陳俊錦

摘要：由于網(wǎng)絡(luò)安全威脅日益加深，人們也同時(shí)日益重視網(wǎng)絡(luò)安全體系結(jié)構(gòu)在網(wǎng)絡(luò)中的建設(shè)。以此為契機(jī)，網(wǎng)絡(luò)安全技術(shù)也在不斷向前發(fā)展，網(wǎng)絡(luò)安全產(chǎn)品也在不斷推陳出新。作為網(wǎng)絡(luò)安全體系中占有重要地位的防火墻，尤其是防火墻家族中性能最為優(yōu)越，功能最為強(qiáng)大的硬件防火墻在網(wǎng)絡(luò)安全體系結(jié)構(gòu)的應(yīng)用尤為顯眼。本文通過具體的小型企業(yè)網(wǎng)絡(luò)安全構(gòu)建實(shí)例對(duì)硬件防火墻在網(wǎng)絡(luò)安全體系中的核心應(yīng)用進(jìn)行一個(gè)論述。

關(guān)鍵詞：網(wǎng)絡(luò)安全體系；硬件防火墻；核心應(yīng)用

中圖分類號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-3044（2016）09-0037-02

1 引言

二十一世紀(jì)的今天，伴隨著日益發(fā)展計(jì)算機(jī)網(wǎng)絡(luò)，是逐步加大的網(wǎng)絡(luò)安全威脅。人們亦越發(fā)重視自身所在環(huán)境的網(wǎng)絡(luò)安全體系結(jié)構(gòu)的建設(shè)和發(fā)展。各種網(wǎng)絡(luò)安全技術(shù)的提出和網(wǎng)絡(luò)安全產(chǎn)品的出現(xiàn)也不斷豐富著網(wǎng)絡(luò)安全體系。那么作為網(wǎng)絡(luò)安全產(chǎn)品中的重要組成部分，硬件防火墻能在網(wǎng)絡(luò)安全體系中會(huì)體現(xiàn)出怎樣的核心應(yīng)用呢？

2 網(wǎng)絡(luò)安全體系簡單構(gòu)建例

一個(gè)完整的網(wǎng)絡(luò)安全體系需要涉及符合國家相關(guān)標(biāo)準(zhǔn)規(guī)定的諸如物理設(shè)備、信息傳遞、操作系統(tǒng)等一系列的內(nèi)容。本節(jié)主要透過一家小型制衣企業(yè)的網(wǎng)絡(luò)安全體系簡單構(gòu)建過程來直觀地體現(xiàn)硬件防火墻在網(wǎng)絡(luò)安全體系的核心應(yīng)用。

2.1實(shí)施對(duì)象概況和安全需求

? 匯聚層交換機(jī)，核心層交換機(jī)和路由器等均統(tǒng)一放置于生產(chǎn)辦公綜合大樓二樓網(wǎng)絡(luò)中心處。

? 該制衣企業(yè)擁有電腦數(shù)量約為100臺(tái)，還有3臺(tái)網(wǎng)絡(luò)打印機(jī)，一臺(tái)web兼E-mail服務(wù)器，一臺(tái)FTP服務(wù)器，一臺(tái)文件服務(wù)器。會(huì)議室中還需要部署可以容納20人左右的無線網(wǎng)絡(luò)。

? 該企業(yè)在廣域網(wǎng)連接方面，除了要實(shí)現(xiàn)因特網(wǎng)接入外，還要提供遠(yuǎn)程辦公和跟合作伙伴、供應(yīng)商的VPN連接。

? 內(nèi)部客戶端不能直接訪問外網(wǎng)，需要通過企業(yè)主干網(wǎng)接入INTERNET（全球互聯(lián)信息網(wǎng)）。供應(yīng)部、營銷部、技術(shù)部可以連接Internet。實(shí)現(xiàn)供應(yīng)部與各供應(yīng)商保持聯(lián)絡(luò)，能發(fā)布和接收相關(guān)原材料需求和供應(yīng)信息，但不能訪問特定娛樂新聞購物類網(wǎng)站；營銷部可以跟各渠道商通過郵件時(shí)刻保持聯(lián)系，在關(guān)注現(xiàn)有客戶同時(shí)發(fā)現(xiàn)潛在客戶，推廣企業(yè)的產(chǎn)品，打開市場(chǎng)銷路；技術(shù)部可以通過網(wǎng)絡(luò)查找和了解跟本企業(yè)產(chǎn)品相關(guān)的其他產(chǎn)品或相關(guān)技術(shù)，為其他部門尋找和準(zhǔn)備相對(duì)應(yīng)的網(wǎng)絡(luò)資源。

? 除以上部門外其他部門除有特殊情況外都不能連接Internet。并且不允許員工在正常工作時(shí)間玩基于網(wǎng)絡(luò)的游戲和進(jìn)行P2P和BT方式的下載行為。

