使用者的 PC 和您的網頁伺服器之間加密。

將該些搭配使用 SSL 的應用程式層功能的案例加以區分是很重要的。加密 SSL 後,防火牆就不能瞭解通訊協定命令,因為它們是位在加密封包之內。每個支援應用程式層功能的防火牆,處理這個情況的方式都不同,所以列印您所選擇的防火牆說明文件,再仔細閱讀十分重要。

問題在於一旦建立 SSL 工作階段並且交涉加密後,就沒有裝置可以檢查資料。例如,用戶端使用支援 Proxy 類型應用程式層功能的防火牆時,會要求防火牆開啟連線到安全的網頁伺服器。防火牆和伺服器進行初始的 TCP 連線設定,而防火牆會將連線遞交給用戶端以便利用伺服器來設定加密。在連線交給用戶端之後,防火牆就不再擁有檢查資料的能力。

當應用程式層功能公開用於公開網際網路服務時,有下列選項:

  • 在防火牆終止 SSL 流量
    這可讓防火牆檢查連入的 SSL 連線是否為合法的網路傳輸,並在防火牆解密網際網路服務的資料時捨棄傳輸。

  • 重新產生從防火牆到公開之 Web 服務的 SSL 流量
    這在 SSL 通道中有使用基本憑證 (例如純文字使用者名稱和密碼) 的情況下尤其有用。在內部防火牆介面與已公佈的 Web 服務間竊聽網路流量的人,並不能竊聽到流量,因為流量已經過再加密。

  • 允許 SSL 流量通過防火牆到達後端伺服器
    這對於內部用戶端和外部伺服器之間對換 SSL 連線方法是不可或缺的。

這些選項提供眾多方式,可以控制加密工作階段在環境下開放通道的程度。一般來說,將加密流量保持愈接近環境邊緣就愈好,因為如此一來就看不到通道當中的任何東西。

防火牆類別

這一節將介紹幾種類別的防火牆,每種防火牆都能提供特定的防火牆功能。特定防火牆類別可以回應特定 IT 架構設計的特定需求。

將防火牆分門別類,可將硬體從服務的需求當中抽離出來,而讓服務需求能夠比對類別功能。只要有防火牆符合一種特定的類別,就能假設它支援該種類別的所有服務。

不同的類別如下:

  • 個人防火牆

  • 路由器防火牆

  • 低階硬體防火牆

  • 高階硬體防火牆

  • 伺服器防火牆

有一點很重要而必須瞭解的是,這些類別有部份會重疊,這是因為設計的關係。這種重疊可以允許某種防火牆類型跨越其他類別。許多類別的防火牆也可以由同一家廠商一種以上的硬體模型來提供,所以您的組織可以選擇適合目前及將來需求的模型。

除了價格及功能組合外,防火牆也能以效能 (或輸送量) 為基準來分類。不過大部份廠商不會提供其防火牆的任何輸送量數值。他們所提供的 (一般為硬體防火牆裝置),並不會遵照標準度量程序,如此一來就很難在製造商之間進行比較。例如,其中一項度量方法就是每秒傳輸位元 (bps) 數量,但由於防火牆實際上會傳遞 IP 封包,如果用來度量速率的封包大小並未包括在內的話,這種度量方法就失去了意義。

下列章節會詳細定義各種類別的防火牆。

類別 1 - 個人防火牆

個人防火牆的定義是一種能為個人電腦提供簡單防火牆功能的軟體服務。隨著永久網際網路連線的數量 (跟撥號連線正好相反) 逐漸成長,個人防火牆的使用率也上升。

雖然個人防火牆是設計用來保護單一的個人電腦,但如果這台電腦所在的小型網路,讓內部網路其他電腦共用這台電腦的網際網路連線,那麼個人防火牆也能保護小型網路。不過,個人防火牆軟體的效能有其限制,而且會降低安裝電腦的效能。保護機制效果通常比專門的防火牆來的差,這是因為保護機制通常僅限於阻擋 IP 及連接埠位址,儘管如此,個人電腦通常需要較低層次的保護。

個人防火牆可以免費由作業系統或以很低的價錢取得。而且適合其設計的目的,但是因為個人防火牆的效能和功能有限,因此企業最好不要使用,就連小型公司也最好不要使用。不過它們特別適合使用膝上型電腦的行動使用者。

個人防火牆在功能上和價格上有極大的差異。不過,由於缺乏特定功能 (尤其是膝上型電腦),所以重要性可能不大。下表顯示個人防火牆的常見功能。

[表 1] 類別 1 - 個人防火牆

防火牆屬性

價值

支援基本功能

大部份個人防火牆都支援靜態封包篩選,NAT 及狀態檢查,而有部份支援電路層檢查及/或應用程式層篩選。

設定

自動 (也可選擇手動)

