企業上網與防火牆建設
作者:趙洋
我們認為在未來10年中,通訊網路的改變、擴大和改善對人類生活的影響將會比自上個世紀以來的通訊業任何變化都要深刻。這是一場網路革命,是一場通訊革命。從許多方面看,這場革命才剛剛開始。INTERNET的應用的確給人們生活和工作帶來了許多的便利。但是怎樣實現與INTERNET相聯,怎麼保證自身安全,本文將圍繞防火牆的技術,結合自身的實踐體會,談一點自己初淺的看法。
1.為何要設定安全的防火地區
隨著電子商務、電子政務推出,越來越多網路需要與INTERNET的連網。通常需要在網上設定提供公眾服務的主機系統,例如:WEB Server、EMAIL、Server、FTP Server等。但是如果簡單將這些主機只用路由直接聯上INTERNET網路,無疑是讓“駭客”有機可乘,其可 能會想盡辦法破壞你的主機。
比較合理的做法,是將這些提供給外部使用的伺服器通過一定技術和裝置隔離開來,讓那些裝置形成一個保護區,我們一般稱之為防火區。通過這一手段,將單位內部網路與Internet隔開。若網路駭客成功地侵入了防火牆的外部地區,則防火區可以在改擊者及內部系統間,提供另一層額外的保護,所以首先防火區增強了單位網路的安全性。
其次,通過設立防火區,我們可以有效地對內部網路訪問INTERNET進行控制,包括統計流量、控制訪問等方面,有效對費用和訪問內容根據需要進行把關。
另外通過防火區,使內部網路與INTERNET的網段得到隔離,內部網路的IP位址範圍就不會受到INTERNET的IP地址的影響,保證了內部網路的獨立性和可擴充性。
由此可見單位在將系統聯上INTERNET時,設定防火區是多麼重要。另外,單位內部還可以進一步設定安全保護區,也就是再設定內部防火區。
2 防火牆的基本原理
電腦網路系統中將防火區內與INTERNET網路直接相聯的電腦系統稱為“防火牆”,它能同時連內部網路和INTERNET網路兩端。如果要從內部網路接到INTERNET網路,就得用telnet等先聯到防火牆,然後從防火牆聯上INTERNET網路。防火牆的主要作用就是阻止外界直接進入內部網路。目前防火牆通常有二種類型,即過濾型和代理型。
過濾型的防火牆是不讓INTERNET網路某些地址的網站進入你的網路,實現只有經過過濾防火牆篩選才能訪問內部網路的功能。這樣除開放一些網路功能外這種IP過濾防火牆阻擋一切連網功能。另外一種是Proxy 伺服器的情況,使用者可登入到防火牆,然後進入內部網路內的任何系統,也就是由防火牆進行網路連接。
2.1 IP過濾防火牆
在互連網這樣的資訊包交換網路上,所有往來的資訊都被分割成一定長度的資訊包,包中包括髮送者的IP地址和接收者的IP地址。包過濾式的防火牆會檢查所有通過資訊包裡的IP地址,並按照系統管理員所給定的過濾規則過濾資訊包。如果防火牆設定某一IP為危險的話,從這個地址而來的所有資訊都會被防火牆屏蔽掉。這種防火牆的用法很多,比如國家有關部門可以通過包過濾防火牆來禁止國內使用者去訪問那些“有問題”的國外網站。
過濾防火牆是絕對性的過濾系統,它阻擋別人進入內部網路,但也不告訴你何人進入你的公用系統,或何人從內部進入INTERNET網路。一般這種防火牆的特點非常安全,也不需要使用者名稱和密碼來登入。這種防火牆速度快而且易於維護,通常作為第一道防線。包過濾路由器的弊端也是很明顯的,通常它沒有使用者的使用記錄,這就不能從訪問記錄中發現駭客的攻擊記錄,而攻擊一個單純的包過濾式的防火牆對駭客來說是比較容易的,他們在這一方面已積累了大量經驗。“資訊包衝擊”是駭客比較常用的一種攻擊手段,駭客們對包過濾式防火牆發出一系列資訊包,不過這些包中的IP地址已經被替換掉了,取而代之的是一串順序的IP地址。一旦有一個包通過了防火牆,駭客便可用這IP地址來偽裝發出的資訊。
2.2 Proxy 伺服器
如果說包過濾只是根據地址進行選擇而對IP包要麼原封不動進行轉寄要麼被限制的話,那麼Proxy 伺服器完全是對包進行拆封並經過功能分析後重新封裝。最好的例子是在內部網站執行telnet的過程。內部網站先將IP請求包傳輸給Proxy 伺服器,然後由伺服器剖析後重新產生請求發向目的網站。如果不經過Proxy 伺服器,內部網路的請求根本到不了目的網站,因為這些IP包在Proxy 伺服器上是不會自動轉寄的。反向的情況也一樣。這樣利用用戶端軟體串連Proxy 伺服器後,Proxy 伺服器啟動它的用戶端代理軟體,然後傳回資料。由於Proxy 伺服器重複所有通訊,因此能夠記錄所有進行的工作。只要配置正確,Proxy 伺服器就絕對安全,這是它最可取之處。它阻擋任何人進入,因為沒有直接的IP通路,所有IP都需要進行轉換髮送。
可見只要通過設定防火牆,就可允許單位內部員工使用EMAIL,瀏覽WWW及檔案傳輸,但不允許外界任意訪問公司內部的電腦,你也可以禁止內部不同部門之間互相訪問。
3.防火牆伺服器如何設定
一級防火牆是整個內部網路對外的樞紐,是一定需要設立的。它一邊聯結單位內部網路,一邊通往防火區網路。防火區網路上可擺上單位對外提供服務的主機,例如:WEB Server、EMAIL Server、POP3Server及FTP server等,提供對外的服務。有些人會認為這些服務主機,既然是要給外人使用的,為什麼不直接擺在防火牆外,而要擺在防火牆內接受防火牆的控管呢?其實這個道理很簡單:首先,擺在防火牆內,你可以對任何存取你的伺服器的訪客留下記錄,以供日後的追查或統計分析。其次,可增加其安全性,避免駭客對你的伺服器的攻擊。防火牆的設定,可保證你的伺服器主機只提供它應提供的服務,而阻擋所有不當的存取與連線,避免駭客在你的服務主機上開後門。這就是要開一個防火區網路來放置 所有對外的服務主機的道理。
單位可根據實際的需要,將某些較重要而有安全顧慮的部門網路,加上防火牆的配置,此即所謂的單位內防火牆(Intranet Firewall)。單位內防火牆的功能與主防火牆類似,但因為其數量可能很多,會分配到各部門的網路內,因此其管理規則的設定、系統的維護,不應太過困難。
單位希望建置一個安全的網路環境,除了採用防火牆之外,當然還必須妥善的規劃其架構,擬定其安全政策,最重要的是必須徹底執行其安全政策,而防火牆是落實這些安全政策的必要且重要的工具之一。INTERNET網路商用化的趨勢愈來愈明顯,單位網路的安全性規劃更是刻不容緩,一個好的防火牆的規劃必須能充分的配合執行單位所制定的安全政策,再加上安全的建置架構,方能提供單位一個方便而安全的網路環境。
4.防火牆的選購策略
(1)選配防火牆前,首先要知道防火牆的最基本效能。
防火牆一般應具備如下效能:
①防火牆除包含先進的鑒別措施,還應採用如包過濾技術、加密技術、可信的資訊技術等盡量多的技術。同時需要配備身份識別及驗證、資訊的保密性保護、資訊的完整性校正、系統的存取控制機制、授權管理等。
②防火牆過濾語言應該是友好靈活的,同時應具備若干諸如源和目的IP地址、協議類型、源和目的TCP/UDP連接埠及入出介面等過濾屬性。
③防火牆應該忠實地支援自己的安全性策略,並能靈活地容納新的服務和機構,改變所需的安全性原則。防火牆應包含集中化的SMTP訪問能力,以簡化本地與遠程系統的SMTP串連,實現本地E-mail集中處理。
④若防火牆需Unix之類的作業系統,該系統的版本安全本身就是一個需要考慮的重要問題,應該作為防火牆的一部分,當用其他安全工具時,要保證防火牆主機的完整性,而且該系統應能整體安裝。防火牆及作業系統應該可更新,並能用簡易的方法解決系統故障等。
(2)選購防火牆前,還應認真制定安全政策,也就是要判定一個周密計劃。
安全政策是規定什麼人或什麼事允許串連到哪些人或哪些事。也就是說,事先要考慮把防火牆放在網路系統的哪一個位置上,才能滿足自己的需求,才能確定欲購的防火牆所能接受的風險水平。
(3)在滿足實用性、安全性的基礎上,還要考慮經濟性。
5.INTERNET連網應用執行個體
5.1 系統設計目標
(1)首先建立安裝防火牆使用可程式化路由器作為包過濾器,此法是目前用得最普通的網路互連安全結構。路由器根據源/目的地址或包頭部的資訊,有選擇地使資料包通過或阻塞。
(2)其次建立安裝防火牆的基本方法是,把防火牆安裝在一台雙連接埠的主機系統中,串連內部網路。而不管是內部網路還是外部網路均可訪問這台主機,但外部網路不能與內部網上的主機直接進行通訊。
(3)另外由於計費的需要,防火牆系統對外防火牆,對內審計、計費系統。
實際上防火牆需是集IP流量計費、流量控制、網路管理、使用者驗證、安全控制於一身的綜合防火牆。本系統的主要功能包括:防止外部攻擊,保護內部網路、解決網路邊界的安全問題。通過防火牆隔離內外網路支援訪問代理功能對IP地址進行存取控制對連接埠進行存取控制對協議進行存取控制。
5.2 防火區結構構架
我們實際上採用的是在內部網路與INTERNET接入網之間設立一個防火區。防火區由Cisco 2501路由和E-MAIL伺服器、WEB伺服器和Proxy 伺服器組成,相互之間用HUB相連。允許外部INTERNET使用者作限定的訪問。允許內部網站通過Proxy 伺服器對外訪問。
5.2.1 過濾路由器
其中Cisco 2501通過MODEM和DDN專線負責接入CHINANET(163)及CHINAINFO(169國內多媒體資訊網),實現與INTERNET串連。其主要用作過濾路由和網路位址轉譯(NAT)。雖然防火區內每個伺服器都配有163地址和169地址,但是防火區中的伺服器網段上,實際只配置了169地址網段,這樣所有需要訪問上述伺服器含163地址(202.96.XX.XX)的IP包都被轉成對應的含169地址(10.103.XX.XX)的IP包。這項任務由路由器2501來完成。這樣處理可以既 不影響速度,也減少了裝置,又便於進行管理。
5.2.2 Proxy 伺服器
5.2.1.1 配置及主要功能
Proxy 伺服器配置為:P11/512M記憶體/6.4G硬碟4隻/3C509網卡2塊/LUNIX作業系統其主要作為內部網路訪問外界的Proxy 伺服器,也是主要的防火牆,一般由其外發的IP包的地址為設定成202.96.XX.5格式,這樣在駭客截走這個包後再企圖對該伺服器進行進攻會招致失敗。另外該伺服器還作為front page伺服器,這樣使得在內部對相同的網站進行訪問時,只要提供從伺服器自身擷取資料即可。這樣可以提高速度降低費用。
5.2.2.2 流量控制
在流量統計方面可以分別按IP地址,按服務類型進行流量統計,可以對國內國外、流入流出進行統計,使用者可以根據情況自訂國內和國外子網段,針對不同的子網段可以有不同的存取控制和計費標準。流入流量就是由外部網路到內部子網的流量,流出流量是由內部子網訪問外部網路的流量。IP防火牆可分別統計從內部子網到國內國外的流量,以及內外子網流入流出的流量。可按流量日誌統計管理,支援資料庫,支援統計、計算、查詢和報表,即時監控,顯示網路的通斷狀態。
防火牆可即時監控網路狀態,並留有記錄,管理員可以通過圖表查看網路通斷狀態。管 理員可監控每一個使用者的使用流量並根據需要中止該使用者當月的使用。
5.2.2.3 主要技術
主要技術有IP包過濾、IP計費、IP和MAC地址的對應、RADIUS使用者驗證和授權、主機安全、 地址轉譯。
5.2.3 其他伺服器
5.2.3.1 WEB伺服器
配置為:P11/256MB記憶體/6.4GB硬碟2隻/3C509網卡1塊/WINDOWS NT其主要用於存放公司首頁等;另外為了訪問安全和提高訪問速度,我們要求另在169系統上申請一個300MB的儲存空間,主要作為首頁的訪問鏡像。
5.2.3.2 E-MAIL及DNS伺服器
配置為:P11/256MB記憶體/6.4GB硬碟2隻/3C509網卡2塊/LUNIX主要外來的電子郵件接收、[不在辦公室] 訊息發送和網域名稱轉換。提供SMTP和P0P3功能。
5.3 系統安裝
5.3.1 網路地址配備
在安裝前首先向電信部門申請DDN專線,同時在申請到20個169的IP地址(10.103.XX .XX)及8個163的IP地址(202.96.XX.XX)。對IP地址進行分配。其中:3個163 IP地址用於線路及路由器,還有5個地址用於伺服器。4個169 IP地址用於網路連接,3個169 IP地址用於線路及路由器。5個169 IP地址用於公有的163地址作對應,即還有4個169的位址保留區。
我們的網段分配如下:
路由器、WEB伺服器、EMAIL SERVER、Proxy 伺服器各分配到1個163地址和169地址,這些裝置之間通過同一網段169網段串連。我們為163設定虛擬網段,由路由負責將163網路位址轉譯成169地址。內部網路的IP地址統一為172.16.XX.XX,為了實現Proxy 伺服器、MAIL SERVER等與內部網路連接,我們給Proxy 伺服器和MAIL SERVER各分配了一個內部網路地址。
5.3.2 系統安裝
a 網路連接
b 路由及各伺服器作業系統安裝調試
c 根據地址分配設定網卡地址,注意Proxy 伺服器的169地址應該設定成網關地址(GATEWAY)
d Proxy 伺服器計費軟體和Front Page安裝調試
e WEB伺服器調試
f MAIL SERVER網域名稱轉換安裝調試
5.4 防火牆系統的維護原則
防火牆的維護防火牆的管理維護工作,是一項長期、細緻的工作。必須經過一定水平的業務培訓,對自己的電腦網路系統,包括防火牆在內的結構配置要清楚。
實施週期性掃描和檢查,發現系統結構出了問題,能及時排除和恢複。
保證系統監控及防火牆之間的通訊線路能夠暢通無阻,以便對安全問題進行警示、修複、處理其他的安裝資訊等。
保證整個系統處於優質服務狀態,必須全天候的對主機系統進行監控、管理和維護,達到萬無一失。
6.總結
我們目前設計的系統已經實現了基本安全和日常流量控制,主要包括:
①通過虛擬位址設立,有效控制外來訪問,實現防止外來入侵目的;
②控制雙向資訊流向和資訊包,並對進出流量進行計算以控制費用;
③通過地址轉換隱藏內部IP地址和實際網路結構;
④便於提供VPN功能。
目前的系統設計上,不能完全阻擋有經驗的駭客襲擊,特別是內部駭客的襲擊。伺服器使用的是Red Hat的Linux,系統本身不會受到常見病毒的感染,但其不能對病毒進行過濾,工作站受病毒侵襲的可能依然存在。所以今後網路安全在技術和管理上還有待於進一步發展。