虚拟专用网络基础技术之防火墙详解
在网络连接的领域中,存在着两个相互竞争的理念。一个强调数据无论在用户身处何处、数据位于何方,都应具备高度的可访问性;另一个则着重于数据本身内容的保护,防止未经授权的人员使用。这两个概念并非相互排斥,而是相辅相成,如同阴阳两极。在追求信息广泛共享的同时,必须高度重视信息的安全性。
互联网是一个庞大的资源集合,与其他参与者共享信息无疑能带来发展机遇,但同时也伴随着未知的风险。一些公司将网络视为巨大的未开发市场,却忽略了互联网存在的“阴暗面”。这也正是我们需要保护数据的原因,而虚拟专用网络(VPN)的出现,为我们迈向 21 世纪的数据安全提供了重要的解决方案。VPN 的核心在于保护私有数据,而加密和防火墙这两项技术则是实现其功能的关键。
1. 防火墙部署概述
防火墙是一种位于内部网络与外部世界之间的安全系统,在大型公共网络中已应用多年,是制定安全策略的理想起点。防火墙通常部署在网络与公共网络(如互联网)的连接点上。虽然它并非完美的安全策略,但配置相对简单,通常只需对一个网关路由器进行修改。不过,如果是大型、多连接的广域网(WAN),由于存在多个与互联网的连接路径,就需要为每个连接点创建防火墙,这会显著增加配置的复杂性。
2. 什么是防火墙
美国国防部作为数据敏感性和安全控制方面的权威机构,曾使用安全级别系统来限制对机密文件的访问。著名的《橙皮书》详细规定了政府计算机的保护标准,其中提到,为确保高度敏感数据的安全,应避免将计算机连接到外部网络。这虽然是最佳的防火墙策略,但过于严格,缺乏实际操作性。实际上,对于极其敏感的材料,最佳的防火墙策略是将其隔离在没有网络连接的计算机上。
防火墙通常为网络管理员提供两个主要功能:一是控制外部人员能够看到的内部机器以及与之交互的服务;二是控制内部用户可以访问的互联网机器和使用的服务。它就像交通警察,管理网络流量的路径,甚至阻止某些流量。互联网防火墙通常通过检查穿越网关路由器的每个数据包来实现这一功能,因此也被称为“数据包过滤”系统。
需要注意的是,要警惕攻击者可能采用的绕过技术。即使是世界上最好的防火墙,如果存在后门或绕过路径,也将毫无用处。因此,要特别保护好允许用户直接拨号进入私有网络的远程访问系统(如 PPP、SLIP 和 ARA 服务器)。黑客可能会利用这些途径进入网络,绕过网关防火墙和精心设置的陷阱,只需使用受损账户拨号即可访问外部网关防火墙无法保护的服务。记住,防火墙的安全性取决于其最薄弱的环节,没有一种安全方案能够全面保护网络提供的所有服务。因此,定期审查访问策略、监控网络并研究新发现的漏洞至关重要。
为了便于说明,我们以一个大型分支网络为例。假设我们拥有一台思科 2500 系列路由器和 40 台工作站,其中包括一台 FTP 服务器、一台邮件服务器和一台 Web 服务器,并且从网络信息中心(NIC)分配到一个完整的 C 类地址(2.48.29.0/24)。接下来,我们将通过这个例子介绍如何设置不同的防火墙拓扑结构。
3. 防火墙的类型
由于大多数防火墙技术都围绕集中控制模型设计,因此在高层级上只有几种主要类型需要探讨。下面将详细介绍四种常见的防火墙架构。
3.1 数据包限制或数据包过滤路由器
进行数据包过滤的路由器和计算机根据预定义的规则表来决定是否将流量发送到网络。路由器并不关注数据包有效负载的内容,而是根据数据包的源地址和目标地址做出决策。如果数据包符合一组参数,路由器将采取相应的行动,允许或拒绝其传输。这些允许和拒绝规则表是根据网络管理员或安全协调员制定的整体网络安全策略设置的。
