通信人家园
标题: 浅析防火墙规则集的配置策略 [查看完整版帖子] [打印本页]
时间: 2006-2-28 09:35
作者: 缘分.exe
标题: 浅析防火墙规则集的配置策略
计算机安全问题已成为目前网络运行和管理中的重要内容,保证系统软、硬件安全较有较的解决方案是防水墙,防水墙是架设在内部网络和外部网络之间的屏障,它限制内部和外部网络数据的自由流动,如果使用得当,防火墙会大大地提高网络的安全性。现有的大型软件系统都存在着缺陷,这些缺陷有可能会成为安全漏洞,因此,当配置防火墙时,凡是没有明确允许的,都是禁止的。一旦选择了允许,就接受了由此带来的风险,故而当我们决定选用防火墙的时候,必须恰当地设置其安全策略。
建立成功、稳固的防火墙安全策略并不是一件十分容易的事,评价一个已建立好的防火墙的防范性能包括状态检查表的效率,基于应用的过滤能力,数据包的和重装过程等。然而,一旦错误地配置了安全策略,就会发现价值几十万或上百万的防火墙却让网络暴露在极大的危险之中。
一、成功配置策略的关键
一个安全的防火墙应该有一个简单的安全策略。因为在网络的使用过程中我们遇到的头号敌人就是“配置错误”。它会给我们带来越来越多的麻烦,安全策略规则越多,犯错误的可能性就越大;反过来保持一个短小精悍的规则集,就会更加易于理解和维护。一个比较好的例子是不要超过30条规则,在30条以内,比较容易理解到底发生了什么事情;在30条到50条之间,事情就会变得令人迷惑。一旦规则超过了50条,那么可以说这样的安全策略必然会有问题,会使管理者或使用者陷入了泥潭。当开始配置防火墙时,一定要对整体的安全体系结构有清楚的了解,而不能急于开始。关键在于防火墙规则越简单,犯错误的可能性就越小,而且防火墙的通过性能也会更好一些。
二、规划安全策略
首先,我们假设一个安全策略,然后在此基础上,分步骤介绍建立防火墙规则集的一些方法,需要注意的是,防火墙和防火墙的规则集只不过是安全策略在技术上的具体实现。管理者设计安全策略来定义哪些可以做,哪些不可以做,哪些需要强制实行。因此,我们可以拟定一个如下的简单安全策略:
(1)内部网络人员可以不受限制地访问Internet。
(2)需要提供从Internet到公司Web服务器和E-mail服务器的直接连接。
(3)任何从外部发起到内部网络的连接都必须是经过安全认证和加密的。
很显然许多组织的防火墙策略要复杂得多,然而我们很快会发现,这个简单的安全策略是如何快速增长、越变越复杂的。
三、构建安全体系结构
作为安全管理员,我们的第一步是将安全策略转换成安全体系结构。下面我们将上面拟定的安全策略逐一转换为安全体系结构。
第(1)条很简单,从内部发起的任何连接都可以转发到Internet上。
第(2)条有点复杂,我们需要为公司建立Web和E-mail服务器,我们将把它们放置在DMZ中。DMZ(非军事区)是一个被隔离的网络,在里面放置的是不被信任的机器。因为任何人都可以通过Internet访问Web和E-mail服务器,所以我们绝对不能信任它们,也就是说,在DMZ内部的机器不可以发起对内网的连接。有两种类型的DMZ:被保护的DMZ和不受保护的DMZ。被保护的DMZ是位于防火墙的后面一段隔离网络,不受保护的DMZ位于防火墙和边界路由器的中间。一般我们更倾向于使用被保护的DMZ,所以我们把Web和E-mail服务器放在那里。
从外部网络向内网发起的连接,在目前只有远程管理。我们需要允许系统管理员们可以远程访问他们的系统,通过只允许SSH协议进入内网来解决这个问题。另外一个问题就是DNS虽然没有在上面的安全策略中表述,我们也需要面对这个问题。为安全起见,应使用分割DNS。分割DNS的功能是半DNS的完整功能分到两台不同的服务器上完成。一台外部DNS服务器用于在Internet上解析公司的主域信息,一台内部DNS服务器用于向内部用户域名解析服务。外部DNS服务器将和Web服务器和E-mail服务器一样被放置于被保护的DMZ中,而内部DNS服务器被放置于内部网络中,因为内部DNS服务器中含有内部网络的拓扑信息,所以必须使其免于受到来自Internet的攻击。
