砌 一 堵 安 全 的 墙

张 翔----刘 谨

---- 随 着Internet 在 国 内 的 应 用 日 益 广 泛, 越 来 越 多 的 企 业 和 政 府 机 关 借 助 互 联 网 为 公 众 提 供 服 务, 并 以 此 宣 传 自 身 的 形 象。 要 提 供 这 种 服 务 主 要 有 两 种 途 径: 一 是 采 用ISP 提 供 的 虚 拟 服 务 器, 但 是 这 种 方 式 不 利 于 数 据 的 实 时 更 新 和 系 统 的 修 改; 第 二 条 途 径 是Internet 专 线 接 入, 利 用 专 线 在 自 身 和ISP 之 间 建 立 高 速 连 接。 这 一 方 法 为 非 法 用 户 的 侵 入 提 供 了 物 理 路 径, 容 易 造 成 内 部 网 络 的 安 全 问 题。 因 而 在 接 入Internet 专 线 前 必 须 系 统 规 划 专 线 接 入 方 案, 以 便 有 效 保 障 内 部 网 络 的 安 全 性。

防 火 墙 体 系 结 构

---- 在 进 行Internet 专 线 接 入 时, 为 了 保 障 内 部 网 络 的 安 全, 我 们 通 常 采 用 过 滤 式 路 由 器 和 堡 垒 主 机 对 内 部 网 络 进 行 隔 离。 包 过 滤 路 由 器 能 够 根 据 事 先 设 定 的 规 则 对 通 过 该 路 由 器 的 数 据 包 加 以 过 滤, 避 免 部 分 非 法 数 据 包 的 进 入, 它 通 常 用 来 作 为 对 不 可 信 任 网 络 的 第 一 层 防 卫。 但 是 由 于 该 技 术 只 是 在IP 和TCP 层 进 行 操 作, 对UDP、RPC 乃 至 应 用 层 的 协 议 无 法 进 行 过 滤, 并 且 缺 乏 审 核 和 报 警 机 制。 所 以, 除 了 包 过 滤 路 由 器 外, 我 们 通 常 还 需 要 用 堡 垒 主 机 对 网 络 进 行 隔 离。 堡 垒 主 机 的 主 要 功 能 是 阻 止 非 授 权 用 户 访 问 内 部 敏 感 数 据, 同 时 保 证 合 法 用 户 无 障 碍 地 访 问 网 络 资 源。 包 过 滤 路 由 器 工 作 在OSI 模 型 的3 层 ~4 层 上, 而 堡 垒 主 机 则 工 作 在OSI 模 型 的3 层 ~7 层。 我 们 可 以 把 堡 垒 主 机 理 解 为 防 火 墙, 但 是 严 格 地 说, 防 火 墙 应 该 是 网 络 中 网 络 安 全 设 备 的 集 合, 包 括 堡 垒 主 机、 包 过 滤 路 由 器 和 应 用 网 关 等 等。 至 于 我 们 通 常 使 用 的 装 有Checkpoint 和Firewall-1 之 类 防 火 墙 产 品 的 主 机, 则 称 其 为 堡 垒 主 机 或 防 火 墙 主 机 更 为 合 适 一 些。 下 面 我 们 就 谈 一 谈 常 见 的 几 种 防 火 墙 技 术。

图1 单 堡 垒 主 机 访 火 墙

图2 单 路 由 器 单 堡 垒 主 机 访 火 墙 (无DMZ)

图3 单 路 由 器 单 堡 垒 主 机 访 火 墙 (一 个DMZ)

