经典组合 堡垒主机构建防火墙系统

经典组合 堡垒主机构建防火墙系统（转载）

IT技术    2009-08-08 10:04   阅读41   评论0  

字号： 大 大  中 中  小 小

经典组合 堡垒主机构建防火墙系统

防火墙是网络安全的一个重要防护措施，用于对网络和系统的保护。监控通过防火墙的数据，根据管理员的要求，允许和禁止特定数据包的通过，并对所有事件进行监控和记录。虽然最简单的防火墙配置，就是直接在内部网和外部网之间加装一个包过滤路由器或者应用网关。其实为更好地实现网络安全，有时还要将几种防火墙技术组合起来构建防火墙系统。最重要的也是首先要考虑的就是堡垒主机。　　

一、堡垒主机建设

　　用户注意到堡垒主机是上述防火墙系统中最为重要的一个环节，所以对于它的安全性要求很高。建设堡垒主机时，有下列因素是用户必须考虑的：

1. 选择操作系统　　

　　应该选择较为熟悉的、较为安全的操作系统作为堡垒主机的操作系统。一个配置好的堡垒主机是一个具有高度限制性的操作环境的软件平台，对它的进一步开发与完善最好应在其它机器上完成后再移植。这样做也为在开发时与内部网的其它外设与机器交换信息时提供方便。用户需要能够可靠地提供一系列Internet服务的机器，这些服务能够为多个用户同时工作,如：Linux、Windows server 2003等作为用户的堡垒主机系统。由于，Linux是能提供Internet服务的最流行操作系统，有大量现成的工具可以供Linux系统使用，同时Linux也是最安全的操作系统，所以建议使用Linux。同时，对于不需要的服务和软件一定要安装，因为多一项服务就多了一个风险。　　

2. 对机器速度的要求　　

　　作为堡垒主机的计算机并不要求有很高的速度。实际上，选用功能并不十分强大的机器作为堡垒主机反而更好。除了经费问题外，选择机器只要物尽其用即可，因为在堡垒主机上提供的服务运算量并不很大。虽然堡垒主机上的运算量并不很大。对其运算速度的要求主要由它的内部网和外部网的速度决定。如果仅处理电子邮件、FTP和代理服务并不占用很多CPU资源。但是如果在堡垒主机上提供对外WEB服务或其他的一些服务，也就需要速度较快的机器来充当堡垒主机。针对这种情况，就可以使用上面提到的多个堡垒主机结构。在Internet上提供多种连接服务的大公司一般均有多台高速、大型的堡垒主机。 　　

不使用功能过高的机器充当堡垒主机主要出于下列考虑：　　

　　（1）低档的机器对入侵者的吸引力要小一些。入侵者往往以入侵高档计算机为荣。

　　（2）若堡垒主机被破坏，低档的堡垒主机对于入侵者进一步侵入内部网提供的帮助要小一些。因为它运行较慢，运行一些有助于入侵的破密码程序也较慢。所有这些因素会使入侵者对侵入内部网络的兴趣减少，也容易被用户发现。

　　（3）对于内部网用户来讲，使用低档的机器作为堡垒主机，也可降低黑客损坏堡垒主机的可能。如果使用一台高速堡垒主机，会将大量时间花费在等待内部网用户往外的慢速连接，这是一种浪费。再则，如果堡垒主机很快，内部网用户会利用这台机器的高性能做一些其它工作，而用户在有用户运行程序的堡垒主机上再进行安全控制就较为困难。在堡垒主机上闲置的功能本身就是一种安全隐患。　　

3. 堡垒主机的硬件配置　　

　　因为用户总是希望堡垒主机具有高可靠性，所以，在选择堡垒主机及它的外围设备时，应慎重选择新产品。首先，需要堡垒主机具有高兼容性、成熟性。其次，在不追求纯粹的高CPU性能的同时，用户要求的是上网的速度，这个要求使得堡垒主机的内存要大，并配置有足够的交换空间。另外，如果在堡垒主机上要运行代理服务还需要有较大的磁盘空间作为存储缓冲。并且堡垒主机的启动磁盘应可方便地拆卸并安装在其它机器上，以便于维护。如果内部网络尚未与Internet相连，那用户应将堡垒主机完全配置好后才可让内部网络与Internet相连。如果用户在已与Internet相连的内部网上建立防火墙，那就应该将堡垒主机配置成与内部网无连接的单独机器。如果在配置堡垒主机时被入侵，那这个堡垒主机就可能由内部网的防卫机制而变成内部网的入侵机制。

4. 要保护好系统日志。　　

　　作为全局最重要的主机，堡垒主机上记录有很多重要信息，建立堡垒主机的一个重要步骤就是要确保系统日志的安全。系统日志非常重要，因为通过它可以判断出堡垒主机的运行是否正常。同时，当有黑客入侵到堡垒主机时，系统日志是记录当时现场的主要机制。所以妥善保存日志很重要。存放系统日志主要是从两个方面考虑：方便性和安全性。首先要将它存放在易于操作的地方，这样用户就可以方便地使用它来检查堡垒主机是否处在正常状态。第二是要安全，要使非相关用户无法操作到日志文件。因为在防火墙发生故障时，系统日志是重建防火墙的基础。对于上述两个貌似对立的要求，一个简单的解决方法是同时存放日志文件的两个拷贝，一个作为方便性使用，另一个则准备在发生事故时使用。方便性拷贝是监视系统日常运行的基础，可以将这类拷贝放置在堡垒主机或其它内部网主机上。在防火墙发生故障后为了重建需用日志文件时，用户就不能使用方便性拷贝了。因为，这时的方便性拷贝可能已经不存在或被黑客改动过了。建立安全的系统日志的方法就是将一台电脑连接到堡垒主机的串口，并使这台电脑开机后自动进入“记录”工作模式。用户可以让电脑每记录最近n天内的日志，超期的自动清除，以确保电脑的硬盘不溢出。使用这种方法，在电脑上的系统日志是安全的。因为，在网上是无法连接到这台电脑的。　　

二、防火墙建设方案　　

　　目前比较流行的有以下三种防火墙配置方案。　　

　　1、双宿主机网关（Dual Homed Gateway） 　　

　　这种配置是用一台装有两个网络适配器的双宿主机做防火墙。双宿主机用两个网络适配器分别连接两个网络，又称堡垒主机。堡垒主机上运行着防火墙软件（通常是代理服务器），可以转发应用程序，提供服务等。双宿主机网关有一个致命弱点，一旦入侵者侵入堡垒主机并使该主机只具有路由器功能，则任何网上用户均可以随便访问有保护的内部网络（如图1）

 

　　

　　2、屏蔽主机网关（Screened Host Gateway） 　　

    屏蔽主机网关易于实现，安全性好，应用广泛。它又分为单宿堡垒主机和双宿堡垒主机两种类型。先来看单宿堡垒主机类型。一个包过滤路由器连接外部网络，同时一个堡垒主机安装在内部网络上。堡垒主机只有一个网卡，与内部网络连接（如图2）。

 

 

 

 

    通常在路由器上设立过滤规则，并使这个单宿堡垒主机成为从Internet惟一可以访问的主机，确保了内部网络不受未被授权的外部用户的攻击。而Intranet内部的客户机，可以受控制地通过屏蔽主机和路由器访问Internet。

    双宿堡垒主机型与单宿堡垒主机型的区别是，堡垒主机有两块网卡，一块连接内部网络，一块连接包过滤路由器（如图3）。

 

 

 

    双宿堡垒主机在应用层提供代理服务，与单宿型相比更加安全。

　　3、屏蔽子网（Screened Subnet） 　　

　　这种方法是在Intranet和Internet之间建立一个被隔离的子网，用两个包过滤路由器将这一子网分别与Intranet和Internet分开。两个包过滤路由器放在子网的两端，在子网内构成一个“缓冲地带”（如图4），

 

 

 

 

 

    两个路由器一个控制Intranet 数据流，另一个控制Internet数据流，Intranet和Internet均可访问屏蔽子网，但禁止它们穿过屏蔽子网通信。可根据需要在屏蔽子网中安装堡垒主机，为内部网络和外部网络的互相访问提供代理服务，但是来自两个网络的访问都必须通过两个包过滤路由器的检查。对于向Internet公开的服务器，像WWW、FTP、Mail等Internet服务器也可安装在屏蔽子网内，这样无论是外部用户，还是内部用户都可访问。这种结构的防火墙安全性能高，具有很强的抗攻击能力，但需要的设备多，造价高。

    总结：就象生活中所说的，没有不透风的墙。防火墙本身也有其局限性，例如：不能防范绕过防火墙的入侵，难以避免来自内部的攻击等等。总之，防火墙只是一种整体安全防范策略的一部分，仅有防火墙是不够的，还需要网络访问、本地和远程用户认证、拨出拨入呼叫、磁盘和数据加密以及病毒防护等有关的安全策略。