上面就是我们的防火墙规则集需要实现的安全策略,看起来比较简单,但实际上不是这样。我们将用14条规则来体现这一策略。
四、配置防火墙规则集
(1)规则的顺序。按何种顺序排列防火墙规则很重要,同样的规则按照不同的顺序排列,会极大地影响防火墙的工作状态。类似于CheckPoint FW-1、NetScreen、Cisco PIX这样的防火墙,接收到一个数据包后,它会首先与第1条规则比较,一旦匹配,就会停止检查,应用这条规则;如果不匹配,就继续与第2条规则比较,依此类推。当比较完所有的规则仍没有匹配时,丢弃这个数据包。不难理解,会出现这个情况,前面的规则已经匹配了这个数据包,但这并不是最佳匹配,后面的最付佳匹配规则没有用上。因此,最特殊的规则应该在最前面,最通用的规则在最后,这样可以减少错误匹配。
(2)规则的缺省配置。规则配置的第1步是关闭或清除所有开放通道。我们必须确认开始的时候没有一个数据包可以通过防火墙。但上面提到的某些防火墙及其他防火墙在缺省时有很多服务是开放的。
(3)建立规则集
第1条:向外访问。允许任何从内网发起的连接通过防火墙向Internet转发。就像在安全策略中说过的那样,允许所有的服务。
第2条:开始添加防范措施,阻止任何对防火墙的访问。这是每一个标准规则集中都应具备的安全规则,除了防火墙管理员外没有其他人可以访问防火墙。
第3条:防火墙管理。防火墙管理员对防火墙的访问也需要采用加密、认证、访问时间限制等措施。
第4条:丢弃所有的包。在默认情况下,防火墙会丢弃没有匹配的数据包。这些包是没有记录的。我们可以创建一条丢弃并记录日志规则,将这条规则放在规则集的最后。这也是一条标准安全措施。
第5条:无日志记录规则。有大量的广播信息被防火墙丢弃并进行日志记录会很快填满日志表。必须创建一条规则来决定什么样的数据包可以丢弃或拒绝响应,而且不在日志中记录数据,只记录有用信息。
第6条:DNS访问。允许Internet用户访问DNS服务器。
第7条:Mail访问。需要允许Internet和内部网用户使用SMTP访问E-mail服务器。
第8条:Web访问。需要允许Internet和内部网用户使用HTTP访问Web服务器。
第9条:DMZ封锁。在DMZ中的机器应该永远不向内网发起数据通信。如果发现这样的行为,就表明在DMZ中有危险因素。可以创建一条规则用来阻止、记录和告警,通知我有从DMZ发起到内网的通信。
第10条:内网POP访问。给予内网用户使用POP访问E-mail服务器的许可。
第11条:基于管理的连接。对于需要从Internet访问内网主机的管理员们,使用加密同时限定IP地址范围的方法允许连接。
第12条:性能。最后基于性能的考虑。在可能或者说不互相冲突的情况下将最经常使用的规则移到规则集的前面。
第13条:IDS。安装入侵检测系统可以帮助管理员发现绝大部分威胁。
第14条:还有一些小的“防范”也可以提高防火墙的性能。比如阻止任何从某些站点来的连接(特殊是Internet上的广告商),这样可以过滤掉很多在线广告;阻塞ICQ的连接,不是关闭端口而是关闭ICQ服务器的IP地址。
在设计好规则之后,良好的习惯是要做好记录与注释,清晰全面的注释可以使我们清楚地了解每一条规则的作用,大的机构多个安全管理员时更应如此。应该经常测试我防火墙,找到问题并加以改进。总的说来,一个稳固和简单的规则集是成功地实施防火墙防御措施的关键。
[此贴子已经被1997deman于2006-2-28 11:52:27编辑过]
通信人家园 (https://www.txrjy.com/) |
Powered by C114 |