阻擋或允許 IP 位址

阻擋或允許通訊協定或埠號

阻擋或允許連入 ICMP 訊息

控制連出存取

應用程式保護

可能

聽覺或視覺警告

可能

記錄攻擊檔案

可能

即時警告

可能

VPN 支援

一般沒有

遠端管理

一般沒有

製造商支援

變化很大 (依產品而定)

高可用性選項

同時工作階段數目

1 到 10

模組化升級能力 (硬體或軟體)

無到有限度

價格範圍

低 (有些情況為免費)


個人防火牆通常提供下列優缺點:

優點

個人防火牆優點包括:

  • 不昂貴
    在只需要有限數量的授權時,個人防火牆是不貴的選擇。個人防火牆已整合至 Microsoft Windows® XP 作業系統的版本中。與其他 Windows 版本或其他作業系統一起使用的額外產品,可以免費或以不高的價格取得。

  • 容易設定
    個人防火牆產品一向會有現成可用的基本設定,具有簡單的設定選項。

缺點

個人防火牆缺點包括:

  • 難以集中管理
    個人防火牆需要在每一個用戶端上面設定,而這增加了管理的額外負擔。

  • 只有基本控制
    設定只偏向為靜態封包篩選與應用程式權限型封鎖的組合。

  • 效能限制
    個人防火牆是設計用來保護單一個人電腦。在作為小型網路路由器的個人電腦上使用,會降低整體效能。


類別 2 - 路由器防火牆

路由器通常會支援一種以上先前討論過的防火牆功能;可再細分為用於網際網路連線的低階裝置以及高階的傳統路由器。低階裝置提供基本防火牆功能,可以封鎖和允許特定 IP 位址及埠號,並且還可以使用 NAT 來隱藏內部 IP 位址。路由器通常提供標準的防火牆功能,專為阻擋來自網際網路的入侵行為而最佳化,同時不需要任何設定,還能以更進一步的設定來提升其功能。

高階路由器能加以設定成阻擋更為明顯的入侵行為,如 Ping 以及透過使用 AGL 來實作其他 IP 位址及連接埠限制,使存取控制更加嚴謹。其他的防火牆功能或許也可以在一些路由器上提供可設定狀況的封包篩選。在高階路由器中,防火牆功能與防火牆硬體裝置相似,但價格更低,不過輸送量也較低。

[表 2] 類別 2 - 路由器防火牆

防火牆屬性

價值

支援基本功能

大多數路由器防火牆都支援靜態篩選器。一般支援 NAT 高階路由器的低階路由器也可能會支援狀態檢查且/或應用程式層篩選。

設定

在低階路由器上,一般均為自動化 (也有手動選項)。而高階路由器則多為手動選項。

阻擋或允許 IP 位址

阻擋或允許通訊協定/埠號

阻擋或允許連入 ICMP 訊息

控制連出存取

應用程式保護

可能

聽覺或視覺警告

一般都有

記錄攻擊檔案

大多數情況下

即時警告

大多數情況下

支援 VPN

通常出現在較低階的路由器中,高階路由器較不常見。可以分離此項工作專用的裝置或伺服器。

遠端管理

製造商支援

低階路由器上一般都有限制,高階路由器則有良好支援。

有高可用性選項

低階:無 - 高階:有

同時工作階段數目

10 - 1,000

模組化升級能力 (硬體或軟體)

低階:無 - 高階:有限制

價格範圍

低到高


內部防火牆通常提供下列優缺點:

優點

路由器防火牆的優點包括:

  • 低成本解決方案
    啟用現有路由器防火牆功能,並不會讓路由器的成本增加,而且不需要額外的硬體。

  • 可合併設定
    路由器防火牆設定可以在路由器針對定正常運作設定時完成,所以能降低管理上所耗費的精力。因為網路硬體及管理性經過簡化,這個解決方案特別適合分公司。

  • 投資保護
    操作人員很熟悉路由器防火牆設定及管理,所以不需要重新訓練。網路配線已經過簡化,因為不需要安裝額外的硬體,如此一來也能簡化網路管理。

缺點

路由器防火牆的缺點包括:

  • 功能有限
    一般來說,低階路由器只提供基本防火牆功能。高階路由器通常都會提供較高層級的防火牆功能,但可能需要相當程度的設定,其中大部份都是經由很容易會忘記的額外控制來完成,所以有點難以正確設定。

