數(shù)據(jù)安全設(shè)計(jì)中最關(guān)鍵的一點(diǎn)是理清通信需求。這里所說(shuō)的通信需求是指要從哪里(源)向哪里(目的)進(jìn)行怎樣的通信(協(xié)議)。我們應(yīng)整理出這項(xiàng)需求的具體內(nèi)容，并將它們落實(shí)到防火墻的安全策略中去。不同的網(wǎng)站有著不同的通信需求，如果通信需求的數(shù)量偏少，參考表 1 中的形式進(jìn)行統(tǒng)一管理，方便日后查詢。

定義安全區(qū)域

安全區(qū)域指處于同一數(shù)據(jù)安全水平的 VLAN 群。實(shí)際上這個(gè)區(qū)域要用到一些彼此之間稍有差異的安全策略，所以并不是完全統(tǒng)一的，但將它們粗略地劃分一下會(huì)讓人更容易理解。我們應(yīng)根據(jù)前面理清的通信需求進(jìn)一步整理出幾個(gè)不同的數(shù)據(jù)安全水平，然后將它們分別定義成不同的區(qū)域。設(shè)計(jì)時(shí)將各區(qū)域明確定義好，將來(lái)就不必做大量的設(shè)置修改，管理起來(lái)會(huì)輕松很多。

人們一般將數(shù)據(jù)安全水平分成三個(gè)區(qū)域來(lái)管理，分別是Untrust 區(qū)域、DMZ 區(qū)域和 Trust 區(qū)域，下面就針對(duì)這三個(gè)區(qū)域南昌網(wǎng)絡(luò)公司小編逐一進(jìn)行講解。

(1)Untrust 區(qū)域

Untrust 區(qū)域位于防火墻外側(cè)，是不可信任的區(qū)域。三個(gè)區(qū)域中數(shù)它的數(shù)據(jù)安全水平最低，不適合配置各種服務(wù)器，事實(shí)上也絕不能將服務(wù)器配置到這里。如果網(wǎng)站需要設(shè)置一臺(tái)在互聯(lián)

網(wǎng)上公開(kāi)的服務(wù)器，那么我們可以認(rèn)為 Untrust 區(qū)域和互聯(lián)網(wǎng)就是一回事。防火墻是為了防止系統(tǒng)受到來(lái)自 Untrust 區(qū)域的網(wǎng)絡(luò)攻擊而存在的。

表1 將通信需求整理成表格，方便日后查詢

(2)DMZ 區(qū)域

DMZ 區(qū)域相當(dāng)于 Untrust 區(qū)域和 Trust 區(qū)域之間的一個(gè)緩沖層。它的數(shù)據(jù)安全水平比Untrust 區(qū)域高，比 Trust 區(qū)域低，恰好位于中間地段。人們?cè)?DMZ 區(qū)域配置與 Untrust 區(qū)域直接進(jìn)行交互的公開(kāi)服務(wù)器，如公開(kāi) Web 服務(wù)器、外部 DNS 服務(wù)器、代理服務(wù)器等。由于不特定的大量用戶會(huì)來(lái)訪問(wèn)這些服務(wù)器，所以從數(shù)據(jù)安全的角度來(lái)說(shuō)，公開(kāi)服務(wù)器是非常危險(xiǎn)的，有可能受到形形色色的惡意攻擊甚至遭到劫持。不怕一萬(wàn)，就怕萬(wàn)一，為了將不良影響降到最低程度，我們要控制它和Trust區(qū)域之間的通信。

(3)Trust 區(qū)域

Trust 區(qū)域位于防火墻內(nèi)側(cè)，是可以信任的區(qū)域。三個(gè)區(qū)域中數(shù)它的數(shù)據(jù)安全水平最高，我

們應(yīng)不惜一切代價(jià)去保護(hù)它。非公開(kāi)服務(wù)器和公司內(nèi)部用戶都配置在這個(gè)區(qū)域里。

圖2 定義安全區(qū)域

將通信要素分組管理

理清需要怎樣的通信之后，我們應(yīng)該提取出其中的要素(IP 地址、網(wǎng)絡(luò)、協(xié)議等)，并對(duì)這些要素進(jìn)行分組管理。乍一看這項(xiàng)工作沒(méi)有任何意義，但實(shí)際上它對(duì)今后的運(yùn)行管理起著非常重要的作用。

提取要素并進(jìn)行分組管理，這聽(tīng)起來(lái)也許有些復(fù)雜。為了幫助大家理解這一步驟，下面舉一個(gè)網(wǎng)絡(luò)設(shè)計(jì)中十分常見(jiàn)的例子來(lái)說(shuō)明。假設(shè) Trust 區(qū)域中有五個(gè)公司內(nèi)部用戶 VLAN，而我們需要允許它們通往互聯(lián)網(wǎng)(Untrust 區(qū)域)的所有通信。這時(shí)候，一般人都會(huì)想到這個(gè)辦法：將這五個(gè)公司內(nèi)部用戶 VLAN 定義成網(wǎng)絡(luò)對(duì)象，然后制定五個(gè)訪問(wèn)控制的策略。但是這個(gè)辦法有一個(gè)缺點(diǎn)，那就是每增加一個(gè)用戶 VLAN，就要相應(yīng)地增加一個(gè)訪問(wèn)控制策略，這會(huì)導(dǎo)致運(yùn)行管理效率低下。我們不妨換一個(gè)思路，將五個(gè)公司內(nèi)部用戶 VLAN 定義成一個(gè)組，然后允許該用戶 VLAN 組通往互聯(lián)網(wǎng)的所有通信。這樣，即使用戶 VLAN 不斷增加，我們也只需在該組中添加新的網(wǎng)絡(luò)對(duì)象即可，不必一個(gè)個(gè)地去制定訪問(wèn)控制的策略。訪問(wèn)控制策略越少就越容易管理，因此，我們應(yīng)該充分利用分組這個(gè)辦法來(lái)實(shí)現(xiàn)高效的運(yùn)行管理。

圖3　通過(guò)分組管理簡(jiǎn)化規(guī)則

分組管理中有兩個(gè)容易被忽視的重要環(huán)節(jié)，那就是設(shè)置時(shí)要用到的對(duì)象名稱和組名。我們應(yīng)預(yù)先設(shè)計(jì)好明白易懂的命名規(guī)則，這對(duì)今后的管理大有裨益，也能幫助未來(lái)接替的管理人員

迅速掌握情況。選擇合適的訪問(wèn)控制策略理清通信需求并分好組之后，我們就要決定合適的訪問(wèn)控制策略了，具體說(shuō)來(lái)就是要決定允許哪些通信、拒絕哪些通信以及允許的話要允許多少、拒絕的話拒絕多少通信。如果只允許最低限度的必需通信當(dāng)然會(huì)很安全，但這種情況的管理會(huì)非常麻煩。數(shù)據(jù)安全水平和運(yùn)行管理的作業(yè)時(shí)間基本上是成正比的，前者越高，后者就越長(zhǎng)。因此我們需要綜合考慮多方因素，選擇整體上比較均衡的策略。

一般說(shuō)來(lái)，如果通信的方向是從數(shù)據(jù)安全水平較低的區(qū)域到較高的區(qū)域(例如從 Untrust 區(qū)域到 DMZ 區(qū)域或從 DMZ 區(qū)域到 Trust 區(qū)域)，我們只能允許最低限度的必需通信通過(guò)，如果是相反方向的通信則可以適當(dāng)?shù)胤艑捪拗啤?

圖 4　如果通信的方向是從數(shù)據(jù)安全水平較低的區(qū)域到較高的區(qū)域，只能允許最低限度的必需通信通過(guò)

2、通過(guò)多級(jí)防御提高安全系數(shù)

最近的防火墻新增了不少功能，如果光是翻看使用手冊(cè)，簡(jiǎn)直會(huì)讓人以為防火墻是無(wú)所不能的。不過(guò)，防火墻的監(jiān)控對(duì)象畢竟僅限于那些要經(jīng)過(guò)防火墻的通信，人們也不可能將所有的

功能都集中在防火墻身上，所以我們應(yīng)該做的是將防火墻和專用的設(shè)備、專用軟件搭配使用以形成多級(jí)防御，保護(hù)系統(tǒng)不受侵害。多級(jí)防御是數(shù)據(jù)安全的根本原則，在這方面我們絕不能馬虎行事、掉以輕心。

仔細(xì)斟酌需要使用哪些功能

前面已經(jīng)提到過(guò)，最近出現(xiàn)了一種 UTM 形式的新型防火墻，兼具多種功能。然而這種防火墻是一把雙刃劍，功能太多以至于性能極其低下。在某些場(chǎng)合，和只作通信控制時(shí)的吞吐量相比，這種防火墻在所有功能都被激活時(shí)的吞吐量?jī)H為前者的十分之一。無(wú)論是什么設(shè)備都有自己的強(qiáng)項(xiàng)和弱項(xiàng)，我們不能將所有的功能都交給 UTM 防火墻去實(shí)現(xiàn)，而應(yīng)該找出最適合它去執(zhí)行的功能，不足之處則讓專用的設(shè)備和專用軟件去彌補(bǔ)，將它們混搭使用以達(dá)到博采眾家之長(zhǎng)的目的。

另外，在選擇功能的時(shí)候還應(yīng)該考慮該功能以往的實(shí)際使用情況如何。如果不加調(diào)查就啟用新增的功能，很可能會(huì)遇到重大缺陷，最終導(dǎo)致宕機(jī)。對(duì)于系統(tǒng)來(lái)說(shuō)穩(wěn)定性是最重要的，所以我們必須謹(jǐn)慎啟用新功能，務(wù)必在弄清它們的實(shí)際使用情況是否值得信任之后再作決定，以免淪為無(wú)畏的犧牲品。

圖5 將不同的功能混搭使用

3、默認(rèn)啟動(dòng)的服務(wù)應(yīng)控制在最小范圍內(nèi)

網(wǎng)絡(luò)設(shè)備的默認(rèn)設(shè)置會(huì)啟動(dòng)很多服務(wù)，這可能會(huì)導(dǎo)致設(shè)備容易受到惡意攻擊。例如，在某公司的交換機(jī)和路由器中，管理方面的一些服務(wù)是默認(rèn)為開(kāi)啟的，包括 HTTP 服務(wù)和 Telnet服務(wù)等，因此 HTTP 訪問(wèn)和 Telnet 訪問(wèn)都不會(huì)受到阻礙，然而這也導(dǎo)致了這些設(shè)備易受攻擊的一面。為了規(guī)避這類風(fēng)險(xiǎn)，我們應(yīng)將啟動(dòng)的服務(wù)控制在所需的最小范圍內(nèi)，保護(hù)設(shè)備不受惡意攻擊。當(dāng)然，從管理的角度上看有些服務(wù)是不可關(guān)閉的，遇到那樣的情況，我們應(yīng)該對(duì)能夠訪問(wèn)的網(wǎng)絡(luò)進(jìn)行限制，將可能發(fā)生的不良影響控制在最小范圍之內(nèi)。

圖6　默認(rèn)啟動(dòng)的服務(wù)應(yīng)控制在最小范圍內(nèi)

本文僅限內(nèi)部技術(shù)人員學(xué)習(xí)交流,不得作于其他商業(yè)用途.希望此文對(duì)廣大技人員有所幫助。原創(chuàng)文章出自:南昌網(wǎng)站制作公司-百恒網(wǎng)絡(luò)