2.2 利用硬件防火墻完善網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)

基于上述的判斷，軟件防火墻和嵌入式防火墻明顯在某些要求上無法完全勝任，這時(shí)候硬件防火墻在該網(wǎng)絡(luò)安全體系核心應(yīng)用中的優(yōu)勢(shì)就能明顯體現(xiàn)出來了。

在該網(wǎng)絡(luò)安全體系結(jié)構(gòu)中硬件防火墻主要由神州數(shù)碼DCFW-1800S-H-V2企業(yè)級(jí)硬件防火墻來進(jìn)行承擔(dān)。在功能上該型號(hào)防火墻采用64位高性能多核處理器技術(shù)，擁有包括TCP會(huì)話保持與報(bào)文重組、VPN、QoS流量管理的芯片級(jí)加速方案，并且提供獨(dú)立的硬件DFA引擎，帶有IPS入侵檢測(cè)模組。輔以高達(dá)48Gbps的高速交換總線，以及新一代64位實(shí)時(shí)并行操作系統(tǒng)DCFOS，確保整個(gè)系統(tǒng)不僅在處理網(wǎng)絡(luò)通訊，而且在處理應(yīng)用安全防護(hù)時(shí)擁有充足的系統(tǒng)資源保障。全面優(yōu)化的軟硬件系統(tǒng)擁有高穩(wěn)定性和高可靠性，其新一代網(wǎng)絡(luò)安全架構(gòu)能提供給用戶最大化的可擴(kuò)展能力，方便日后的升級(jí)。

在考慮到網(wǎng)絡(luò)服務(wù)器群組的使用和防護(hù)要求，同時(shí)防止內(nèi)部網(wǎng)絡(luò)被入侵導(dǎo)致商業(yè)敏感信息泄露的情況發(fā)生。作為一個(gè)典型的解決方法之一就是利用硬件防火墻構(gòu)建起在屏蔽子網(wǎng)防火墻體系結(jié)構(gòu)中合并堡壘主機(jī)和內(nèi)部路由器的擴(kuò)展形式，如圖1所示。

在該形式中，專門劃分出一個(gè)周邊網(wǎng)絡(luò)“非軍事區(qū)域（DMZ）”，來將對(duì)外提供服務(wù)的各種服務(wù)器放置其中（配置示例如圖 2所示），使Internet側(cè)用戶訪問服務(wù)器時(shí)不需要進(jìn)入內(nèi)部網(wǎng)絡(luò)，而內(nèi)部網(wǎng)絡(luò)用戶對(duì)服務(wù)器維護(hù)工作導(dǎo)致的信息傳遞也不會(huì)泄露到外部網(wǎng)絡(luò)。外部路由器主要作用在于保護(hù)周邊網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò)，防火墻上則設(shè)置針對(duì)外網(wǎng)用戶的訪問過濾規(guī)則。例如限制外部用戶只有訪問DMZ區(qū)的和部分內(nèi)部主機(jī)的權(quán)限。為了最大限度節(jié)約資金投入的同時(shí)提高硬件防火墻的利用率，而將原本用于隔離內(nèi)網(wǎng)絡(luò)和DMZ區(qū)、對(duì)內(nèi)部用戶訪問DMZ區(qū)和外部網(wǎng)絡(luò)權(quán)限進(jìn)行控制的內(nèi)部路由器省略，由硬件防火墻模擬及替代該部分功能。然后利用防火墻中的IPS模組對(duì)數(shù)據(jù)流進(jìn)行再次檢查和報(bào)警，防止有非法數(shù)據(jù)流通過硬件防火墻而沒有被發(fā)現(xiàn)。為了避免外部路由器失效帶來致命影響，還可以將硬件防火墻設(shè)定為定時(shí)復(fù)制對(duì)方過濾規(guī)則，實(shí)現(xiàn)一個(gè)聯(lián)動(dòng)和備用功能。簡單來說外網(wǎng)、DMZ、內(nèi)網(wǎng)三者主要實(shí)現(xiàn)下面三個(gè)效果：

? 外網(wǎng)可以訪問DMZ，但不能直接訪問內(nèi)部網(wǎng)絡(luò)。

? DMZ可訪問外網(wǎng)，不能訪問內(nèi)網(wǎng)。

? 內(nèi)網(wǎng)可以訪問外網(wǎng)和DMZ。

作為堡壘主機(jī)的硬件防火墻除了可以向外部用戶提供WWW、FTP、E-mail等應(yīng)用服務(wù)外，還可以在接受外部用戶的服務(wù)器資源請(qǐng)求同時(shí)向內(nèi)部用戶提供DNS、E-mail、FTP等服務(wù)，并提供內(nèi)部網(wǎng)絡(luò)用戶訪問外部資源的接口。