  • 只有基本控制
    設定只偏向為靜態封包篩選與應用程式權限型封鎖的組合。

  • 效能影響
    將路由器用作防火牆,會降低路由器的效能及路由功能,而路由功能是路由器的主要工作。

  • 記錄檔效能
    使用一個記錄檔來捕捉異常的活動,特別是路由器已經遭受攻擊時,會嚴重降低路由器的效能。


類別 3 - 低階硬體防火牆

在低階硬體防火牆的市場都是隨插即用的單位,不太需要設定,甚至不必設定。這些裝置通常合併交換器和/或 VPN 功能。低階硬體防火牆適合小型公司及較大的組織內部使用。低階硬體防火牆通常會提供靜態過態功能以及基本的遠端管理功能。大型製造商提供的裝置,若有需要會提供升級路徑,讓您執行高階防火牆的相同軟體。

[表 3] 類別 3 - 低階硬體防火牆

防火牆屬性

價值

支援基本功能

大部份低階防火牆都支援靜態封包篩選及 NAT。有可能支援狀態檢查及應用程式層篩選。

設定

自動 (也可選擇手動)

阻擋或允許 IP 位址

阻擋或允許通訊協定/埠號

阻擋或允許連入 ICMP 訊息

控制連出存取

應用程式保護

一般沒有

聽覺或視覺警告

一般沒有

記錄攻擊檔案

一般沒有

即時警告

一般沒有

支援 VPN

有時

遠端管理

製造商支援

有限制

有高可用性選項

一般沒有

同時工作階段數目

> 10 - 7500

模組化升級能力 (硬體或軟體)

有限制

價格範圍


低階硬體防火牆提供下列優缺點。

優點

低階硬體防火牆的優點包括:

  • 低成本
    低階防火牆的採購成本不高。

  • 設定簡單
    幾乎不需要任何設定。

缺點

低階硬體防火牆的缺點包括:

  • 功能有限
    一般來說,低階硬體防火牆只能提供基本的防火牆功能。不能平行執行以進行備援。

  • 輸送量低落
    低階硬體防火牆並非設計用來處理高輸送量,因此可能會造成瓶頸。

  • 製造商支援有限
    由於這些是低成本的項目,因此製造商支援通常僅限於電子郵件及 (或) 網站支援。

  • 升級能力有限
    通常不會有硬體升級,不過常會有定期性的韌體升級可用。


類別 4 - 高階硬體防火牆

在高階硬體防火牆市場中有高效能、具高度恢復力的產品,適合企業或服務提供者使用。這些產品通常都能提供最好的保護,而且無損網路效能。

要達成恢復力的辦法是增加第二台防火牆,以熱待命單位的形式執行,透過自動狀態同步處理來維護目前的連線表。

您應該在每個連線到網際網路的網路中使用防火牆,因為入侵行為會不斷發生;DoS 攻擊,偷竊以及資料毀損等威脅隨時可見。高階硬體防火牆裝置應該集中或在總公司部署。

[表 4] 類別 4 - 高階硬體防火牆

防火牆屬性

價值

支援基本功能

大部份高階硬體防火牆都支援靜態封包篩選及 NAT 。也有可能支援狀態檢查及應用程式層篩選。

設定

一般均為手動

阻擋或允許 IP 位址

阻擋或允許通訊協定/埠號

阻擋或允許連入 ICMP 訊息

控制連出存取

應用程式保護

有可能

聽覺或視覺警告

記錄攻擊檔案

即時警告

VPN 支援

有可能

遠端管理

廠商支援

良好

有高可用性選項

同時工作階段數目

> 7500 - 500,000

模組化升級能力 (硬體或軟體)

價格範圍


高階硬體防火牆提供下列優缺點。

優點

高階硬體防火牆的優點包括:

  • 高效能
    硬體防火牆產品是設計用來作為單一目的使用,以最低的效能降級提供高層次的入侵阻擋功能。

  • 高可用性
    高階硬體防火牆能相互連接在一起,以達到最理想的可用性及負載平衡。

  • 模組化系統
    硬體及軟體都能針對新需求而升級。硬體升級可能包括額外的 Ethernet 連接埠,而軟體升級可能包括偵測新的入侵方法。

  • 遠端管理
    高階硬體防火牆能提供比低階硬體防火牆更好的遠端管理功能。

  • 恢復能力
    高階硬體防火牆可能會有像是以第二台防火牆熱待命或主動待命的可用性及恢復性功能。

  • 應用程式層篩選
    高階硬體防火牆與低階硬體防火牆不同的是,高階硬體防火牆能為知名的應用程式提供 OSI 模型層級 4、5、6、7 的篩選。

缺點

高階硬體防火牆的缺點包括:

  • 高成本
    高階硬體防火牆傾向於較昂貴。雖然最低 $100 美元就買得到,但成本常常會因同時工作階段、輸送量及可用性需求而改變,對企業防火牆來說成本更高。

