香港抗攻擊服務器租用商淺談防火墻怎么設(shè)計為好
防火墻對于服務器租用以及服務器托管的用戶而言十分重要。當攻擊來襲時防火墻對于保護用戶的數(shù)據(jù)起到了十分關(guān)鍵的作用,那么對于用戶而言如何進行防火墻的布局呢?
防火墻的設(shè)計目標
一種良好的防火墻策略和網(wǎng)絡設(shè)計應當能夠減少(而不是根除)下面的這些安全風險:
1.來自互聯(lián)網(wǎng)的攻擊DMZ服務的攻擊
3.企業(yè)用戶或服務器攻擊DMZ服務器
4.DMZ服務器攻擊用戶、服務器,或者損害自身。
5.來自合伙人和外延網(wǎng)(extranet)的威脅
6.來自通過WAN連接的遠程部門的威脅
這些目標聽起來也許有點太過頭了,因為這基本上并不是傳統(tǒng)的方法,不過它卻其自身的道理。
第一點是非常明顯的,那就是限制通過互聯(lián)網(wǎng)試圖訪問DMZ服務器的服務端口,這就極大地減少了它們被攻克的機會。例如,在一個SMTP郵件服務器上,僅允許互聯(lián)網(wǎng)的通信通過25號TCP端口。因此,如果這臺SMTP服務器碰巧在其服務器服務或程序中有一個漏洞,它也不會被暴露在互聯(lián)網(wǎng)上,蠕蟲和黑客總在關(guān)心80號端口的漏洞。
下一條聽起來可能有點兒古怪,我們?yōu)槭裁匆P(guān)心通過自己的網(wǎng)絡來保護公共網(wǎng)絡呢?當然,任何公民都不應當散布惡意代碼,這是起碼的要求。但這樣做也是為了更好地保護我們自己的的網(wǎng)絡連接。以SQL slammer 蠕蟲為例,如果我們部署了更好的防火墻策略,那么就可以防止對互聯(lián)網(wǎng)的拒絕服務攻擊 ,同時還節(jié)省了互聯(lián)網(wǎng)資源。
最不好對付的是內(nèi)部威脅。多數(shù)昂貴的防火墻并不能借助傳統(tǒng)的設(shè)計來防止網(wǎng)絡免受內(nèi)部攻擊者的危害。如一個惡意用戶在家里或其它地方將一臺感染惡意代碼的筆記本電腦掛接到網(wǎng)絡上所造成的后果可想而知。一個良好的網(wǎng)絡設(shè)計和防火墻策略應當能夠保護DMZ服務器,使其免受服務器和用戶所帶來的風險,就如同防御來自互聯(lián)網(wǎng)的風險一樣。
事情還有另外一方面。因為DMZ服務器暴露在公共的互聯(lián)網(wǎng)上,這就存在著它被黑客或蠕蟲破壞的可能。管理員采取措施限制DMZ服務器可能對內(nèi)部服務器或用戶工作站所造成的威脅是至關(guān)重要的。此外,一套穩(wěn)健的防火墻策略還可以防止DMZ服務器進一步損害自身。如果一臺服務器被黑客通過某種已知或未知的漏洞給破壞了,他們做的第一件事情就是使服務器下載一個rootkit。防火墻策略應當防止下載這種東西。
還可以進一步減少來自外延網(wǎng)(Extranet)合伙人及遠程辦公部門WAN的威脅。連接這些網(wǎng)絡的路由器使用了廣域網(wǎng)技術(shù),如幀中繼、VPN隧道、租用私有線路等來保障,這些路由器也可以由防火墻來保障其安全。利用每一臺路由器上的防火墻特性來實施安全性太過于昂貴,這樣不但造成硬件成本高,更主要的是其設(shè)置和管理上難度也很大。企業(yè)的防火墻借助于超過傳統(tǒng)防火墻的附加功能可以提供簡單而集中化的廣域網(wǎng)和外延網(wǎng)的安全管理。
關(guān)鍵在于防火墻能夠限制不同網(wǎng)絡區(qū)域的通信,這些區(qū)域是根據(jù)邏輯組織和功能目的劃分的。但防火墻不能限制并保護主機免受同一子網(wǎng)內(nèi)的其它主機的威脅,因為數(shù)據(jù)絕對不會通過防火墻接受檢查。這也就是為什么防火墻支持的區(qū)域越多,它在一個設(shè)計科學的企業(yè)網(wǎng)絡中也就越有用。由于一些主要的廠商都支持接口的匯聚,所以區(qū)域劃分實現(xiàn)起來也就簡單多了。單獨一個千兆比特的端口可以輕松地支持多個區(qū)域,并且比幾個快速以太網(wǎng)端口的執(zhí)行速度更快。