2.3搭建網(wǎng)絡(luò)安全平臺(tái)

經(jīng)過防火墻體系結(jié)構(gòu)選型和構(gòu)建，以及對(duì)如何完善安全服務(wù)機(jī)制的初步探討后，整個(gè)網(wǎng)絡(luò)安全體系已經(jīng)初見雛形。而作為網(wǎng)絡(luò)安全體系中重要一環(huán)的網(wǎng)絡(luò)安全平臺(tái)，則可以將硬件防火墻設(shè)備與相關(guān)網(wǎng)絡(luò)技術(shù)結(jié)合起來，利用其搭建一個(gè)以硬件防火墻為核心的可操作性強(qiáng)的網(wǎng)絡(luò)安全平臺(tái)。

2.3.1外部訪問認(rèn)證

由于存在合作伙伴、協(xié)力企業(yè)、在外出差員工等對(duì)企業(yè)網(wǎng)絡(luò)資源訪問需求的群體，企業(yè)必須為他們提供一種安全的遠(yuǎn)程連接訪問方式。而硬件防火墻上技術(shù)成熟、使用廣泛的，成本低廉的VPN虛擬專用網(wǎng)絡(luò)技術(shù)則正好能滿足企業(yè)的需求。

通常來說傳統(tǒng)的通過特定VPN連接軟件連接的第一代VPN實(shí)現(xiàn)方式上有基于數(shù)據(jù)鏈路層PPTP、L2TP的VPN實(shí)現(xiàn)方式與基于網(wǎng)絡(luò)層的IPSec的VPN實(shí)現(xiàn)方式（如圖3所示）。雖然創(chuàng)建基于PPTP和L2TP的VPN的方法較創(chuàng)建IPSec VPN方法要簡單許多，但是隨著時(shí)代的進(jìn)步和網(wǎng)絡(luò)安全威脅的日益增加，基于數(shù)據(jù)鏈路層的VPN連接已無法完全勝任時(shí)代的安全需求了。所以現(xiàn)在進(jìn)行VPN配置時(shí)一般選擇使用IPSec技術(shù)作為數(shù)據(jù)傳輸時(shí)安全保障。

從原理上說，IPSec通過使用基于HASH函數(shù)的消息摘要來確保數(shù)據(jù)傳輸?shù)耐暾裕褂脛?dòng)態(tài)密鑰來對(duì)數(shù)據(jù)進(jìn)行傳輸加密。也剛正好符合完善網(wǎng)絡(luò)安全機(jī)制的要求。

圖3 傳統(tǒng)VPN實(shí)現(xiàn)方式

在防火墻中創(chuàng)建基于IPSec的VPN時(shí)，一般要先創(chuàng)建好IKE（即Internet密鑰交換協(xié)議）的第一階段和第二階段提議，然后繼續(xù)創(chuàng)建VPN對(duì)端，并在接下來創(chuàng)建IPSEC隧道并制定基于隧道的安全策略，最后再創(chuàng)建源NAT策略。在實(shí)現(xiàn)過程中有以下幾個(gè)要點(diǎn)：

? IPSec隧道建立的條件必須要一端觸發(fā)才可。

? 基于隧道的策略要放在該方向策略的最上方。另外從本地到對(duì)端網(wǎng)段的源NAT策略應(yīng)該放在源NAT策略中的最上方。

? 在IPSEC VPN隧道中關(guān)于代理ID的概念，這個(gè)代理ID是指本地加密子網(wǎng)和對(duì)端加密子網(wǎng)。

除上述模式外，硬件防火墻還能支持第二代VPN實(shí)現(xiàn)方式SCVPN，即基于傳輸層的SSL VPN。其優(yōu)勢(shì)在于相對(duì)IPSec VPN相比，配置和構(gòu)建相對(duì)簡單方便，穿透力強(qiáng)能以透明模式功能，而且SSL VPN客戶端早已融入到各主流瀏覽器中。用戶只需要通過瀏覽器登錄并通過驗(yàn)證即可使用VPN功能，為用戶省去繁瑣的客戶端攜帶和安裝，大大增強(qiáng)便捷性。但是缺點(diǎn)也很明顯，由于SSL 協(xié)議的限制，在硬件防火墻上使用SSL VPN性能發(fā)揮上遠(yuǎn)遠(yuǎn)不如IPSec VPN。