  • 複雜的設定和管理
    因為高階防火牆比低階防火牆的功能更強,所以也更難以設定、管理。


類別 5 - 高階伺服器防火牆

有各種不同可以將防火牆功能加到高階伺服器上的產品,在一般硬體及軟體系統上,提供強大又快速的保護。這種方法的好處是能使用熟悉的硬體或軟體,因而降低清查項目的數量、簡化訓練及管理、可靠性及擴充性。許多高階硬體防火牆產品都建置在工業標準硬體平台上執行的工業標準作業系統 (但在外觀上看不出來),所以在技術上及效能上,與伺服器防火牆只有些許差異。不過,因為作業系統是看得到的,所以伺服器防火牆功能可加以升級,並且透過如叢集之類的技能,變得更加可靠。

因為伺服器防火牆乃是在一般常用作業系統上執行的伺服器,所以額外的軟體及功能,都能從各種不同的廠商 (不僅僅是一個廠商,與硬體防火牆的情況一樣) 加到防火牆上。對作業系統的熟悉度也可以引導更有效率的防火牆保障,因為一些其他類別會需要相當的專門知識來進行完整和準確的設定。

這種類別的防火牆適用於高額投資的特定硬體或軟體平台,因為讓防火牆使用相同的平台,能夠簡化管理。

此類別的快取能力也很有效率。

[表 5] 類別 5 - 高階伺服器防火牆

防火牆屬性

價值

支援的功能

大部份的高階伺服器防火牆都支援靜態封包篩選及 NAT。也可能支援狀態檢查及/或應用程式層篩選。

設定

一般均為手動

阻擋或允許 IP 位址

阻擋或允許通訊協定/埠號

阻擋或允許連入 ICMP 訊息

控制連出存取

應用程式保護

有可能

聽覺或視覺警告

記錄攻擊檔案

即時警告

VPN 支援

有可能

遠端管理

廠商支援

良好

有高可用性選項

同時工作階段數目

>50,000 (跨多個網路區段)

模組化升級能力 (硬體或軟體)

其他

一般使用的作業系統

價格範圍


內部防火牆通常會有下列的優缺點:

優點

伺服器防火牆的優點包括:

  • 高效能
    在規模剛好的伺服器上執行時,這些防火牆可以提供高層級的效能。

  • 服務的整併
    伺服器防火牆可利用它們所執行的作業系統的各種功能。例如,在 Microsoft Windows Server™2003 作業系統的防火牆軟體,可利用該作業系統內建的「網路負載平衡」功能。此外,防火牆當作 VPN 伺服器使用,再度利用其他 Windows Server 2003 作業系統內的功能。

  • 可用性、恢復性和擴充性
    由於此防火牆是在標準個人電腦上執行,因此具備其所執行之個人電腦平台所具備的所有可用性、恢復性和擴充性。

缺點

伺服器防火牆的缺點包括:

  • 需要高階硬體
    為求高效能,多數伺服器防火牆產品在中央處理器 (CPU)、記憶體和網路介面方面,皆需要高階硬體。

  • 易受弱點影響
    因為伺服器防火牆產品都在知名作業系統上執行,因而易受作業系統本身以及伺服器上所執行的其他軟體弱點影響。雖然對硬體防火牆來說也有這樣的問題,但攻擊者並不像熟悉大多數伺服器作業系統那般,熟悉硬體防火牆的作業系統。


外圍防火牆用法

外圍防火牆是為服務組織邊界以外的使用者需求而存在。使用者類型可能包括:

  • 信任
    組織內的雇員,比如分公司員工、遠端使用者或在家工作的使用者。

  • 半信任
    組織的商業夥伴,比起不信任的使用者,有更高的信任層級。但是和組織內的員工相比,他們的信任程度通常還是比較低。

  • 不信任
    例如,組織公開網站的使用者。

在此有必要認清一件事實,外圍防火牆尤其易受外部攻擊,因為入侵者必須破解它才能進入您的內部網路。因此,它變成是一個攻擊的明顯目標。

用於邊界位置的防火牆形同組織對外界的出入口。在很多大型組織中,於此實作的防火牆類別通常是使用高階硬體或是伺服器防火牆,雖然有一些組織是使用路由器防火牆。在針對外圍防火牆選擇防火牆類別時,有許多議題需要考慮。下表重點指出這些議題。

[表 6] 網際網路防火牆類別選擇問題

問題

在此位置實作的防火牆一般特徵

如安全性系統管理員所指定的必要防火牆功能

提升安全性可能會造成所需安全性程度、使用功能的成本及可能的效能折損情況之間的平衡問題。很多公司會希望外圍防火牆擁有最高的安全性,有些則因為整體效能會因此減低而無法接受。為追求高效能,以流量非常大的非電子商務網站為例,是可以接受較低層級的安全性,所以使用靜態封包,而不是使用應用程式層來進行篩選。

