企业网络防火墙的设计及选型.docVIP

企业网络防火墙的设计及选型 　　防火墙作为外部网络及内部网络中间的一道天然屏障，能有效阻止来自外部的网络攻击，并管理来自内部的数据访问，从而有效增加了企业网络的安全性。通过有效的防火墙部署策略，可以令企业业务正常开展，让企业内部网络高度安全。 　　一、防火墙常见设计方案 　　1.防火墙设计的几个考虑因素 　　防火墙的设计要考虑其可用性、安全性、可扩展性、可靠性、经济性及标准等。如安全性是否通过国际计算机安全协会（ICSA）的认证，是否支持扩展等。 　　2.防火墙位置选择 　　防火墙通常有两种放置方法：放在路由器前面；放在路由器后面。两者各有优缺点，笔者认为把防火墙放到路由器的后面效果更好，原因有三：（1）网络边界的路由器负责网络互联、数据包的转发，防火墙负责数据包过滤等安全防护的工作保护内部网络，提高网络速度；（2）路由器上的接口类型丰富，能适应更多的广域网的接入技术；（3）通过防火墙在内部之间划分不同的区域，如内部网络区域，DMZ区域、外部网络区域。这种区域的划分，可以有效管理来自内部和外部的数据，让网络更安全。对于一些要公开的服务及应用，将它划在DMZ区，可以有效地避免与内部网络更严格的安全策略相矛盾的情况。 　　3.防火墙常见设计方案 　　（1）典型设计。防火墙置于边界路由器与交换机之间隔离内网和外网，保护内部网络安全，如图1所示。 　　（2）多区域划分。在支持区域划分的防火墙上，为了更好地实施域间策略，增加网络安全性，通常通过防火墙将网络划分为多个区域，如外部区域、内部区域、DMZ区域等。DMZ区域通常用于放置企业对外提供服务的服务器。如图2所示。 　　（3）容错防火墙集配置。由于防火墙位于网络关键路径，若其发生故障，则不同区域的网络将不能相互访问，可能会导致企业业务的中断。在企业对网络安全要求高且需要防火墙提供全天候网络保护的情况下，可以采用容错防火墙集的方式实现容错，从而实现稳定的可靠的服务。 　　容错防火墙集有两种不同的配置方法，分别是“主动/被动容错防火墙集”、“主动/主动容错防火墙集”。“主动/被动容错防火墙集”将防火墙分为主防火墙与备份防火墙，主防火墙处理所有通信，备用防火墙不执行通信，也不执行筛选，只保持活动状态。主从之间通过心跳线来相互检测双方是否正常的运行，一旦主防火墙不工作，备用防火墙则马上接替主防火墙工作，如图3所示。 　　“主动/主动容错防火墙集”这种配置方式，两个防火墙主动侦听发到虚拟IP地址的所有请求，主动筛选不同的通信，两者同时负担网络所有的通信。因此，相对来说“主动/主动容错防火墙集”利用率高，能处理更大的通信量；当其中一个防火墙有问题时，另外一个防火墙主动承担另外一个防火墙的通信。其设计只需将图3所示中的备份防火墙改为主防火墙就行了。 　　二、防火墙的种类及选择 　　1.ISA SERVER防火墙 　　该防火墙属于应用层防火墙，工作在TCP/IP 堆栈的“应用层”上，可以拦截进出某应用程序的所有封包。理论上，这一类防火墙可以完全阻绝外部的数据流进到受保护的机器里。使用浏览器所产生的数据流或是使用 FTP 时的数据流都是属于这一层。 　　使用该防火墙可以实现拒绝应用层上的服务，如FTP/WWW/TELNET等的服务，还可以禁止QQ，MSN网络应用软件等的通信。但其由于需要把数据还原到应用层，其系统资源的开销也比传统的包过滤防火墙要高，因此安装ISA的服务器有一定的性能要求，否则ISA将会成为网络的瓶颈。 　　使用ISA SERVER作为企业网络防火墙时，通常将网络划分为不可信的外部网络以及可信的内部网络。两个区域内网网络的客户端分为三种类型： 　　第一种是WEB代理客户端ISA SERVER作为代理服务器来用，只需要在代理客户端IE浏览器的internet选项上设置http代理服务器为ISA服务器即可。这种客户端只可以上网，不可以进行如QQ之类的通信。此种客户端的安全限制比较高，比较适合企业的某些仅可以上网页查找资料的部门，如财务部。由于其利用ISA SERVER上的缓存功能，上网的速度较快。 　　第二种是NAT客户端，这种客户端只需要配置网关及DNS等信息，即可通过ISA代理服务器通向外网。这种客户端的没有安全限制，可用于对访问外网没有安全限制的部门或者对外提供服务部门，如邮件服务器、Web服务器。 　　第三种是防火墙客户端，通常这种客户端的设置是为了防止这些客户端受到来自内网的攻击。这种客户端需要在机器上安装ISA的专用的客户端，这类客户端需要认证才能访问外网，通常这种客户端已经适合企业内部的服务器。如果有必要，也可以在ISA SERVER上多安装一块网卡，单独划分出一个DMZ区域来部署企业对外的服务器。 　　由于网络出口要经过ISA SE