---- 图1 是 最 简 单 的 防 火 墙, 只 用 一 台 堡 垒 主 机 对 内 部 网 络 进 行 隔 离。 但 是 这 样 会 将 堡 垒 主 机 完 全 暴 露 在 公 众 网 络 面 前, 十 分 容 易 受 到 攻 击。 所 以 我 们 通 常 在 堡 垒 主 机 前 加 一 台 包 过 滤 路 由 器 对 外 界 信 息 先 加 以 隔 离( 见 图2), 提 高 堡 垒 主 机 的 安 全 系 数。 在 这 一 方 式 下, 通 过 设 置 相 关 规 则, 路 由 器 将 所 有 来 自 外 界 的 数 据 包 首 先 发 送 到 堡 垒 主 机 上 进 行 审 查, 从 而 保 障 了 内 部 网 络 的 安 全( 见 图2 灰 线 部 分)。 但 是 这 种 方 式 也 有 一 些 缺 陷。 一 旦 路 由 器 受 到 非 授 权 的 修 改 而 导 致 路 由 表 被 破 坏, 路 由 器 将 不 再 把 外 界 数 据 包 发 送 给 堡 垒 主 机, 而 是 直 接 传 送 到 内 部 网 络。 这 样 的 话, 入 侵 者 将 绕 开 堡 垒 主 机 直 接 访 问 内 部 网 络。 对 于 这 种 情 况, 我 们 有 必 要 对 以 上 结 构 加 以 调 整, 将 单 宿 主 堡 垒 主 机 更 换 为 双 宿 主 堡 垒 主 机。 所 谓 双 宿 主 堡 垒 主 机 也 就 是 带 两 块 网 卡 的 堡 垒 主 机, 一 块 网 卡 通 到 路 由 器, 另 一 块 网 卡 连 接 到 内 部 网 上( 见 图3)。 这 样, 入 侵 者 无 法 通 过 破 坏 路 由 表 来 访 问 内 部 网 络, 外 界 的 数 据 流 必 须 通 过 堡 垒 主 机 才 能 到 达 内 部 网 络。 在 路 由 器 和 堡 垒 主 机 之 间 的 网 络 我 们 称 之 为DMZ( 非 军 事 区)。 我 们 可 以 在DMZ 区 域 上 放 置 一 些 不 包 含 敏 感 数 据 的Internet 服 务 器。 这 种 体 系 结 构 比 较 简 单, 能 够 在 合 理 的 价 格 范 围 内 提 供 较 好 的 安 全 性 能, 在 国 内 许 多 家 中 小 型 企 业 内 得 到 了 良 好 的 应 用。 一 些 大 型 的 企 业 对 网 络 安 全 有 着 更 高 的 要 求, 它 们 采 用 的 则 多 是 双 堡 垒 主 机 的 结 构( 见 图4), 在 这 一 结 构 中 包 含 了 外 部 和 内 部 两 台 堡 垒 主 机 和 两 个DMZ。 这 种 体 系 结 构 在 公 众 网 络 和 内 部 网 络 之 间 设 置 了 两 层 缓 冲 区, 提 供 了 相 当 高 的 安 全 保 障 和 灵 活 多 样 的 配 置 手 段。 用 户 可 根 据 自 身 的 应 用 需 求 和 安 全 需 要 来 选 择 在 外 部DMZ、 内 部DMZ 或 内 部 网 络 上 安 装 自 己 的Internet 服 务 器, 当 需 要 最 高 的 安 全 性 能 时, 可 以 将 所 有 的 服 务 器 都 安 装 在 内 部 网 络 上。


图4 单 路 由 器 双 堡 垒 主 机 访 火 墙 ( 两 个 DMZ)

实 际 案 例

---- 深 圳 市 规 划 国 土 局 花 费 了 一 年 时 间 开 发 出 的 深 圳 市 房 地 产 信 息 系 统 在 防 火 墙 的 设 置 上 可 谓 技 高 一 筹。 该 系 统 面 向 深 圳 市 房 地 产 公 司 和 中 介, 外 部 用 户( 房 地 产 机 构) 采 用 点 对 点 方 式 拨 号 到 国 土 局 的 局 域 网 上, 利 用 浏 览 器 进 行 数 据 查 询 和 资 料 申 报, 内 部 用 户( 国 土 局 处 室) 则 直 接 通 过 局 域 网 进 行 数 据 统 计 和 材 料 审 批。 为 了 扩 展 服 务 的 范 围, 国 土 局 决 定 接 入Internet 专 线, 方 便 广 大 市 民 通 过 互 联 网 进 行 房 地 产 信 息 查 询。 其 网 络 结 构 如 图5 所 示。

