2015-4-14传统防火墙解决方案

第1章综述
1.1前言
随着计算机技术和通信技术的飞速发展，信息化浪潮席卷全球，一种全新的先进生产力的出现已经把人类带入了一个新的时代。

信息技术的发展极大地改变了人们的生活、工作模式，网上新闻、网上购物、远程教育、电子商务等等各种应用层出不穷，世界各地的信息资源得到了高度的共享。

这充分显示出信息化对社会生产力的巨大变革作用。

1.2深信服的安全理念
网络安全可以分为数据安全和服务安全两个层次。

数据安全是防止信息被非法探听；服务安全是使网络系统提供不间断的通畅的对外服务。

从严格的意义上讲，只有物理上完全隔离的网络系统才是安全的。

但为了实际生产以与信息交换的需要，采用完全隔离手段保障网络安全很少被采用。

在有了对外的联系之后，网络安全的目的就是使不良用心的人窃听数据、破坏服务的成本提高到他们不能承受的程度。

这里的成本包括设备成本、人力成本、时间成本等多方面的因素。

为提高恶意攻击者的攻击成本，深信服的安全理念提供了多层次、多深度的防护体系，。

第2章防火墙解决方案
2.1网络攻击检测
对有服务攻击倾向的访问请求，防火墙采取两种方式来处理：禁止或代理。

对于明确的百害而无一利的数据包如地址欺骗、Ping of Death等，防火墙会明确地禁止。

对一些借用正常访问形式发生的攻击，因为不能一概否定，防火墙会启用代理功能，只将正常的数据请求放行。

防火墙处在最前线的位置，承受攻击分析带来的资源损耗，从而使内部数据服务器免受攻击，专心做好服务。

因为防火墙主动承接攻击，或主动分析数据避免攻击，其性能方面有一定的要求。

完善的解决方案应该是安全产品从技术设计层面、实际应用层面能够承受大工作量下的性能、安全需求。

2.2访问控制
从外网（互联网或广域网）进入内部网的用户，可以被防火墙有效地进行类别划分，即区分为外部移动办公用户和外部的公共访问者。

防火墙可以允许合法用户的访问以与限制其正常的访问，禁止非法用户的试图访问。

限制用户访问的方法，简单讲就是策略控制。

通过源IP、目的IP、源应用端口、目的端口等对用户的访问进行区分。

此外，配合策略控制，还有多种辅助手段增强这种策略控制的灵活性和强度，如日志记录、流量计数、身份验证、时间定义、流量控制等。

深信服防火墙的规则设置采取自上而下的传统。

每条策略可以通过图形化的方式添加、修改、移动、删除，也可以通过ID号进行命令行操作。

一些细小的特性使使用者感到方便，如可以在添加策略的同时定义Address等。

深信服防火墙支持区域到区域之间、相同区域内、区域到其他所有区域的策略定义，而且其不同的策略种类具有不同的优先级，充分体现出灵活性与实用性。

2.3管理方式
任何网络设备都需要合理的管理方式。

安全产品要求合理的、丰富的管理方式以提供给管理人员正确的配置、快速的分析手段。

在整体的安全系统中，如果涉与数量较大的产品，集中的产品管理、监控将降低不必要的重复性工作，提高效率并减少失误。

2.4流量控制
IP技术“尽力发送”的服务方式对服务质量控制能力的欠缺是IP技术发展的桎梏。

防火墙作为网络系统的关键位置上其关键作用的关键设备，对各种数据的控制能力是保证服务正常运行的关键。

不同的服务应用其数据流量有不同的特征，突发性强的FTP、实时性的语音、大流量的视频、关键性的Telnet控制等。

如果防火墙系统不能针对不同的应用做出合理的带宽分配和流量控制，某一个用户的应用会在一定的时间内独占全部或大部分带宽资源，从而导致关键业务流量丢失、实时性业务流量中断等。

目前很多IP网络设备包括防火墙设备在流量管理上采取了不同的实现方法。

具有流量管理机制的防火墙设备可以给用户最大的两或控制带宽效率的手段，从而保证服务的连续性、合理性。

2.5网络层攻击保护
基于安全区段的防火墙保护选项
防火墙用于保护网络的安全，具体做法是先检查要求从一个安全区段到另一区段的通路的所有连接尝试，然后予以允许或拒绝。

缺省情况下，防火墙拒绝所有方向的所有信息流。

通过创建策略，定义允许在预定时间通过指定源地点到达指定目的地点的信息流的种类，您可以控制区段间的信息流。

范围最大时，可以允许所有类型的信息流从一个区段中的任何源地点到其它所有区段中的任何目的地点，而且没有任何预定时间限制。

范围最小时，可以创建一个策略，只允许一种信息流在预定的时间段内、在一个区段中的指定主机与另一区段中的指定主机之间流动。

为保护所有连接尝试的安全，防火墙设备使用了一种动态封包过滤方法，即通常所说的状态式检查。

使用此方法，防火墙设备在TCP 包头中记入各种不同的信息单元— 源和目的IP 地址、源和目的端口号，以与封包序列号—并保持穿越防火墙的每个TCP 会话的状态。

（防火墙也会根据变化的元素，如动态端口变化或会话终止，来修改会话状态。

）当响应的TCP 封包到达时，防火墙设备会将其包头中包含的信息与检查表中储存的相关会话的状态进行比较。

如果相符，允许响应封包通过防火墙。

如果不相符，则丢弃该封包。

防火墙选项用于保护区段的安全，具体做法是先检查要求经过某一接口离开和到达该区域的所有连接尝试，然后予以准许或拒绝。

为避免来自其它区段的攻击，可以启用防御机制来检测并避开以下常见的网络攻击。

下列选项可用于具有物理接口的区段（这些选项不适用于子接口）：SYN Attack（SYN 攻击）、ICMP Flood（ICMP 泛滥）、UDP Flood （UDP 泛滥）和Port Scan Attack（端口扫描攻击）。