2.3.2內(nèi)部訪問驗(yàn)證

為了對(duì)內(nèi)網(wǎng)用戶進(jìn)行具體的網(wǎng)絡(luò)行為跟蹤監(jiān)督工作，分配內(nèi)網(wǎng)用戶訪問權(quán)限。進(jìn)行內(nèi)部訪問認(rèn)證從而確認(rèn)網(wǎng)絡(luò)行為實(shí)施者就變得很有必要了。一般來說，進(jìn)行網(wǎng)絡(luò)內(nèi)部訪問認(rèn)證需要配置Radius認(rèn)證服務(wù)器、Active-Directory認(rèn)證服務(wù)器和LDAP認(rèn)證服務(wù)器中的一種，用來存儲(chǔ)用戶信息和提供用戶驗(yàn)證功能，雖說每一種驗(yàn)證服務(wù)器的功能都非常強(qiáng)大，但是部署起來不但需為之投入額外資金和資源，而且配置相對(duì)繁瑣和維護(hù)也相對(duì)不易，對(duì)于小型企業(yè)來說實(shí)施起來有一定困難。幸好得益于硬件防火墻強(qiáng)大的性能，我們也可以直接在硬件防火墻上配置本地認(rèn)證，然后通過web瀏覽器為客戶端進(jìn)行認(rèn)證登陸（如圖4所示）。當(dāng)然有條件的企業(yè)亦可以通過將硬件防火墻上的WEB訪問驗(yàn)證方式跟Radius、Active-Directory、LDAP驗(yàn)證服務(wù)器無縫結(jié)合起來，減輕硬件防火墻的資源負(fù)擔(dān)，增強(qiáng)整個(gè)內(nèi)部訪問驗(yàn)證的可靠性和高效性。

圖4 內(nèi)部WEB認(rèn)證登陸頁面 （下轉(zhuǎn)第54頁）

（上接第38頁）

2.3.3網(wǎng)絡(luò)層到應(yīng)用層全面控制

硬件防火墻通過在網(wǎng)絡(luò)層和傳輸層通過特定的規(guī)則、數(shù)據(jù)封包的屬性來對(duì)數(shù)據(jù)進(jìn)行檢測(cè)和過濾，從而抵御非法數(shù)據(jù)的入侵和黑客的攻擊，同時(shí)提供多種地址轉(zhuǎn)換方式，這些都是硬件防火墻最傳統(tǒng)也最常用的應(yīng)用。

開啟硬件防火墻在應(yīng)用層上的附加功能以擴(kuò)展硬件防火墻的安全保護(hù)范圍，提升整個(gè)網(wǎng)絡(luò)的安全指數(shù)。例如通過URL過濾可以屏蔽一些跟工作無關(guān)的新聞、娛樂、購物類網(wǎng)站以及惡意網(wǎng)址；通過網(wǎng)頁內(nèi)容過濾來屏蔽一些敏感的關(guān)鍵字；通過開啟防病毒檢測(cè)，從網(wǎng)絡(luò)外部阻擋病毒木馬的入侵；通過上網(wǎng)行為監(jiān)督，來提高網(wǎng)絡(luò)的使用效率；通過IM工具過濾來提升員工的工作效率。

3 結(jié)束語

隨著計(jì)算機(jī)網(wǎng)絡(luò)在人們生活的各個(gè)領(lǐng)域中廣泛應(yīng)用，以網(wǎng)絡(luò)為目標(biāo)的不法行為也日漸增多。為所屬網(wǎng)絡(luò)構(gòu)建一個(gè)完整高效可操作性強(qiáng)的網(wǎng)絡(luò)安全體系亦越來越重要。而這次通過構(gòu)建基于實(shí)際案例和具體網(wǎng)絡(luò)安全指標(biāo)的網(wǎng)絡(luò)安全體系例子則非常充分地體現(xiàn)了硬件防火墻在網(wǎng)絡(luò)安全體系中的區(qū)域隔離、攻擊防護(hù)、協(xié)議過濾、流量控制、用戶認(rèn)證、上網(wǎng)行為追蹤記錄與管理、VPN遠(yuǎn)程訪問等核心應(yīng)用。相信在很長的一段時(shí)間內(nèi)如何有效地和實(shí)地利用硬件防火墻在應(yīng)用上的優(yōu)勢(shì)將會(huì)是影響整個(gè)網(wǎng)絡(luò)安全體系構(gòu)建成敗的關(guān)鍵因素。

參考文獻(xiàn)：

[1] 謝希仁.計(jì)算機(jī)網(wǎng)絡(luò)（第6版）[M].北京：電子工業(yè)出版社，2013.

[2] 王達(dá).金牌網(wǎng)管師：網(wǎng)絡(luò)工程方案規(guī)劃和設(shè)計(jì)[M].北京：中國水利水電出版社，2010.

[3] 滿文慶.計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)與設(shè)備[M].北京：清華大學(xué)出版社，2004.

[4] 羅森林.安全與對(duì)抗技術(shù)[M].北京：北京理工大學(xué)出版社，2005.