防火墙在实际的部署应用过程当中,经常部署在网关的位置,也就是经常部署在网内和网外的一个“中间分隔点”上,而就是在这样一个部署的环境中,也还存在着多种方式,且存在着许多“陷阱”,下面进行详细分析。 传统的防火墙部署方式可能所有人都认为非常简单,将防火墙部署于外部网络和内部网络之间。这个思路如果在内部网络中存在共享资源(比如说 FTP 服务器和 Web 服务器)的话,那么这将是一个非常危险的部署方式,如图 3 所示。理由其实非常简单,一旦这些共享服务器为黑客攻击和安装木马渗透病毒的话,那么内部网络的客户端及其资源将没有任何安全可言。因为在这种情况下,木马和病毒已经在内网中存在,而客户端和共享资源服务器在同一个网段,这无异于内网的安全隐患,防火墙对此无能为力,从而也失去了部署的意义了。 目前一个比较流行和正确的做法就是采用如图 4 所示。也就是在防火墙上多加一块网卡,把提供对外服务的服务器和内网的客户端严格地隔离开来,这样,即算有安全风险和漏洞在 DMZ 中出现,由此对内部网络造成的危害也可以得到很好的控制,从而避免了方案一的缺点。 为了加强方案二中防火墙的安全强度,目前有些企业将图 4 的架构优化成图 5 的架构,也就是使用 DMZ+二路防火墙。另外,在此结构中选用防火墙,应尽量采用两家不同公司的异构产品,这样才有利于发挥这种架构的优势。
在前面的几种方案中,防火墙本身就是一个路由器,在使用的过程中用户必须慎重地考虑到路由的问题。如果网络环境非常复杂或者是需要进行调整,则相应的路由需要进行变更,维护和操作起来有一定的难度和工作量。 通透式防火墙则可以比较好的解决上述问题(如图 6 所示)。该类防火墙是一个桥接设备,并且在桥接设备上赋予了过滤的能力。由于桥接设备工作在 OSI 模型的第二层(也就是数据链路层),所以不会有任何路由的问题。并且,防火墙本身也不需要指定 IP 地址,因此,这种防火墙的部署能力和隐密能力都相当强,从而可以很好地应对黑客对防火墙自身的攻击,因为黑客很难获得可以访问的 IP 地址。
本系列文章详细介绍了 Netfilter/IPTables 防火墙框架的原理、安装、启动以及简单实战应用,并对实战应用 Netfilter/IPTables 防火墙框架进行 NAT、DMZ 应用进行了介绍,最后给出了防火墙的实际安全部署建议。 |
