曙光天罗防火墙解决方案（一）

信息服务的安全解决方案

信息服务是一个综合系统，涉及网络系统、主机系统两个层次。

网络系统的模型是一个分层次的拓扑结构，通常采用五层模型，即物理层、数据链路层、网络层、传输层、应用层。

主机系统也可以分为两个层次：操作系统、应用服务，因此信息服务的安全防护也需采用分层次的拓扑防护措施。即一个完整的信息服务安全解决方案应该覆盖网络与主机的各个层次，并且与安全管理相结合。以该思想为出发点，曙光公司提出了“全方位、深度的立体安全防护”的集群安全解决方案。

本文给出的是信息服务的网络安全的基础设施——防火墙的安全解决方案。

二、以防火墙隔离不同的安全区域的方案

1.隔离内外网的防火墙方案

作为最基本的功用，防火墙可以用于实现对网络不同安全区域的隔离。如下图，防火墙将办公局域网与不安全的互联网隔离成两个逻辑区域，在保证局域网内的客户端访问互联网、以及互联网用户访问局域网对外的服务器的同时，限制互联网与办公局域网之间的访问，达到可控访问的目的。

这是最简单的防火墙部署方案，初步实现了对局域网的安全防护，通常用于应用服务较少、以客户机上网为主要目标的小型网络。

虽然这是个简单的防火墙方案，但是采用曙光防火墙产品，可以获得以下安全保障：

◆丰富的包过滤功能
◆网络地址转换—NAT
◆DMZ（非军事区）
◆多种服务代理及智能内容过滤
◆统计计费功能
◆安全检测与实时报警功能
◆与IDS联动
◆抗IP欺骗
◆防端口扫描
◆DoS攻击拦截
◆P2P协议过滤

另外还可以获得以下功能：

◆支持多种工作模式
◆支持ADSL接入
◆带宽控制功能
◆负载均衡
◆DHCP功能

如今虽然通过禁用主机上的没用的或者不安全的服务，亦或者安装个人防火墙，可以实现防火墙的包过滤等功能，然而，毕竟这是由主机自身提供的防护，一旦主机系统已经被侵入，并获得足够的权限，上述的防护措施均可以被入侵者修改。

而采用专用防火墙则可以降低系统被入侵后造成的部分侵害，例如入侵者如果打开了主机上某些被禁止的端口，由于防火墙并未开放该端口，因此入侵者仍然不可以使用该端口进行内外网之间的通讯，因而也就在一定程度上防止了内部资源或数据的外泄。

2.带DMZ的防火墙方案

在前一个方案中，办公局域网中除了部署有办公用的客户机之外，还部署有提供不同服务的各种服务器。这些服务器中，

◆有些是为其它服务提供后台支持的，由各种应用服务访问，而不直接面向任何客户，如数据库服务器、目录服务器；
◆有些是对内部用户提供服务的，如OA、内部邮件等；
◆有些是允许所有用户访问（包括互联网用户），对外提供服务的主机，如web服务器、邮件网关等。

这里对外的服务器与上网的客户机放置在同一安全区域内，不便于设置更安全的控制规则。

因此将对外的服务器与办公局域网分隔开，在保证对外服务器正常提供服务的前提下，提高办公局域网的安全，因此在防火墙的第三个接口设置为DMZ（非军事区），在其中部署各种对外的服务器（如下图）。

 
在该方案中，通过防火墙将网络分隔为三个不同的安全区域，办公局域网、DMZ以及互联网，三个区域之间的通讯均需要通过防火墙，从而可以简化防火墙的规则的设置、提高防火墙工作效率、提高内部的办公局域网的安全。

本方案适用于具有多种应用服务、且对于服务器安全要求较高的用户网络。

3.提高内网服务器的防火墙部署方案

在前面的方案中，内部的办公局域网的安全得到了保证，提高了内部服务器抵御来自互联网的威胁的能力。然而内部服务器与办公用客户机部署在同一区域中，因此内部服务器仍然要面对来自内部网络的各种威胁。因此隔离内部服务器与办公用客户机，可以提高内部服务器的安全防护（如下图）。

 
在本方案中，将网络分隔为四个不同的安全区域：服务器网络、DMZ、DMZ1、以及互联网。其中，

◆服务器网络部署的是各种内部服务器；
◆DMZ区域部署的是各种对外提供应用服务的服务器；
◆DMZ1区域是原有的办公局域网，所有办公用客户机部署在其中。

本方案适用于具有多种应用服务、且对于服务器安全要求很高的用户网络。

但是这样的部署方式在获取更高的安全防护的同时，也会付出降低部分性能的代价，建议选用高性能的千兆防火墙，并且启用流量控制功能，以保证内、外网服务器之间的通讯带宽。

防火墙应该运行在混合模式下，即DMZ1（办公局域网）与互联网和DMZ（外网服务器）之间采用路由模式，而DMZ（外网服务器）与内部的服务器网络之间则采用透明模式。

在更大规模的网络中，也可以采用下图所示的双防火墙的部署方式：

 
其中内网防火墙建议采用工作在透明网桥模式下的、高性能的千兆防火墙，而外网防火墙则采用支持千兆接口的百兆防火墙。