防火墙拓扑结构.doc

为防火墙设置更安全的拓扑结构　随着网络安全成为越来越热门的话题，也许你要重新审查你的防火墙和网络安全的设置；也许你要重新考虑防火墙的设计；无论是哪种情况，你都要对于常见的防火墙配置很熟悉，并了解他们怎样能够提高网络安全性。在这篇文章里，我将要向你介绍一些常见的防火墙配置，和一些怎样进行一个安全网络拓扑设计的经验。本文当中提到的所有的拓扑结构图都可以免费下载。　　　　　建立一个防火墙安全策略 　　　　简单地说，一个防火墙是界于贵公司网络和Internet之间的一种软件或者硬件的数字过滤器。由于现在在互联网上有非常多的黑客，而黑客的软件又可以轻而易举地从网上下载，任何一个网络都应该有包括防火墙设计的安全措施。 　　　　如果你的经理正对你施加压力，让你建设一个强有力的防火墙来保证网络的安全，你该怎么做呢？你的措施应该包括以下两个方面。　　　　　　检查你的网络，认真考虑已有的安全措施（有存取表的路由器，入侵检测等）看它们能否成为你所设计的防火墙或是安全计划的一部分。　　　　保证通过购买新设备/软件，或者软件升级，你能获得一个专用防火墙解决方案。　　时刻记住，一个好的防火墙拓扑不仅仅是简单地过滤网络上的数据，它应该包括：　　　　　　一个可靠的策略　　　　通信检测　　　　日志功能　　　　对于内部网络的部分开放　　在订购或升级你的专用防火墙之前，你应该有一个可靠的安全策略。一个防火墙应该能够实现你的安全策略。通过记录和生成文件，应该能够更加清楚地反映你的安全策略。 防火墙的改动必须基于安全策略上的改动。　　　　设计良好的防火墙的一个最大的好处就是能够过滤通过的数据。将防火墙设定为让所有进出的数据都经过该防火墙里的某个特定的检查点的时候，你可以非常容易地通过查看日志来监控那些正常或者可疑的行为。　　　　一旦有了安全策略并有设置了相应的检查点，怎么样才能监控防火墙呢？通过使用报警功能和登陆记录，可以很容易地发现所有合法和未经授权的试图进入网络的操作，甚至可以通过购买第三方产品或服务来过滤掉那些你不需要的信息。　　　　对外部网络隐藏内部网地址表是一个好主意。要知道让外部世界知道你的内部网络规划是很愚蠢的。　　　　防火墙术语　　　　在我们进行更深一步的讨论防火墙设计之前，我们来看一下一些应该熟悉的术语。　　　　　　网关----网关通常是一台计算机，它把一个私有网络和另一个网络连接起来，通常是和Internet或者是WAN的连接。一个防火墙网关可以定义哪些内容可以、哪些内容不可以通过，并在内部网络和Internet之间进行数据传送。　　　　网络地址转换（NAT）-- NAT对外部网络（Internet）把内部的网络地址隐藏起来。如果你的防火墙使用了NAT，所有的内部地址将会被转换成公开的IP地址，这就隐藏了他们原来的身份。　　　　代理服务器-- 一个代理服务器代替了网络的IP地址，并且有效地对外部网络隐藏了内部真实的地址。代理服务器包括Web服务器，应用级网关。　　　　包过滤防火墙--这是一种简单的防火墙方案，它通常是在路由器上进行设置，用来对数据包进行过滤。当数据包经过防火墙的时候，防火墙会检查它们的包头。根据你设定的规则，这些包被接受或是被拒绝。因为大部分的路由器可以过滤数据包，这是一种很简单的办法来规定应该接受哪些数据包，拒绝哪些数据包。但是包过滤很难区分善意和恶意的数据包。　　　　筛选路由器--这是一种有两块网卡的包过滤路由。这种路由连接两个网络，并对两个网络间的数据进行过滤和控制。安全系统管理员制定过滤的规则。这种路由又被称之为外部路由或者边界路由。　　　　应用级网关---和路由器包过滤相比，这种网关允许网络管理员进行更加复杂的安全策略设置。它对于每种要通过防火墙的应用或者是服务采用专门的程序进行处理。　　　　堡垒主机--一个堡垒主机是一个计算机，它允许一个不安全的网络（比如Internet）访问一个安全的网络(比如你的内部网)。它通常被作为一个应用级网关被设置在两个网络之间。　　　　安全区（DMZ）-DMZ位于你的内部网络和外部网络之间，这是放置公开的服务器的最好位置。比如Web服务器和FTP服务器就可以放置在这里。　　现在我们已经把防火墙里的相关常用术语进行了解释，接下来让我们开始讨论一般防火墙的设计。　　　　筛选路由器　 　　　　一个筛选路由器是最简单的防火墙策略。这个方法很流行，因为有很多公司已经具备了这样的硬件条件。一个筛选路由器是你防火墙策略里一个非常好的第一道安全防线。它只是一个路由，根据IP地址、UDP和TCP端口来筛选数据。图A是一个筛选路由器方案的示意图。 　　　　　 图A 筛选路由器　　　　如果你决定采用