数据包过滤路由器在进行筛选决策时,只查看 TCP/IP 头部信息,而不查看数据包的有效负载。例如,如果要求路由器允许来自网络 1.34.21.0/24 的所有流量,它将检查每个数据包的源地址,匹配的数据包将被允许通过,不匹配的则会被丢弃。
数据包过滤可以采取两种基本形式:
-开放网络与选择性过滤:对不需要的流量进行选择性过滤。对于每种网络攻击类型,需要在路由器上设置相应的过滤器。
-封闭网络与选择性过滤:对需要的流量进行选择性过滤。这种方式提供了更高的安全性,甚至可以抵御尚未被发现的攻击,但缺点是当添加或更改新计算机或服务时,网络管理员需要更新防火墙。
然而,数据包过滤存在一些不足之处:
-缺乏用户认证:无法进行用户身份验证,只能允许或拒绝一对节点之间的通信。例如,无法区分是哪位用户尝试向邮件服务器发送邮件。
-性能限制:为了保证性能,路由器不会打开所有收到的数据包进行检查。路由器的主要任务是决定流量的传输方向,而不是捕捉和丢弃存在安全风险的数据包。
-配置复杂:网络的频繁变化可能需要对网关路由器和数据包过滤防火墙进行全面重新配置,这既耗时又容易出错,可能导致网络安全漏洞或路由器故障。
3.2 堡垒主机
堡垒主机,有时也被称为筛选主机,结合了路由器的数据包过滤机制和安全主机。安全主机是经过安全专家检查其操作系统和主要服务的计算机。主要的安全防护由数据包过滤路由器提供,而安全主机用于控制信息的双向流动。堡垒主机是经过安全检查的计算机,通过与其他计算机相同的方式连接到互联网,网关对其流量的限制相对较少。
堡垒主机通常与过滤路由器结合使用,因为简单的数据包过滤系统无法在协议或应用层进行过滤。与分布式服务器相比,堡垒主机的配置和维护更加容易,因为大部分流量都集中在一台计算机上。由于堡垒主机位于内部网络中,不需要其他本地连接设备提供特殊豁免。
在安全策略配置方面,堡垒主机的一个优点是数据包过滤规则可以简化为“拒绝一切”,然后仅针对堡垒主机设置特定的允许规则。对于大型且变化频繁的网络,这可以减轻安全人员的负担,新机器的添加或不安全设备的安装不会影响防火墙或堡垒主机提供的保护。
然而,集中控制也存在缺点。对于大型繁忙的网络,可能需要多台机器作为堡垒主机,这会增加管理的复杂性。每台机器都需要在数据包过滤防火墙中设置单独的规则,增加了配置的复杂度,并且需要对每台机器进行严格的测试。此外,堡垒主机集中了信息,容易成为攻击的目标,因此需要全天候的安全监控。如果攻击者获得了堡垒主机的系统操作员权限,可能会导致严重的安全漏洞。
3.3 DMZ 或周边区域网络
为了将大型企业内部网络与互联网的恶劣环境隔离开来,一种常用的方法是建立一个“路由网络”,所有进出网络的流量都必须通过该网络。大型企业通常已经设置了这样的网络,以便有效地将本地流量、城域流量和广域流量分开。这个路由网络通常由路由器组成,也被称为“骨干网”。
DMZ 即“非军事区”,与地理冲突中的非军事区类似,它是两个敌对方之间的缓冲区。在创建周边区域网络时,DMZ 提供了多重安全保障:
-双重路由保护:至少有两个路由器参与保护内部网络,一个作为连接互联网的网关,另一个作为连接内部网络的网关。两个路由器之间的网络除了路由设备和受信任的主机设备(如堡垒主机)外,不应有其他主机设备。
-限制入侵范围:如果外部周边路由器或周边网络上的任何主机发生安全漏洞,入侵者只能嗅探通过的数据包,无法获取其他信息。要访问内部网络,他们必须突破内部周边路由器,这通常会使攻击者望而却步。此外,内部网络的 VPN 解决方案通常会对数据包进行加密,进一步增加了攻击的难度。
