扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
问题一:
某国家机关,防火墙投入运行后,实施了一套较为严格的安全规则,禁止内部员工使用QQ聊天,可是没过多久就有员工私自用PC拨号上网,结果导致感染了特洛依木马和蠕虫冲击波等病毒,并立刻在内部局域网中传播开来,造成内部网大面积瘫痪。
通过这个案例,我们需要明确的是,防火墙作为一种边界防护类型的网络安全设备,必须部署在受保护网络的边界处,只有这样,防火墙才能控制所有出入网络的数据通信,达到将入侵者拒之门外的目的。如果被保护网络的边界不惟一,有额外的出入口,那么入侵者会通过其它途径先入侵我们的主机,然后进一步攻击我们整个网络。
我们设置的防火墙策略,其实是与单位的制定的上网管理制度严格相关的,在配置防火墙控制策略前,我们一般需要先制定企业安全上网的管理制度,并彻底贯彻实施。在上述案例中,首先应该在单位制度中明确严格禁止私自拨号上网的行为,以防止出现多出口的情况。同时,在制定策略时,也要考虑员工的需求,可以按照时间段添加防火墙规则,比如在非工作时间开放员工QQ上网聊天等的权限。
问题二:
关于防火墙DMZ区的使用和防火墙的DMZ区域规则的配置。
现在很多企业网络一般都是很简单,防火墙部署在企业网出口,后面接内网核心交换机,核心交换机再接分支交换机,用户主机接各个分支交换机进行网络访问。笔者在用户使用大唐龙创防火墙或者其他品牌的调查中发现,由于一些网络集成商,对于防火墙的DMZ区没有深刻认识,有些企业防火墙的DMZ口并没有使用,企业网内部对外开放的服务器与所有上网办公主机是混在一起的。而有一些企业,虽然使用了DMZ接口,但由于设置的规则不合理,其实并没有起到DMZ区隔离安全效果。这其实都存在很大的安全隐患。
如果内部服务器是与其他主机混在一起,没有放在独立的DMZ区进行隔离,其后果可能是,一旦服务器被黑客利用其漏洞攻击成功,则整个网络就暴露在黑客面前,黑客将很轻松的以服务器为跳板攻击整个网络。
因此,我们在配置开放服务的防火墙DMZ区策略时,也一定要严格,一般都细化到服务器每个端口,开放了什么服务,才在防火墙规则中打开什么端口号。对于不使用的端口号,要全部禁止。同时,特别要注意的是,千万不要在防火墙中加DMZ区到内网区的全通规则,如果这样,DMZ区也就失去了防护的意义。如果确实有到内网的通信需求,也要细化到哪个IP地址的哪个端口,或者在需要时动态添加,当业务完成后,就要马上将规则删除。
问题三:
一些单位以前是通过传统路由器进行上网,现在考虑安全性的问题,才购买的硬件防火墙,在这种情况下,应该如何部署防火墙?
在网络设计中,一般有三种接入方式,下面对这三种防火墙的位置进行一下比较:
1)放在路由器之前,路由器与接入光纤的光电转换之间,防火墙工作在透明方式。
这种方式下,路由器的配置不变,通过设置规则,防火墙可以有效保护内部开放的服务器和路由器本身,但由于防火墙在路由器外,此时内部用户的数据包到达防火墙时已经做了源地址转换SNAT,因此,防火墙不能对内部的用户做差异化的配置,而只能将内部所有用户视作一个整体进行业务的封锁和保护,因此在使用上有一定的局限。
2) 放在路由器之后,路由器与交换机之间,防火墙工作在透明方式。
同第一种方式相比,这种方式仍不需要修改路由器和内部PC的配置,且由于是防在内网,因此可以在规则配置时做差异化的配置,如领导的PC可以任何时间访问任何资源,而普通员工上班时间只能访问网页和收发mail,而下班时间才将MSN,QQ,视频等业务放开。目前使用这种方式的网络比较普遍。但这种方式在网络改造时最容易忽略案例二所讲到的,没有把内部开放服务的集中和放在DMZ区进行隔离。
3)防火墙替换出口路由器,作为出口网关,工作在路由方式。
同以上两种方式相比,此时防火墙承担了更大的功能,不仅可以实现方式二的所有功能,而且网络拓扑也变得简单,今后网络出现故障也容易查询,特别是随着防火墙产品性能的提高和功能的更加丰富,这种方式已越来越成为主流。
在第三种方案中,对于替换原有出口路由器的处理,根据其使用年限和路由器档次的不同,可以如下选择:
1)做为出口防火墙的备份,当防火墙出现故障时,作为备用设备顶替。
2)对于比较大的网络,可以使用在内部重要部门子网的出口,如财务部,隐藏重要部门内部的网络拓扑和PC的地址,不受攻击。
3)使用在其他网络的建设中,或者使用了很长时间或者档次比较低级,也可以申请报废。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。
现场直击|2021世界人工智能大会
直击5G创新地带,就在2021MWC上海
5G已至 转型当时——服务提供商如何把握转型的绝佳时机
寻找自己的Flag
华为开发者大会2020(Cloud)- 科技行者
京公网安备 11010802021500号