而裝置是否為專用實體裝置,提供其他功能或是實體裝置上的邏輯防火牆

當外圍防火牆用作為企業的網路與網際網路間的閘道,通常會實作為專用裝置,以減少在裝置遭到破壞時,受攻擊表面和內部網路的存取能力。

如組織的管理架構所指定的裝置管理性需求

一般會使用某種形式的記錄方式,而通常也需要事件監視機制。在此可能不允許進行遠端管理,以避免惡意使用者從遠端管理裝置,將只允許本機管理。

輸送量需求很可能是由組織內的網路及服務系統管理員所決定

這些會依每個環境而有所不同,但在裝置或服務器上的硬體功能,以及所使用的防火牆功能,會決定整體可用的網路輸送量。

可用性需求

做為大型組織通向網際網路的出入口,通常需要高可用性層級,尤其當營利網站是由外圍防火牆所保護時。


外圍防火牆規則

在以下的討論內容中,堡壘主機指的是位於同時提供服務給內外部使用者之周邊網路內的伺服器。堡壘主機的範例包括網頁伺服器及 VPN 伺服器。

一般來說,您的外圍防火牆需要透過預設值或設定來實作以下規則:

  • 除非明確允許否則拒絕所有流量。

  • 阻擋宣稱擁有內部或周邊網路來源 IP 位址的連入封包。

  • 阻擋宣稱擁有外部來源 IP 位址 (流量應該只來自堡壘主機) 的連出封包。

  • 允許網際網路上從 DNS 解決器到 DNS 伺服器堡壘主機的 UDP 式的 DNS 查詢和回答。

  • 允許從網際網路 DNS 伺服器到 DNS 廣告的 UDP 式 DNS 查詢和回答。

  • 允許外部 UDP 式用戶端查詢 DNS 廣告並提供回答。

  • 允許從網際網路 DNS 伺服器到 DNS 廣告的 TCP 式 DNS 查詢和回答。

  • 允許從輸出 SMTP 堡壘主機到網際網路的外寄郵件。

  • 允許從網際網路到輸入 SMTP 堡壘主機的內送郵件。

  • 允許從 Proxy 伺服器到達網際網路的 Proxy 流量。

  • 允許網際網路的 Proxy 伺服器回應導向周邊的 Proxy 伺服器。


硬體需求

外圍防火牆與軟體和硬體防火牆的硬體需求並不相同,摘要如下:

  • 硬體防火牆
    這些裝置通常會在自建的硬體平台上執行特定程式碼。硬體防火牆的規格 (及價格) 通常依所能處理的連線數以及所用軟體的複雜度而成比例改變。

  • 軟體防火牆
    這些也依照同時連線數及防火牆軟體的複雜性來設定。還有可以根據支援的連線數來計算伺服器處理器速度、記憶體大小及所需磁碟空間等的計算器。您應該考慮其他可以在防火牆伺服器上執行的軟體,比如負載平衡及 VPN 軟體。此外,還要考慮向上及向外擴充防火牆規模的方法。這些方法包括藉由增加額外的處理器、記憶體及網路卡來提升系統能力,並且使用多個系統及負載平衡,來分擔防火牆的工作 (請參閱本單元稍後的〈擴充性〉一節。有些產品會利用對稱式多處理 (Symmetrical Multiprocess,SMP) 以提升效能。Windows Server 2003 的網路負載平衡服務,能為部份軟體防火牆產品提供容錯功能、高可用性、效率及效能改進。


防火牆屬性

若要提升防火牆的可用性,可將之實作為單一具備重複元件的裝置,或是作為合併部份錯誤後移轉及/或負載平衡機制的重複防火牆配對。這些選項的優缺點會呈現在下列子章節。

沒有重複元件的單一防火牆

沒有重複元件的單一防火牆描繪於 [圖 2]:

沒有重複元件的單一防火牆

[圖 2]
沒有重複元件的單一防火牆


沒有重複元件的防火牆的優缺點如下:

優點

沒有重複元件的單一防火牆其優點包括:

  • 低成本
    因為只有一個防火牆,硬體及授權成本都很低。

  • 簡化的管理
    管理工作已經過簡化,因為整個網站或企業只有一個防火牆。

  • 單一記錄來源
    所有的流量記錄都集中到單一裝置。

缺點

沒有重複元件的單一防火牆其缺點包括:

  • 單點失敗
    對於輸入及/或輸出網際網路存取,會有單點失敗。

  • 可能的傳輸瓶頸
    單一防火牆可能會是傳輸瓶頸,端視所需的連線數和輸送量而定。

有重複元件的單一防火牆

有重複元件的單一防火牆描繪於 [圖 3]:

有重複元件的單一防火牆

[圖 3]
有重複元件的單一防火牆


有重複元件的單一防火牆優缺點如下:

優點

有重複元件的單一防火牆其缺點包括:

  • 低成本
    因為只有一個防火牆,硬體及授權成本都很低。電源供給之類的重複元件成本並不高。

  • 簡化的管理
    管理工作已經過簡化,因為整個網站或企業只有一個防火牆。

  • 單一記錄來源
    所有的流量記錄都集中到單一裝置。

缺點

有重複元件的單一防火牆其缺點包括:

  • 單點失敗
    依重複元件的數量不同,仍然有可能在輸入及/或輸出網際網路存取時,發生單點失敗。

  • 成本
    比沒有重複元件的防火牆成本要來得高,但也有可能需要更高階的防火牆,才能達到備援效果。

  • 可能的傳輸瓶頸
    單一防火牆可能會是傳輸瓶頸,端視所需的連線數和輸送量而定。

容錯防火牆

容錯防火牆組包含一個能讓兩個防火牆進行雙工處理的機制,如 [圖 4] 所示。

容錯防火牆

[圖 4]
容錯防火牆


使用容錯防火牆組提供下列優缺點:

優點

容錯防火牆組的優點包括:

  • 容錯
    使用一對伺服器或裝置,能協助提供需要的容錯等級。

  • 集中記錄
    所有流量記錄都集中到一對之間具有良好連線的裝置上。

  • 可能的狀態共用
    依裝置廠商而定,此層中的防火牆有可能可以共用其間的工作階段狀態。

缺點

容錯防火牆組的缺點包括:

  • 複雜度增加
    這種類型的解決方案,由於網路流量多重路徑的本質,而在設定及支援上都更為複雜。

  • 複雜的設定
    不同組的防火牆規則,若未正確設定,有可能會導致安全性漏洞及支援問題。

在前一個案例中,防火牆可以是硬體防火牆也可以是軟體防火牆。在上個圖表中,防火牆是做為組織和網際網路間的閘道,而邊界路由器則置於防火牆之外。這類路由器十分容易受到網路入侵,因此它也必須要有一些防火牆的功能設定。有限的防火牆能力不需使用完整的防火牆功能組就可以實作,仰賴防火牆裝置來防止網路入侵。另外一個方法是在沒有其他獨立防火牆裝置下,在路由器內整併防火牆。

容錯防火牆設定

在實作容錯防火牆組時 (通常稱為叢集),主要有兩個方法,如下面的章節所述。

主動/被動容錯防火牆組

主動/被動容錯防火牆組中,是由單一裝置處理所有流量,而其他裝置不做任何事。在兩個裝置對可用性及/或連線至協力節點的狀態進行通訊,通常會有個規矩。這種通訊常常稱為活動訊號,這是指每個系統隔幾秒就會發出訊號給其他系統,以確保連線正由協力節點處理。如果被動節點在超過使用者定義的特定時間間隔,沒有收到主動節點的活動訊號,就會扮演主動節點角色。

主動/被動容錯防火牆組描繪於下列 [圖 5]。

主動/被動容錯防火牆組

[圖 5]
主動/被動容錯防火牆組


主動/被動容錯防火牆組有下列優缺點:

優點

主動/被動容錯防火牆組的優點包括:

  • 設定簡單
    這項設定容易設置並方便疑難排解,因為每一次都只會有一個使用中的網路路徑。

  • 可預測的錯誤後移轉負載
    因為整體流量負載在錯誤後移轉時會切換到被動節點,於是在預期被動節點要進行管理時,更方便規劃流量。

缺點

主動/被動容錯防火牆組的缺點包括:

  • 無效率的設定
    主動/被動容錯防火牆組的效率不佳,因為被動節點在正常運作下,無法對網路提供任何有用的功能。

主動/主動容錯防火牆組

在主動/主動容錯防火牆組裡,會有兩個以上的節點,主動接聽所有送到一個每個節點所共用之虛擬 IP 位址的要求。透過所使用的唯一容錯機制演算法,或透過靜態使用者設定,負載會分散在各節點間,因此每個節點會主動同時篩選不同的流量。在有一個節點失敗的事件中,存下的節點會將失敗的節點先前所承擔的處理負載分配掉。

主動/主動容錯防火牆組描繪於 [圖 6] 中:

主動/主動容錯防火牆組

[圖 6]
主動/主動容錯防火牆組


使用主動/主動容錯防火牆組,能提供下列優缺點:

優點

主動/主動容錯防火牆組的優點包括:

  • 更高的效率
    因為兩個防火牆都能提供服務給網路,使用起來比主動/被動容錯防火牆組更有效率。

  • 更高的輸送量
    在正常運作下,這種設定相較於主動/被動設定,能夠處理更高的流量,因為兩個防火牆都能同時提供服務給網路。

缺點

主動/主動容錯防火牆組的缺點包括:

  • 易有可能的額外負荷
    如果有一個節點故障了,其餘節點上的硬體資源,有可能會不夠處理全部的輸送量需求。了解存留的節點在有節點故障時,要承擔額外的工作負載而可能會發生效能下降的狀況,並照著這一點來計劃十分重要。

  • 複雜性增加
    因為網路流量可能會通過兩條路徑,疑難排解因此變得更複雜。


安全性

防火牆產品的安全性最為重要。雖然防火牆安全性並沒有工業標準,但廠商以外的獨立組織 International Computer Security Association (ICSA) 執行一套認證程式,目標是要測試買得到的防火牆產品的安全性。ICSA 測試了目前在市面上提供的眾多防火牆產品。(詳細資訊,請參考 www.icsalabs.com (英文))。

您一定要特別注意確認防火牆達到需要的安全性標準;確認的方法之一就是,通過 ICSA 認證。另外,檢查您選擇的防火牆是否有現成的追蹤記錄。網路上可取得部份安全性弱點資料庫;您應該細查這些資料看看產品在過去有多少弱點以及這些弱點的重要性。

不幸的是,所有產品 (硬體及軟體) 都有錯誤。除了決定影響您考慮購買的產品錯誤數量及嚴重性之外,您也應該評估廠商對這些已經暴露的弱點的回應。

擴充性

這一節將討論防火牆解決方案的擴充性需求。防火牆的擴充性有很大比例是由裝置效能特性所決定,選擇能夠進行調整以符合實際面臨的狀況的防火牆,是很明智的。有兩個達到擴充性的基本方法。這兩種方法是:

  • 垂直擴充 (向上擴充)
    不論在伺服器上所執行的防火牆是硬體裝置或軟體解決方案,擴充性的需求,能藉由增加記憶體、CPU 處理能力以及網路介面的輸送量來達成。然而,每個裝置或伺服器,在垂直擴充時都有其上限。例如,要是您採購了一台有 4 個 CPU 插槽的伺服器,而您一開始只裝 2 個,那麼您就只能再增加 2 個 CPU。

  • 水平擴充 (向外擴充)
    一旦伺服器經過向上擴充到其極限時,水平擴充就變得相當重要。大部份防火牆 (硬體及軟體) 都可以透過使用某種形式的負載平衡,來進行水平擴充。在這樣的案例中,幾台伺服器可以整合到一個叢集中,而網路上的用戶端會將它們視為一台伺服器。這個案例與本單元稍早的〈防火牆可用性〉一節裡所描述的主動/主動叢集在本質上是一樣的。用來提供這項功能的技術不一定與之前所描述的相同,將視廠商而定。

硬體防火牆要向上擴充很難。不過,有些硬體防火牆製造商提供擴充性的解決方案,因為他們的裝置可以堆疊成單一且負載平衡的設備來操作。

部份軟體防火牆的設計,是可以使用多個處理器來向上擴充。防火牆本身通常不會多重處理位址,這是由基本作業系統加以控制。不過,防火牆必須可以定位硬體以便完全利用這項功能。與硬體防火牆不同,它們通常都會設定成在裝置製造階段時所內建的硬體限制,這種方法反而允許在單一或重複裝置上擴充。大部份防火牆都是以裝置本身能夠處理的同時連線數來分類。要是連線需求超過裝置的固定擴充模型後,硬體裝置通常都需要加以替換。

如先前所討論過的,容錯可能已內建於防火牆伺服器的作業系統中。至於硬體防火牆,容錯可能造成額外的花費。

效能

有些技術可以用來強化防火牆的效能,包括:

  • Gigabit Ethernet/光纖支援

  • Proxy、反向 Web Proxy和快取

  • SSL 卸載介面

  • IPSec 卸載介面

針對軟體防火牆,其中每項技術都可以從許多廠商購得,所以價格都保持相當低廉。雖然硬體裝置也可能有類似的協力廠商解決方案,不過通常只能從硬體防火牆本身的製造商取得。

下面章節將逐一討論這些效能強化技術。

Gigabit Ethernet/光纖支援

許多交換器、路由器和防火牆都能處理 Ethernet 的 gigabit 速度介面,而且價格方面的降低也增加了這些介面受歡迎的程度。這項功能大大減低介面在部署防火牆時變成瓶頸的可能性。