在标准的周边区域网络配置中,最复杂和严格的控制通常应用于内部路由器,它将内部网络与周边网络和外部网络分隔开来。这种配置类似于同心圆,越往外的层级安全性越低。同时,在内部路由器上使用网络地址转换(NAT)已经成为一种常见的做法,NAT 通过动态地将非路由地址(如 192.168.0.0 范围)转换为真实的互联网地址,增加了定位和劫持内部通信的难度。
要实现最高级别的安全,可以在外部路由器上禁止所有从内部网络发出的流量,以及在互联网上禁止所有进入内部网络的流量。这样,所有流量都需要通过两个步骤进行传输。互联网客户端只能与周边网络上的机器进行通信,而内部网络深处的客户端无法直接访问互联网,需要通过 DMZ 上的堡垒主机作为中间人进行访问。这种配置大大增加了攻击者的难度,因为大多数攻击行为都是为了方便起见,当攻击变得困难时,攻击者往往会放弃。
3.4 代理服务器
代理服务器的作用与堡垒主机类似,在某些防火墙文献中,两者几乎完全重叠。这里,我们将“堡垒主机”定义为作为信息中转区域的计算机,而“代理服务器”则是运行专门软件,能够向外部机器伪装成内部机器的一种堡垒主机。
以电子邮件为例,堡垒主机通常被设置为接收来自互联网的电子邮件的“投递点”。传统上,DNS 邮件交换记录(MX)会将流量指向堡垒主机进行投递,然后堡垒主机可以将邮件重新投递到内部邮件主机,或者等待客户端使用 POP 邮件客户端读取邮件。通过这种方式可以构建各种不同的防火墙配置。
相比之下,代理服务更像是一个“传输中的检查点”,而不是信息中转区域。代理服务器假装是连接的一端,但保护真正的发送者或接收者免受不必要的流量干扰。标准文件传输协议(FTP)是安全管理员最头疼的服务之一,因为它使用随机的、高位端口来建立与客户端的点对点会话。一个在多个端口上运行的服务,特别是在大于 1023 的任何端口上运行的服务,会给安全管理员带来很大的麻烦。为了解决这个问题,可以建立一个“被动”FTP 会话(使用控制和数据端口 [20 和 21] 进行实际数据传输,而不是大于 1023 的端口),但并非所有客户端都支持这种方式。
使用代理服务器是在防火墙上建立 FTP 连接的另一种选择。在周边网络上设置一台主机作为客户端的代理后,可以在不牺牲太多安全性的情况下建立完整的连接。FTP 代理位于周边网络上,并被授予通过外部防火墙进行 FTP 会话的权限。需要在代理服务器上安装特殊软件,以便它能够接受来自内部网关之外的 FTP 客户端的传入请求,并在与外部世界通信时伪装成客户端。
同样的安全模型也可以通过动态防火墙过滤路由器(如思科 PIX 或 Firewall - 1 系统)来实现。需要注意的是,代理服务更像是一台主机计算机,而不是传统意义上的防火墙,因此需要特别注意确保代理服务器受到站点安全政策的良好保护。此外,代理服务只是一种额外的保护措施,不能被视为全面的解决方案。数据包过滤防火墙可以帮助隔离不同的网络流量,并且可以将网络划分为不同的子网,将高风险单元与低风险单元隔离开来。
下面是一个简单的 mermaid 流程图,展示了 DMZ 网络的基本结构:
graph LR classDef process fill:#E5F6FF,stroke:#73A6FF,stroke-width:2px; A(互联网):::process --> B(外部路由器):::process B --> C(DMZ 网络):::process C --> D(堡垒主机):::process C --> E(其他受信任设备):::process B --> F(内部路由器):::process F --> G(内部网络):::process综上所述,不同类型的防火墙各有优缺点,在实际应用中,需要根据网络的规模、需求和安全要求选择合适的防火墙类型,并结合其他安全措施,以确保网络的安全性。
虚拟专用网络基础技术之防火墙详解
4. 防火墙技术对比与选择
为了更清晰地了解不同类型防火墙的特点,以便在实际应用中做出合适的选择,下面通过表格的形式对上述几种防火墙技术进行对比:
| 防火墙类型 | 工作原理 | 优点 | 缺点 | 适用场景 |
| — | — | — | — | — |
| 数据包限制或数据包过滤路由器 | 根据预定义规则表,基于数据包源地址和目标地址,查看 TCP/IP 头部信息决定是否允许传输 | 配置相对简单,对路由器性能影响较小 | 缺乏用户认证,无法抵御复杂攻击,网络变化时配置复杂 | 小型网络,对安全要求相对较低,网络结构稳定 |
| 堡垒主机 | 结合路由器数据包过滤机制和安全主机,控制信息双向流动 | 配置和维护相对容易,可减轻安全人员负担,适用于变化频繁网络 | 集中控制易成攻击目标,大型网络需多台主机增加管理复杂度 | 中型网络,需要一定应用层过滤功能,网络变化较频繁 |
| DMZ 或周边区域网络 | 通过建立“路由网络”,利用双重路由保护和限制入侵范围保障安全 | 提供多重安全保障,可结合 NAT 增加安全性,能有效隔离内外网络 | 配置复杂,需要更多网络设备和资源 | 大型企业网络,对安全要求极高,需严格隔离内部和外部网络 |
| 代理服务器 | 运行专门软件伪装成内部机器,作为“传输中的检查点” | 可解决特定服务(如 FTP)的安全问题,提供额外保护 | 更像主机计算机,需额外安全保护,不能作为全面解决方案 | 有特定服务安全需求的网络,如需要安全进行 FTP 传输的网络 |
在选择防火墙时,需要综合考虑以下因素:
-网络规模:小型网络可选择配置简单的数据包过滤路由器;中型网络可考虑堡垒主机;大型企业网络则需要 DMZ 或周边区域网络。
-安全需求:对安全要求较低的网络可采用基本的防火墙技术;对安全要求高的网络,如涉及敏感数据的企业,需要采用多重安全防护的 DMZ 网络和代理服务器等技术。
-网络变化频率:网络变化频繁的情况下,堡垒主机的配置方式可能更合适,能减轻安全人员的配置负担;网络结构相对稳定的网络,数据包过滤路由器即可满足需求。
5. 防火墙配置示例与步骤
以我们之前假设的大型分支网络为例,介绍如何配置不同类型的防火墙。
5.1 数据包过滤路由器配置步骤
- 登录路由器管理界面:使用管理员账号和密码登录思科 2500 系列路由器的管理界面。
- 定义访问控制列表(ACL):根据网络安全策略,定义允许和拒绝的规则。例如,允许来自特定 IP 地址段(如 1.34.21.0/24)的所有流量,拒绝其他未知来源的流量。以下是一个简单的 ACL 配置示例:
access-list 101 permit ip 1.34.21.0 0.0.0.255 any access-list 101 deny ip any any - 应用 ACL 到接口:将定义好的 ACL 应用到与外部网络连接的接口上。
interface Ethernet0 ip access-group 101 in - 保存配置:保存对路由器的配置更改,确保配置在重启后仍然生效。
write memory
5.2 堡垒主机配置步骤
- 选择合适的主机:选择一台性能稳定、配置较高的主机作为堡垒主机,并安装安全的操作系统。
- 配置数据包过滤路由器:在数据包过滤路由器上设置规则,允许特定流量访问堡垒主机。例如,允许来自互联网的邮件流量(端口 25 和 110)访问堡垒主机。
- 配置堡垒主机服务:根据需求配置堡垒主机上的服务,如邮件服务。设置 DNS 邮件交换记录(MX)指向堡垒主机。
- 安全检查和加固:对堡垒主机进行全面的安全检查,安装必要的安全软件,如杀毒软件、入侵检测系统等,并定期更新系统和软件。
5.3 DMZ 网络配置步骤
- 规划网络拓扑:设计 DMZ 网络的拓扑结构,确定外部路由器、内部路由器和 DMZ 区域的位置和连接方式。
- 配置外部路由器:设置外部路由器的接口和路由规则,允许特定流量进入 DMZ 区域,同时拒绝非法流量进入内部网络。
- 配置内部路由器:在内部路由器上设置更严格的访问控制规则,将内部网络与 DMZ 区域和外部网络隔离开来。可以使用 NAT 技术对内部网络地址进行转换。
- 部署堡垒主机和受信任设备:在 DMZ 区域部署堡垒主机和其他受信任设备,并配置相应的服务。
- 测试和监控:完成配置后,对 DMZ 网络进行全面测试,确保网络正常运行,并设置监控系统,实时监控网络流量和安全状态。
5.4 代理服务器配置步骤
- 选择代理服务器软件:根据网络需求和操作系统选择合适的代理服务器软件,如 Squid 等。
- 安装和配置代理服务器:在周边网络的主机上安装代理服务器软件,并进行基本配置,如设置监听端口、允许访问的客户端 IP 地址范围等。
- 配置防火墙规则:在外部防火墙中设置规则,允许代理服务器与外部网络进行通信,同时限制其他不必要的流量。
- 配置客户端:在内部网络的客户端上配置代理服务器的地址和端口,使其能够通过代理服务器访问外部网络。
6. 防火墙的维护与监控
防火墙的配置只是保障网络安全的第一步,定期的维护和监控同样重要。以下是一些防火墙维护和监控的要点:
6.1 定期更新规则
随着网络环境的变化和新的安全威胁的出现,需要定期审查和更新防火墙的访问控制规则。例如,当企业新增了一个部门或服务时,需要相应地调整防火墙规则,允许或限制相关的流量。
6.2 监控日志文件
防火墙会记录所有的网络流量和访问事件,通过分析日志文件可以及时发现潜在的安全威胁。例如,如果发现有大量来自同一 IP 地址的异常连接请求,可能是遭受了网络攻击。
6.3 检查系统漏洞
定期对防火墙系统进行漏洞扫描和安全评估,及时安装系统补丁和更新安全软件,以防止攻击者利用系统漏洞入侵网络。
6.4 备份配置文件
定期备份防火墙的配置文件,以防配置丢失或损坏。在进行重大配置更改之前,也应该先备份当前的配置文件,以便在出现问题时能够恢复到之前的状态。
下面是一个简单的 mermaid 流程图,展示了防火墙维护与监控的基本流程:
graph LR classDef process fill:#E5F6FF,stroke:#73A6FF,stroke-width:2px; A(定期更新规则):::process --> B(监控日志文件):::process B --> C(检查系统漏洞):::process C --> D(备份配置文件):::process D --> A7. 总结
防火墙作为网络安全的重要防线,在保护企业内部网络免受外部攻击方面发挥着关键作用。不同类型的防火墙技术各有优缺点,适用于不同的网络环境和安全需求。在实际应用中,需要根据网络规模、安全要求和网络变化频率等因素选择合适的防火墙类型,并进行合理的配置和维护。同时,防火墙不能作为唯一的安全措施,还需要结合其他安全技术,如加密技术、入侵检测系统等,构建多层次的网络安全防护体系,以确保企业网络和数据的安全。通过对防火墙技术的深入了解和正确应用,企业可以在享受互联网带来的便利的同时,有效防范各种网络安全威胁。
