为防火墙设置更安全的拓扑结构

　　随着网络安全成为越来越热门的话题，也许你要重新审查你的防火墙和网络安全的设置；也许你要重新考虑防火墙的设计；无论是哪种情况，你都要对于常见的防火墙配置很熟悉，并了解他们怎样能够提高网络安全性。在这篇文章里，我将要向你介绍一些常见的防火墙配置，和一些怎样进行一个安全网络拓扑设计的经验。本文当中提到的所有的拓扑结构图都可以免费下载。　　　

　　建立一个防火墙安全策略 　　

　　简单地说，一个防火墙是界于贵公司网络和Internet之间的一种软件或者硬件的数字过滤器。由于现在在互联网上有非常多的黑客，而黑客的软件又可以轻而易举地从网上下载，任何一个网络都应该有包括防火墙设计的安全措施。 　　

　　如果你的经理正对你施加压力，让你建设一个强有力的防火墙来保证网络的安全，你该怎么做呢？你的措施应该包括以下两个方面。　　

　　检查你的网络，认真考虑已有的安全措施（有存取表的路由器，入侵检测等）看它们能否成为你所设计的防火墙或是安全计划的一部分。　　

　　保证通过购买新设备/软件，或者软件升级，你能获得一个专用防火墙解决方案。

　　时刻记住，一个好的防火墙拓扑不仅仅是简单地过滤网络上的数据，它应该包括：　　

　　一个可靠的策略　　

　　通信检测　　

　　日志功能　　

　　对于内部网络的部分开放

　　在订购或升级你的专用防火墙之前，你应该有一个可靠的安全策略。一个防火墙应该能够实现你的安全策略。通过记录和生成文件，应该能够更加清楚地反映你的安全策略。 防火墙的改动必须基于安全策略上的改动。　　

　　设计良好的防火墙的一个最大的好处就是能够过滤通过的数据。将防火墙设定为让所有进出的数据都经过该防火墙里的某个特定的检查点的时候，你可以非常容易地通过查看日志来监控那些正常或者可疑的行为。　　

　　一旦有了安全策略并有设置了相应的检查点，怎么样才能监控防火墙呢？通过使用报警功能和登陆记录，可以很容易地发现所有合法和未经授权的试图进入网络的操作，甚至可以通过购买第三方产品或服务来过滤掉那些你不需要的信息。

　　对外部网络隐藏内部网地址表是一个好主意。要知道让外部世界知道你的内部网络规划是很愚蠢的。　　

　　防火墙术语　

　　在我们进行更深一步的讨论防火墙设计之前，我们来看一下一些应该熟悉的术语。　　

　　网关----网关通常是一台计算机，它把一个私有网络和另一个网络连接起来，通常是和Internet或者是WAN的连接。一个防火墙网关可以定义哪些内容可以、哪些内容不可以通过，并在内部网络和Internet之间进行数据传送。　　

　　网络地址转换（NAT）-- NAT对外部网络（Internet）把内部的网络地址隐藏起来。如果你的防火墙使用了NAT，所有的内部地址将会被转换成公开的IP地址，这就隐藏了他们原来的身份。　　

　　代理服务器-- 一个代理服务器代替了网络的IP地址，并且有效地对外部网络隐藏了内部真实的地址。代理服务器包括Web服务器，应用级网关。　　

　　包过滤防火墙--这是一种简单的防火墙方案，它通常是在路由器上进行设置，用来对数据包进行过滤。当数据包经过防火墙的时候，防火墙会检查它们的包头。根据你设定的规则，这些包被接受或是被拒绝。因为大部分的路由器可以过滤数据包，这是一种很简单的办法来规定应该接受哪些数据包，拒绝哪些数据包。但是包过滤很难区分善意和恶意的数据包。　

　　筛选路由器--这是一种有两块网卡的包过滤路由。这种路由连接两个网络，并对两个网络间的数据进行过滤和控制。安全系统管理员制定过滤的规则。这种路由又被称之为外部路由或者边界路由。　　

　　应用级网关---和路由器包过滤相比，这种网关允许网络管理员进行更加复杂的安全策略设置。它对于每种要通过防火墙的应用或者是服务采用专门的程序进行处理。　　

　　堡垒主机--一个堡垒主机是一个计算机，它允许一个不安全的网络（比如Internet）访问一个安全的网络(比如你的内部网)。它通常被作为一个应用级网关被设置在两个网络之间。　　

　　安全区（DMZ）-DMZ位于你的内部网络和外部网络之间，这是放置公开的服务器的最好位置。比如Web服务器和FTP服务器就可以放置在这里。

　　现在我们已经把防火墙里的相关常用术语进行了解释，接下来让我们开始讨论一般防火墙的设计。　　

　　筛选路由器　 　　

　　一个筛选路由器是最简单的防火墙策略。这个方法很流行，因为有很多公司已经具备了这样的硬件条件。一个筛选路由器是你防火墙策略里一个非常好的第一道安全防线。它只是一个路由，根据IP地址、UDP和TCP端口来筛选数据。图A是一个筛选路由器方案的示意图。 　　　

　　 图A 筛选路由器　　

　　如果你决定采用这种措施，你应该对TCP/IP有很好的理解，并能够在你的路由器上正确地进行有关筛选的设置。如果不能够正确地进行配置，危险的数据包就有可能透过你的防火墙进入你的内部局域网。如果这是你唯一的安全设备，那么黑客们将非常容易地攻破你的系统，在你的局域网里为所欲为。另外一点值得注意的就是采用这种措施，你的内部网络的IP地址并没有被隐藏起来，并且它不具备监测，跟踪和记录的功能。　　

　　如果你经费有限而且非常急切地需要一个防火墙的解决方案，这个方法能够使你花费最少，并可以使用现有的路由器。这是进一步进行防火墙措施的一个良好开端。当你增加别的网络安全设备的时候，它也还可以使用。　　

　　筛选主机防火墙　　

　　一个筛选主机防火墙架构除了一个筛选路由器外还包括一个单穴堡垒主机。这种设计采用包过滤和堡垒主机作为安全设施，保证了网络级和应用级的安全。路由进行包过滤，堡垒主机进行应用安全控制。这是一种很可靠的设计，一个黑客必须穿透路由和堡垒主机才能够到达内部网络。　　

　　而且，采用这种设计作为应用网关（代理服务器），你可以用网络地址转换来隐藏内部网络。图B展示了这种防火墙设计的一个范例。　　　

　　图B 有堡垒主机的筛选路由　　

　　上面描述的结构使所有进出的数据都要经过堡垒主机。当信息进入筛选路由的时候，筛选路由会让它们经过堡垒主机的过滤才能够到达内部网络。　　

　　你可以更进一步，建立一个双穴堡垒主机防火墙。这种结构有两个网络界面。因为它使你的网络在物理上和外部网络断开，所以非常的安全。　　

　　C图所示的是一个这种结构的范例。　　　

　　图C 有双穴堡垒主机的筛选路由　　

　　安全区拓扑结构　　

　　DMZ是一个很普遍而安全的防火墙拓扑。它通常被认为是一个过滤的子网。一个DMZ在内部网和Internet 之间构造了一个安全地带。如图D所示：　　

　　图D 一个DMZ拓扑图例　　

　　一个DMZ通常含有以下组成部分：　　

　　Web服务器

　　邮件服务器

　　应用网关

　　电子商务系统（它应该只包括你的前端系统。你的后端系统应该在你的局域网内部）

　　一个DMZ通常被认为是非常安全的，它提供了一个区域放置你的公共服务器。一个堡垒主机，Modem池，和所有的公共服务器都可以放置在DMZ里面。　　

　　而且，外部防火墙抵挡外部的攻击并管理所有内部网络对DMZ的访问。内部防火墙管理DMZ对于内部网络的访问。内部防火墙是内部网络的第二道安全防线，当外部防火墙失效的时候，它还可以起到保护内部网络的功能。而局域网内对于internet的访问由内部防火墙和位于DMZ的堡垒主机控制。在这样的结构里，一个黑客必须通过三个独立的区域（外部防火墙、内部防火墙和堡垒主机）才能够到达局域网。　　

　　很多公司更进一步，他们给DMZ也加上了入侵检测系统。这样就可以在小问题积累成大问题之前解决它们。　　

　　总结　　

　　在这篇文章里，我们讨论了几种在现代商业社会里比较流行的防火墙的设计。当然，没有完美的防火墙设计。每个网络在商业模式上都是独特的，防火墙也应该按照公司的特别要求而制作。　　

　　当设计一个防火墙的时候，你必须考虑很多的因素，包括费用，培训，安全，技术，和完成所需要的时间。当你把所有的因素考虑进去，并找到了一个好的安全策略，你就可以开始完成你的防火墙拓扑结构设计。我在这里展示的图表，都可以通过下载的方式得到，可以在你设计的防火墙拓扑的时候作为模板。