分析企业防火墙构建的误区和实施策略(2)
时间:2018-06-30 18:23 来源:网络整理 作者:墨客科技 点击:次
安全防火墙架构的首要关键组件是策略的设计。实现这些目标的最为重要的概念是使用原则的需要。在防火墙的策略中,这只是意味着除非有一个明确的原因要求使用某种服务,这种服务默认地必须被阻止或拒绝。为实施默认的服务阻止规则,在所有策略集的末尾只需要全局性地实施一种防火墙策略,即丢弃一切的规则,意思就是防火墙的默认行为是丢弃来自任何源到达任何目的地的任何服务的数据包。这条规则在任何的防火墙策略中是最后一条规则,因为在某种通信在有机会进入之前,它已经被封杀了。一旦实施了这种基本的行为,就需要对特定的源、特定的服务、对特定的目标地址的访问等实施在一些精心设计的规则。一般而言,这些规则越精密,网络也就越安全。 例如,用户可被准许使用对外的一些常见服务端口,如HTTP,FTP,媒体服务等,但其它的服务和程序除非有了明确的原因才准许通信。在根据企业的需要找到一种特别的原因后,就需要在验证和核准后增加一些严格控制的针对性规则。管理员们常犯的一个错误是他们将用户的权限扩展到了服务和DMZ网络。适用于用户的向外转发数据的规则通常并不适用于服务器。在认真考虑之后,管理员会找到Web服务器并不需要浏览Web的理由。服务器就是服务器,它主要是提供服务,而很少成为客户端。一个根本的问题是DMZ或服务器几乎不应当首先发起通信。服务器典型情况下会接受请求,但几乎不可能接受来自公共的互联网的请求服务,除非是企业合伙人的XML及EDI应用。其它的例外还有一些,如提供驱动程序和软件更新的合法厂商的站点,但所有的例外,都应当严格而精密地定义。遵循这些严格的标准可以极大地减少服务器被损害的可能,最好能达到这样一种程度,只要部署了这种策略,即使服务器没有打补丁,也能防止内部子网的蠕虫传播。 实施良好的防火墙网络设计 防火墙安全的另外一个关键组件是物理网络的拓扑。如下图1:
再看下图2: 防火墙的内部可以连接下面的子网: 核心3层交换机 DMZ 外延网 临时区域 其它 核心三层交换机一般通过VLAN之间的路由功能到达用户的核心交换机。这些VLAN可包含拥有众多用户的大量的VLAN、支持多个服务器群的 VLAN(这些服务器并不直接暴露在互联网上)。在这个例子中,用户必须理解在这些服务器群的VLAN和用户VLAN之间并不存在什么防火墙,因为用户到服务器的通信是由核心三层的交换机发送的,绝不会通过防火墙。有一些公司将其所有的服务器都放置在防火墙之后并与用户分离,这有点儿太极端,不过,管理防火墙后面的有大量端口需求的多个内部服务器可能非常困难,所以这样做并不明智。 DMZ用于从公共的互联网访问的服务器。它直接位于防火墙之后,并且总是过滤通信。 (责任编辑:admin) |
- 上一篇:部署防火墙策略的十六条守则
- 下一篇:食药监总局发布管理办法 《网络餐饮服务食品安