防火墙技术应用
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
浅谈防火墙技术的应用
摘要:运营商随着公司业务快速发展,对用户的各种服务也不断增强,用户的各种信息的安全性也突出显示。
因此做好内部网络安全工作非常重要。
本文结合工作实际的维护工作介绍防火墙技术的部分应用,对如何保护各类网络和应用的安全,如何保护信息安全成为了本文探讨的重点。
关键词:bss网、mss网、防火墙
正文
1、防火墙简介
通过防火墙的运用,将那些危险的连接和攻击行为隔绝在外。
从而降低网络的整体风险。
1.1防火墙功能
防火墙的基本功能是对网络通信进行筛选屏蔽以防止未授权的访问进出计算
机网络,简单的概括就是,对网络进行访问控制。
防火墙是一种计算机硬件和软件的结合,使不同网络之间建立起一个安全网关,从而保护内部网免受非法用户的侵入,防火墙主要由服务访问政策、验证工具、包过滤和应用网关4个部分组成。
1.2防火墙基本原理
防火墙是指一种将内部网和公众访问网(如internet)分开的方
法,实际上是一种隔离技术。
防火墙是在两个网络通讯时执行的一种访问控制,它能允许你“同意”的人和数据进入你的网络,同时将你“不同意”的人和数据拒之门外,最大限度地阻止网络中的黑客来访问你的网络
2、防火墙种类
从实现原理上分,防火墙的技术包括四大类:网络级防火墙(也叫包过滤
型防火墙)、应用级网关、电路级网关和规则检查防火墙。
2.1网络级防火墙
一般是基于源地址和目的地址、应用、协议以及每个ip包的端口来作出通过与否的判断。
2.2应用级网关
应用级网关能够检查进出的数据包,通过网关复制传递数据,防止在受信任服务器和客户机与不受信任的主机间直接建立联系。
2.3电路级网关
电路级网关用来监控受信任的客户或服务器与不受信任的主机间的tcp握手信息,这样来决定该会话(session)是否合法,电路级网关是在osi模型中会话层上来过滤数据包,这样比包过滤防火墙要高二层。
电路级网关还提供一个重要的安全功能:代理服务器(proxy server)。
2.4规则检查防火墙
该防火墙结合了包过滤防火墙、电路级网关和应用级网关的特点。
3、防火墙实际应用
在实际工作中,按照承载业务的不同,某运营商的网络大致可以分为两类。
一是bss网络,用于承载运营商的计费业务;二是mss网络,用于满足日常办公的需要;
3.1 网络结构
3.2网络说明
如图3-1所示,bss网络承载主用ip承载网,一条atm可以承载办公网,n*2m电路作为mss网络备用电路,达到了热备和扩容的目的。
而且出口的拥塞不会影响mss网络的使用,保证日常办公正常。
3.3安全域的划分
安全域的划分根据设备的用途、存储数据的重要性等因素,分为五个层级。
从0-4安全等级依次递减。
划分设备安全等级的原则包括以下几个要点:
存储私密数据,除系统工程师外不允许其他人随意访问的设备安全等级最高;
需要存取数据,又要提供对外接口的设备,安全等级次之;
有互联网出口的网络安全等级更低,如:办公网设备;
公网或vpn接入的设备可信度最低,所以安全等级最低。
3.4核心安全区域划分
3.4.1 核心安全网络图3-3
3.4.2
如图3-3所示,以两对防火墙作为分割线。
pix525以内的主机属于第0级;pix525和netscreen 500f之间的主机属于第1级;netscreen 500f以外bss网络设备,没有互联网出口,属于第2级;办公网设备属于第3级;通过互联网由vpn接入的设备等级最低,统一归属于第4安全等级。
以两对防火墙作为分割线。
pix525以内的主机属于第0级;
pix525和netscreen 500f之间的主机属于第1级;netscreen 500f 以外bss网络设备,没有互联网出口,属于第2级;办公网设备属于第3级;通过互联网由vpn接入的设备等级最低,统一归属于第4安全等级。
3.5地市网络安全域的划分
地市网络可以分为两级,纯生产终端划入高安全区域,办公终端划入低安全区域,中间增加安全隔离设备。
注意到这里bss网络和mss网络的概念已经被淡化了,我们只是根据重要程度的不同把所有设备置入了不同的安全区域里,再根据业务需要定制访问控制列表。
3.6访问控制列表
参照图3-3所示,我们把最重要的设备至于0级,并为其分配独立的ip地址空间。
在安全设备上启用nat功能(地址映射),对1-4级设备隐藏其真实地址,即0级设备从表象上看是不存在的。
并制订严格的访问策略,仅允许指定主机访问特定主机的特定协议端口。
默认拒绝一切网络连接请求。
1级设备的访问控制列表是双向的,对内允许特定服务器对特定主机数据库端口的访问;对外允许特定的客户群访问特定的协议端口。
2级设备是指重要性较低的生产设备。
此级设备可根据业务需求设定访问控制策略。
3-4级就是办公终端了,因为其能与互联网互通,或者通过互联网接入,所以较易感染病毒或受到攻击。
一般仅开放最小的系统访问权限,给预最为严格的认证,和路由控制。
为了更好的保护0-1级设备,我们在接口处设置了入侵检测系统,并对进入0-1级区域的操作进行了审计。
审计系统还可以关联系统帐户和访问进程,限制合法的用户只能通过合法的程序操作授权范围内的数据。
4、.部分配置
4.1限制客户端物理位置和设备的功能(即要求软件、硬件vpn 产品在使用过程中只能是公司指定的地点、机器和人员)通过访问控制列表来实现。
又比如通过mac访问列表,限制只有特定物理地址的主机才能接入:
4.2控制访问时间的功能(包括按小时、按天的控制)
结论
通过此次论文探讨,对实际工作的部分网络问题做了初步分解。
主要在安全方面得到了很大的提高。