---- 在 这 一 方 案 中, 国 土 局 原 有 网 络 被 划 分 为 外 部 网 和 内 部 网 两 部 分。 内 部 网 仍 然 保 持 原 有 功 能, 外 部 网 则 用 来 提 供 对 外 服 务。 外 部 网 包 含 了 外 部DMZ 和 内 部DMZ, 外 部DMZ 上 没 有 任 何 主 机, 内 部DMZ 上 则 安 装 了 面 向 公 众 的 服 务 器。 外 部DMZ 和 内 部DMZ 之 间 用Cisco PIX 防 火 墙 加 以 隔 离, 而 外 部 网 和 内 部 网 之 间 则 通 过Microsoft Proxy Server 进 行 连 接。 房 地 产 系 统 包 含 两 个 服 务 器, 即 房 地 产Web 服 务 器 和 房 地 产 数 据 服 务 器。Web 服 务 器 放 置 在 内 部DMZ 中, 上 面 安 装 了 应 用 程 序 并 提 供WWW 及FTP 服 务; 数 据 服 务 器 则 放 置 在 内 部 网 络 中, 上 面 安 装 了 房 地 产 信 息 数 据 库。 来 自Internet 专 线 的 用 户 请 求 通 过 路 由 器 传 送 到Cisco PIX 防 火 墙, 经 防 火 墙 的 审 查、 过 滤 到 达 内 部DMZ, 向 房 地 产Web 服 务 器 提 出 查 询 请 求,Web 服 务 器 在 审 核 该 请 求 后 将 其 通 过RPC(Remote Process Call) 方 式 提 交 给 内 部 网 络 的 房 地 产 数 据 服 务 器, 数 据 服 务 器 执 行 该 查 询 并 将 结 果 返 回 到Web 服 务 器,Web 服 务 器 又 将 查 询 结 果 返 回 给 用 户, 这 样 就 完 成 了 一 次 房 地 产 数 据 的 存 取 操 作。 内 部 网 的 用 户 可 以 直 接 通 过 局 域 网 访 问 房 地 产 数 据 服 务 器 上 的 数 据。 由 于Microsoft Proxy Server 具 有 代 理 服 务 器 的 功 能, 内 部 网 的 用 户 还 可 以 通 过 它 访 问Internet 上 的 资 源。 在 外 部 网 中, 除 了 房 地 产 服 务 器 外, 还 配 置 了 邮 件 和DNS 服 务 器 用 来 为 外 部 用 户 提 供Internet Mail 和DNS 服 务。

---- 这 一 方 案 采 用 了 双 堡 垒 主 机 的 结 构, 由 于 在 两 个 堡 垒 主 机 上 采 用 了 不 同 厂 商 的 产 品, 入 侵 者 难 以 进 行 连 续 突 破, 为 内 部 网 络 提 供 了 较 高 的 安 全 保 障。 外 部 堡 垒 主 机 选 用 的 是Cisco PIX 防 火 墙, 该 产 品 属 于 硬 件 防 火 墙, 吞 吐 效 率 较 高。 内 部 堡 垒 主 机 选 用 了 微 软 公 司 的Proxy Server, 价 格 便 宜、 使 用 简 便。 公 众 服 务 器 放 置 在 内 部DMZ 上, 安 全 系 数 较 高。 至 于 内 部 网, 即 使 入 侵 者 突 破 了Cisco PIX 防 火 墙, 由 于 我 们 采 用 了 程 序 和 数 据 分 离 的 方 式, 只 要 入 侵 者 未 能 突 破Web 服 务 器 上 房 地 产 应 用 系 统 的 安 全 认 证 或 者Proxy Server, 内 部 网 上 的 房 地 产 数 据 仍 可 保 证 安 全。

注 意 事 项

---- 在 防 火 墙 的 配 置 过 程 当 中, 有 一 些 地 方 必 须 十 分 小 心, 否 则 很 容 易 让 入 侵 者 得 逞。

---- 1 . 在 路 由 器 上 尽 量 采 用 静 态 路 由, 以 免 受 到 错 误 路 由 广 播 的 影 响, 同 时 也 能 避 免 内 部 网 络 的 路 由 信 息 发 送 到 外 界 网 络。

---- 2 . 禁 止 用 户 对 堡 垒 主 机 进 行 登 录 访 问。 一 旦 用 户 得 到 了 堡 垒 主 机 的 登 录 许 可, 入 侵 者 就 有 可 能 利 用 堡 垒 主 机 操 作 系 统 的 弱 点 和 一 些 其 他 途 径 越 过 堡 垒 主 机, 进 入 内 部 网 络。

---- 3 . 禁 止 双 宿 主 堡 垒 主 机 上 的IP 转 发 功 能。 否 则 的 话 有 可 能 造 成 外 界 数 据 流 不 经 审 查 直 接 通 过 堡 垒 主 机。

---- 4 . 选 择 双 堡 垒 主 机 结 构 时, 外 部 堡 垒 主 机 和 内 部 堡 垒 主 机 最 好 能 够 采 取 运 行 在 不 同 系 统 平 台 上 的 不 同 厂 商 的 产 品。 由 于 采 用 了 不 同 厂 商 的 产 品, 外 部 堡 垒 主 机 和 内 部 堡 垒 主 机 采 用 安 全 机 制 和 体 系 结 构 差 别 较 大, 入 侵 者 难 以 进 行 连 续 突 破。 同 样, 外 部 堡 垒 主 机 和 内 部 堡 垒 主 机 最 好 由 不 同 的 管 理 人 员 进 行 维 护, 避 免 一 个 网 络 管 理 员 在 两 台 堡 垒 主 机 上 犯 同 样 的 错 误。

---- ( 作 者 地 址: 深 圳 市 规 划 国 土 局,518000; 收 稿 日 期:1998 年11 月)

中国计算机世界出版服务公司版权所有