Proxy、反向 Web Proxy和快取

一般來說,快取能力只適用於軟體防火牆,因為它需要使用磁碟來快取流量或資料。

SSL 卸載介面

SSL 加速卡可以利用從防火牆的 CPU 卸載加密程序,藉此改良使用 SSL 基礎加密的公用網站效能。SSL 在防火牆結束時,這些裝置會提供顯著的效益。

IPSec 卸載介面

IPSec 加速卡可以改良使用 IPSec 型加密的公開式服務效能,例如 VPN。這些裝置會卸載防火牆 CPU 的加密處理。在防火牆內部介面和公佈的服務之間通訊的流量可以使用 IPSec 卸載,如此可以確保周遊於周邊網路的流量能在周邊網路主機之間加密。

整併

整併指的是將防火牆服務併入另一個裝置,或是將其他服務併入防火牆中。整併的好處包括:

  • 更低的購買價
    將防火牆服務合併到其他服務中,例如合併到路由器上,就能省下硬體裝置的成本,不過仍然要採購防火牆軟體。同樣地,要是其他服務能夠併入防火牆之內,就能省下額外硬體的成本。

  • 降低的清查和管理成本
    您可以藉由減少硬體裝置的數量來縮減操作成本,因為相對下來有較少的硬體需要升級,架設纜線也比較簡單,而管理也更加容易。

  • 更高的效能
    依所達成的整併而定,您可提升效能。例如,將網頁伺服器快取合併到防火牆裡,您可以去掉額外的裝置,而不同的服務之間能以比 Ethernet 連線還要快的速度,進行高速通訊。

整併範例包括:

  • 新增防火牆服務至邊界路由器
    大多數路由器可在當中擁有一個可用的防火牆服務。這項防火牆服務的能力在低成本路由器中可能很簡單,但高階路由器則通常會有功能強大的防火牆服務。在實際情況中,雖然您會有獨立的外圍防火牆,但邊界路由器應該隨時啟用其防火牆服務,以保護路由器本身及邊界交換器。

  • 新增防火牆服務至邊界交換器
    根據所選的邊界交換器而定,可能可以新增至外圍防火牆作為防禦,以降低成本並改進效能。

  • 新增 Proxy 快取至外圍防火牆
    Proxy 快取會儲存經常存取的網頁,讓下一個要求者從快取送出網頁,而不需要重新存取網頁伺服器,這可改進回應時間並減少網頁伺服器的負荷。通常,這只能在伺服器防火牆之內合併,因為它需要本機磁碟來保存快取。

再考慮將其他服務整併到提供防火牆服務的相同伺服器或裝置,您必須格外謹慎以確保使用特定的服務並不會降低防火牆可用性、安全性、效能或管理性。效能考量也很重要,因為其他服務所產生的負載會降低防火牆服務的效能。

另一個將服務整併到裝載防火牆服務的相同裝置或伺服器的方法是,將防火牆硬體裝置作為防禦層合併到交換器中。這個方法通常比任何類型的獨立防火牆還要便宜,而且能利用交換器的可用性功能,比如雙重電源供給。這樣的設定因為並未牽涉到其他裝置,所以也比較容易管理。此外,這套解決方案通常執行效率更快,因為它使用了交換器上的匯流排,這比使用外部電纜線還要快上許多。

標準及指導方針

大部份使用 IPv4 的網際網路通訊協定,都可以由防火牆加以保護,包括較低階的通訊協定,例如 TCP 和 UDP,以及較高階的通訊協定,如 HTTP、SMTP 和 FTP。任何考慮中的防火牆產品都應該重新檢討,以確定能夠支援需要的流量類型。部份防火牆也能解譯 GRE,GRE 是用於一些 VPN 實作當中的點對點通道通訊協定 (Point-to-Point Tunneling Protocol,PPTP) 的壓縮通縮協動協定。

有些防火牆有內建的應用程式層篩選器,供 HTTP、SSL、DNS、FTP、SOCKS v4、RPC、SMTP、H. 323,以及郵局通訊協定 (Post Office Protocol,POP) 等協定使用。

總結

本單元提供了成功選擇防火牆產品的實用程序。這個程序涵蓋防火牆設計的所有層面,包括要達成解決方案所需的各種不同評估及分類程序。

沒有百分之百安全的防火牆:確保網路不會受到外部攻擊的不二法門,就是在所有系統和網路之間留個流通的空隙。這樣的結果雖然會有個相當安全的網路,但實際上卻無法使用。防火牆讓您在將網路連接到外部網路,或是在結合兩個內部網路時,能夠實作適當層級的安全性保護。

本單元所勾勒的防火牆策略及設計程序,應僅視為整體安全性策略的其中一部份。因為要是在環境的其他部份有弱點,那麼再強大的防火牆,價值也是有限。網路的每個元件都必須套用安全性,也必須針對每個元件定義解決環境中原本的風險的安全性原則。

參考資料

您可以在下列 URL 找到更多關於防火牆服務的設計部署資訊:


顯示: