设计防火墙系统

2009-05-13 12:59:51来源:未知 阅读 ()

新老客户大回馈,云服务器低至5折

翻译整理:Zer4tul  
A
practice
from the CERT®
Security Improvement Modules

防火墙系统设计要求你能够了解并鉴别你的网络的安全域。网络的安全域是指一个网络中的在统一的安全策略下运行的邻近域。无论这些域的交叉点在那里,在这些域的边界肯定有一种潜在的对策略冲突决策机制的需求。这也是防火墙技术有用的地方。
现在,防火墙最常用于一个组织的内部网络和互联网之间。在设置互联网防火墙的时候,你首先必须决定它的基本结构(假设你已经确定了你的防火墙需求和安全策略,并且决定实施它们)。在本文中,“结构”代表防火墙的各个组成部分(软件和硬件)的总和,以及它们之间的连通性和功能分配。有两种防火墙结构,我们称它们为“单层结构”和“双层结构”。
在单层结构中(见
图1-1“单层结构”
),一台主机实现所有功能,并且与需要它控制访问的所有网络相连接。这种方法通常适用于对价格敏感或者只有两个网络互联的情况。它的优点在于,那台主机上的防火墙可以监控一切事情。在需要实行的安全策略比较简单,并且接入的网络也不多的情况下,这种结构是十分划算并且容易维护的。它最大的缺点是容易受执行缺陷(Implementation Flaw)以及配置错误的影响——由于这种结构的特性,只要有一个缺陷或者错误,就可以使防火墙失效。
在多层结构中(见
图1-2“多层结构
”),防火墙功能需要一定数量的主机来实现,而且通常采用级联方式,并且它们之间有DMZ网络。这种结构比单层结构更难设计和操作,但是它能够通过多样化的防御措施而提供更强的安全性。我们建议在每台防火墙主机中使用不同的防火墙技术,虽然这样的花费也更高。这样可以避免在不同的层中出现相同的执行缺陷和配置错误。这种结构最常见的设计方法就是在一个DMZ网络中接入一个由两台主机互联而组成的互联网防火墙。(The most common design approach for this type of architecture is an Internet firewall composed of two hosts interconnected with one DMZ network. )
在确定基本结构(比如主机数量,主机连接方式,每台主机的任务)之后,下一步就是确定这些主机实现的防火墙功能。最基本的两种防火墙功能类型是包过滤和应用代理。这些功能可以单独或者结合使用,并且可以在同一台或者不同的防火墙主机上实现。现在,包过滤防火墙产品已经融入了一些应用代理的特点,并且通常被称作状态验证包过滤(Stateful Inspection Packet Filter)。如果希望了解更多的关于防火墙功能的细节,请参见《Building Internet Firewalls》[Chapman 95]和《Firewalls Complete》[Goncalves 98]以及《Firewalls fend off invasions from the Net》[Lodin 98]。
关于同时使用包过滤和应用代理,这里有一个很好的理由。某些服务(例如SMTP,HTTP,NTP)通常是十分容易通过包过滤控制的,而其他一些服务(例如DNS,FTP)则可能需要一些只有应用代理才有的更复杂的特性。包过滤的速度很快,应用代理的速度要慢一些。在一些要求高访问量控制并且对代理性能要求很高的情况下,状态验证包过滤或许是一个比较折衷的方案。在任何情况下我们都需要尽量使用这些不同的功能(比如包过滤,代理和状态验证),并且将它们应用于合适的地方。
理论上,防火墙结构的设计应该在防火墙硬件和软件选择之前。然而,我们发现在一些组织中,一些形式的防火墙已经在运行了。(However, we recognize that in some organizations, some form of firewall may already be in place.)
  
为什么很重要

标签:

版权申明:本站文章部分自网络,如有侵权,请联系:west999com@outlook.com
特别注意:本站所有转载文章言论不代表本站观点,本站所提供的摄影照片,插画,设计作品,如需使用,请与原作者联系,版权归原作者所有

上一篇:利用squid实现反向代理(同时具备内网代理)

下一篇:Openbsd 3.6 + APACHE + MYSQL + PHP + mod_limitipco