设计防火墙系统

翻译整理：Zer4tul  
A
practice
from the CERT®
Security Improvement Modules

防火墙系统设计要求你能够了解并鉴别你的网络的安全域。网络的安全域是指一个网络中的在统一的安全策略下运行的邻近域。无论这些域的交叉点在那里，在这些域的边界肯定有一种潜在的对策略冲突决策机制的需求。这也是防火墙技术有用的地方。
现在，防火墙最常用于一个组织的内部网络和互联网之间。在设置互联网防火墙的时候，你首先必须决定它的基本结构（假设你已经确定了你的防火墙需求和安全策略，并且决定实施它们）。在本文中，“结构”代表防火墙的各个组成部分（软件和硬件）的总和，以及它们之间的连通性和功能分配。有两种防火墙结构，我们称它们为“单层结构”和“双层结构”。
在单层结构中（见
图1-1“单层结构”
），一台主机实现所有功能，并且与需要它控制访问的所有网络相连接。这种方法通常适用于对价格敏感或者只有两个网络互联的情况。它的优点在于，那台主机上的防火墙可以监控一切事情。在需要实行的安全策略比较简单，并且接入的网络也不多的情况下，这种结构是十分划算并且容易维护的。它最大的缺点是容易受执行缺陷（Implementation Flaw）以及配置错误的影响——由于这种结构的特性，只要有一个缺陷或者错误，就可以使防火墙失效。
在多层结构中（见
图1-2“多层结构
”），防火墙功能需要一定数量的主机来实现，而且通常采用级联方式，并且它们之间有DMZ网络。这种结构比单层结构更难设计和操作，但是它能够通过多样化的防御措施而提供更强的安全性。我们建议在每台防火墙主机中使用不同的防火墙技术，虽然这样的花费也更高。这样可以避免在不同的层中出现相同的执行缺陷和配置错误。这种结构最常见的设计方法就是在一个DMZ网络中接入一个由两台主机互联而组成的互联网防火墙。（The most common design approach for this type of architecture is an Internet firewall composed of two hosts interconnected with one DMZ network. ）
在确定基本结构（比如主机数量，主机连接方式，每台主机的任务）之后，下一步就是确定这些主机实现的防火墙功能。最基本的两种防火墙功能类型是包过滤和应用代理。这些功能可以单独或者结合使用，并且可以在同一台或者不同的防火墙主机上实现。现在，包过滤防火墙产品已经融入了一些应用代理的特点，并且通常被称作状态验证包过滤（Stateful Inspection Packet Filter）。如果希望了解更多的关于防火墙功能的细节，请参见《Building Internet Firewalls》[Chapman 95]和《Firewalls Complete》[Goncalves 98]以及《Firewalls fend off invasions from the Net》[Lodin 98]。
关于同时使用包过滤和应用代理，这里有一个很好的理由。某些服务（例如SMTP，HTTP，NTP）通常是十分容易通过包过滤控制的，而其他一些服务（例如DNS，FTP）则可能需要一些只有应用代理才有的更复杂的特性。包过滤的速度很快，应用代理的速度要慢一些。在一些要求高访问量控制并且对代理性能要求很高的情况下，状态验证包过滤或许是一个比较折衷的方案。在任何情况下我们都需要尽量使用这些不同的功能（比如包过滤，代理和状态验证），并且将它们应用于合适的地方。
理论上，防火墙结构的设计应该在防火墙硬件和软件选择之前。然而，我们发现在一些组织中，一些形式的防火墙已经在运行了。（However, we recognize that in some organizations, some form of firewall may already be in place.）
  
为什么很重要

标签：

版权申明：本站文章部分自网络，如有侵权，请联系：west999com@outlook.com
特别注意：本站所有转载文章言论不代表本站观点，本站所提供的摄影照片，插画，设计作品，如需使用，请与原作者联系，版权归原作者所有