【IT168专稿】当我们尽情地在互联网上畅游时,常常把网络安全问题抛在脑后,其实危险无处不在。因为如今互联网上病毒、木马、恶意试探等等造成的攻击行为络绎不绝。而防火墙是保护网络安全的一个重要防护措施。设置得当的防火墙能够阻挡他们,但是无法清除攻击源。即使防火墙进行了良好的设置,使得攻击无法穿透防火墙,但各种攻击仍然会源源不断地向防火墙发出尝试。
防火墙是直接在内部网和外部网之间加装一个包过滤路由器或者应用网关。为了更好地发挥防火墙作用,首先用防火墙将整个网络分为三个安全区域,企业内部网络,外部网络和服务器专网(DMZ区)。
内部网络一般采用私有的IP地址,DMZ的服务器可以采用公网地址,也可以采用私有地址,但是需要在防火墙上做相应的地址转换来保证外部用户对服务器的正常访问。一般常用的安全策略是:外部网络不允许访问内部网络,内部网络用户可以根据不同的权限访问Internet资源;内部用户和外部用户只允许访问DMZ区指定服务器的指定服务。
我们知道使用防火墙的目的是为了更好保护好正在运行的网络,不受黑客攻击,尤其要设置好防火墙中攻击检测和防御机制。网络攻击不外乎分两个阶段进行,第一个阶段攻击者收集信息;第二阶段攻击者发起攻击。根据企业需求,来制定不同安全策略。为更好地实现网络安全,以检查攻击操作为例:
 |
当防火墙检测到网络攻击时,将执行你为攻击组所指定的操作,该攻击组包含与该攻击相匹配的对象。在图中有三个区段: Trust、Untrust 和 DMZ。通过对攻击的分析,可以断定将需要下列三个策略:
策略一: 允许从 Untrust 区段中的任何地址发往 DMZ 区段中的 Web 服务器 (websrv1 和 websrv2) 的HTTP、HTTPS、PING 和 FTP-GET 信息流。策略设置:选择丢弃连接,并仅向受保护的 Web 服务器发送 TCP RST 通知,使其能终止会话和清除资源。
策略二: 允许从 Trust 区段中的任何地址发往 DMZ 区段中的 Web 服务器 (websrv1 和 websrv2) 的 HTTP、HTTPS、PING 和 FTP 信息流。策略设置:选择丢弃连接,并向受保护的客户端和服务器发送 TCP RST 通知,使得不管攻击的严重性级别如何,它们都能终止会话和清除资源。
策略三: 允许从 Trust 区段中的任何地址发往 Untrust 区段中的任何地址的 FTP-GET、HTTP、HTTPS、PING 信息流。策略设置:选择丢弃连接,并仅向受保护的客户端发送 TCP RST 通知,使其能终止其会话和清除资源。在这种情况下,您预料攻击来自不可信的 HTTP 或 FTP 服务器。
尽管这些策略允许 HTTP、HTTPS、Ping 和 FTP-Get 或 FTP,对 HTTP 和 FTP 信息流激活“深入检查”。 Networks NetScreen设备为例,具体设置如下:
一、 接口配置
set interface ethernet1 zone trust
set interface ethernet1 ip 10.1.1.1/24
set interface ethernet1 manage
set interface ethernet3 zone untrust
set interface ethernet3 ip 1.1.1.1/24
set interface ethernet2 zone dmz
set interface ethernet2 ip 2.1.1.1/24
二、 ip地址设置
set address dmz websrv1 1.2.2.5/32
set address dmz websrv2 1.2.2.6/32
三、 路由设置
set vrouter trust-vr route 0.0.0.0/0 interface ethernet3 gateway 1.1.1.250
四、策略设置
1、 策略一设置
set policy id 1 from untrust to dmz any websrv1 http permit attack
CRITICAL:HTTP:ANOM action close-server
set policy id 1
ns(policy:1)-> set dst-address websrv2
ns(policy:1)-> set service ftp-get
ns(policy:1)-> set service https
ns(policy:1)-> set service ping
ns(policy:1)-> set attack CRITICAL:HTTP:SIGS action close-server
ns(policy:1)-> set attack HIGH:HTTP:ANOM action close-server
ns(policy:1)-> set attack HIGH:HTTP:SIGS action close-server
ns(policy:1)-> set attack MEDIUM:HTTP:ANOM action close-server
ns(policy:1)-> set attack MEDIUM:HTTP:SIGS action close-server
ns(policy:1)-> set attack CRITICAL:FTP:SIGS action close-server
2、策略二设置
set policy id 2 from trust to dmz any websrv1 http permit attack
CRITICAL:HTTP:ANOM action close
set policy id 2
ns(policy:2)-> set dst-address websrv2
ns(policy:2)-> set service ftp
ns(policy:2)-> set service https
ns(policy:2)-> set service ping
ns(policy:2)-> set attack CRITICAL:HTTP:SIGS action close
ns(policy:2)-> set attack HIGH:HTTP:ANOM action close
ns(policy:2)-> set attack HIGH:HTTP:SIGS action close
ns(policy:2)-> set attack MEDIUM:HTTP:ANOM action close
ns(policy:2)-> set attack MEDIUM:HTTP:SIGS action close
ns(policy:2)-> set attack CRITICAL:FTP:SIGS action close
3、策略三设置
set policy id 3 from trust to untrust any any http permit attack
CRITICAL:HTTP:ANOM action close-client
set policy id 3
ns(policy:3)-> set service ftp-get
ns(policy:3)-> set service https
ns(policy:3)-> set service ping
ns(policy:3)-> set attack CRITICAL:HTTP:SIGS action close-client
ns(policy:3)-> set attack HIGH:HTTP:ANOM action close-client
ns(policy:3)-> set attack HIGH:HTTP:SIGS action close-client
ns(policy:3)-> set attack MEDIUM:HTTP:ANOM action close-client
ns(policy:3)-> set attack MEDIUM:HTTP:SIGS action close-client
ns(policy:3)-> set attack CRITICAL:FTP:SIGS action close-client
俗话说的好:“世界上没有一种技术能真正保证绝对地安全。”安全问题,是从设备到人,从服务器上的每个服务程序到防火墙等安全产品的综合问题,任何一个环节,只是向安全迈进一小步。防火墙是一种整体安全防范策略的一部分,仅有防火墙是不够的,安全策略还必须包括全面的安全准则,即网络访问、本地和远程用户认证、拨出拨入呼叫、磁盘和数据加密以及病毒防护等有关的安全策略。