对于网络层的攻击，大多数从技术角度无法判断该数据包的合法性，如SYN flood, UDP flood，通常防火墙采用阀值来控制该访问的流量。

通常防火墙对这些选项提供了缺省值。

对于在实际网络上该阀值的确定，通常要对实施防火墙的网络实际情况进行合理的分析，通过对现有网络的分析结果确定最终的设定值。

比如，网络在正常工作的情况下的最大Syn数据包值为3000，考虑到网络突发流量，对现有值增加20%，则该值作为系统的设定值。

在实际应用中，这些参数要随时根据网络流量情况进行动态监控的更新。

第3章深信服防火墙的典型部署与应用
3.1高可靠全链路冗余应用环境
电信网络和许多骨干网络的可靠性要求很高，不允许出现因为设备的故障造成网络的不可用，因此在电信网络和骨干网络中加入防火墙的时候也必须考虑到这个问题，下图为深信服防火墙在骨干网络中应用的例子。

正常情况下两台防火墙均处于工作状态，可以分别承担相应链路的网络通讯。

当其中一台防火墙发生意外宕机、网络故障、硬件故障等情况时，该防火墙的网络通讯自动切换到另外一台防火墙，从而保证了网络的正常使用。

切换过程不需要人为操作和其他系统的参与，切换时间可以以秒计算。

同时，防火墙之间的其中一条链路用于实现状态表传送，当一台防火墙故障时，这台防火墙上的连接可以透明的、完整的迁移到另一台防火墙上，用户不会觉察到有任何变化。

防火墙之间的另外一条链路用于数据通讯，增加网络链路的冗余，增强可靠性。

3.2旁路环境下双机热备环境
本案例环境防火墙部署是在大型数据中心（IDC）经常使用的方案，利用交换机划分VLAN 的功能，相当于将交换机模块根据不同的VLAN分成几个交换模块使用，一个VLAN连接在防火墙的外部接口和上联路由器的接口，另外几个VLAN连接内部网和防火墙的内部接口。

所有外部流量从路由器接口进入交换机然后通过二层交换直接进入防火墙的外部接口，经过防火墙的内部接口后在进入交换机，最后进入内部核心网络。

3.3骨干网内网分隔环境
据赛迪(CCID)统计报告，网络攻击有70%以上来自于企业内部，因此，保护公司网络的
安全不仅要保护来自互联网的侵害而且要防止内部的攻击。

深信服防火墙从3个到8个千兆接口可进行模块化扩展，除了可以用作多DMZ区设置外，还可以将内网进行多重隔离保护。

通过防火墙将公司内部不同部门的网络或关键服务器划分为不同的网段，彼此隔离。

这样不仅保护了企业内部网和关键服务器，使其不受来自Internet的攻击，也保护了各部门网络和关键服务器不受来自企业内部其它部门的网络的攻击。

内网分隔的另一个目的是：防止问题的扩大。

如果有人闯进您的一个部门，或者如果病毒开始蔓延，网段能够限制造成的损坏进一步扩大。

3.4混合模式接入环境
深信服防火墙支持各种接入模式，分别为：透明模式、路由模式和混合模式，并支持各种模式之上的NAT模式。

⏹透明工作模式：防火墙工作在透明模式下不影响原有网络设计和配置，用户不需要
对保护网络主机属性进行重新设置，方便了用户的使用。

⏹路由工作模式：防火墙相当于静态路由器，提供静态路由功能。

混合工作模式：防火墙在透明模式和路由模式同时工作，极大提高网络应用的灵活性。

下图为企业的典型应用，需要防火墙支持混合工作模式，而许多防火墙不支持这种接入模式，给企业的应用带来不便。

例如：
某企业内网的地址为保留地址.2/24，企业的对外WWW服务器、MAIL服务器、DNS服务器的内部地址分别为、、，防火墙的内端口地址为，防火墙外网地址为对于服务器和Internet之间防火墙可使用透明方式，内网与服务器或Internet之间可以使用NAT方式，方便灵活部署防火墙。

3.5支持VLAN环境
VLAN(Virtual Local Area Network)中文一般译为虚拟局域网络，是一种在交换机上通过端口、地址等方式划分虚拟网络的技术。

在没有配置路由的情况下，不同VLAN之间是不能进
行通讯的，目前的网络环境中，许多企业也通过VLAN进行网络安全保护，例如：将财务部门划为一个VLAN等。

下图为一个企业划分VLAN的示意图：
此企业划分了4个VLAN，并且通过路由器作VLAN之间的路由。

此时如果加入防火墙，就需要防火墙支持VLAN。

否则防火墙会将VLAN之间通讯、VLAN之间路由的信息丢掉。

而现实中许多防火墙都不支持VLAN，这样就不能通过防火墙保护网络。

深信服防火墙Power V能够支持802.1Q和ISL封装协议，也就是说可以把防火墙架设在划分VLAN的交换机与交换机或交换机与路由器之间，可以通过防火墙作VLAN之间的路由，可以通过防火墙有效的保护网络。