網(wǎng)絡(luò)防火墻需求分析

網(wǎng)絡(luò)防火墻需求分析網(wǎng)絡(luò)防火墻需求分析網(wǎng)絡(luò)防火墻需求分析資料僅供參考文件編號(hào)：2022年4月網(wǎng)絡(luò)防火墻需求分析版本號(hào)：A修改號(hào)：1頁(yè)次：1.0審核：批準(zhǔn):發(fā)布日期：防火墻——需求分析首先分析網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)和需要保護(hù)的內(nèi)容網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)是否存在不合理OSI/RM參考模型中各層通信的安全隱患物理層的網(wǎng)絡(luò)安全就包括了通信線路的安全，物理設(shè)備的安全、機(jī)房的安全和數(shù)據(jù)的安全等幾個(gè)方面。在物理層上存在安全風(fēng)險(xiǎn)主要體現(xiàn)在傳輸線路上的電磁泄漏、網(wǎng)絡(luò)線路和網(wǎng)絡(luò)設(shè)備的物理破壞，以及數(shù)據(jù)的備份與恢復(fù)。黑客通過(guò)相應(yīng)的技術(shù)手段，在傳輸線路上依靠電磁泄漏進(jìn)行偵聽(tīng)，可以實(shí)現(xiàn)非法截取通信數(shù)據(jù)；也可以通過(guò)非法手段進(jìn)網(wǎng)絡(luò)設(shè)備進(jìn)行破壞，致使網(wǎng)絡(luò)全部或局部的癱瘓。保護(hù)措施：對(duì)傳輸線路進(jìn)行屏蔽，防止電磁泄漏;配備設(shè)備冗余、線路冗余，和電源冗余;完善各種管理制度相配合，特別是機(jī)房和用戶賬戶管理數(shù)據(jù)鏈路層的主要特征就是形成MAC地址，并對(duì)物理層上的比特流進(jìn)行編碼、成幀，然后就是鏈路層上的可靠數(shù)據(jù)傳輸。這樣一來(lái)，黑客基于數(shù)據(jù)鏈路層的攻擊行為也就清楚了，一是進(jìn)行MAC地址欺騙，如ARP病毒，再就是對(duì)數(shù)據(jù)編碼、成幀機(jī)制進(jìn)行干擾，致使形成錯(cuò)誤的數(shù)據(jù)幀，也可以導(dǎo)致數(shù)據(jù)在數(shù)據(jù)鏈路上的傳輸錯(cuò)誤，甚至數(shù)據(jù)丟失。數(shù)據(jù)鏈路層還有一個(gè)安全風(fēng)險(xiǎn)就是大量的廣播包，致使網(wǎng)絡(luò)鏈路帶寬資源匱乏，而最最終使網(wǎng)絡(luò)癱瘓。防護(hù)措施:對(duì)傳輸中的鏈路進(jìn)行加密，防止非法修改數(shù)據(jù)源，干擾數(shù)據(jù)的編碼和成幀;綁定MAC地址與IP地址、端口，或者自動(dòng)監(jiān)測(cè)MAC地址修改;縮小廣播域，如劃分VLAN;加強(qiáng)交換機(jī)設(shè)備的CAM的保護(hù)網(wǎng)絡(luò)層存在的安全風(fēng)險(xiǎn)主要體現(xiàn)在來(lái)自外部網(wǎng)絡(luò)的入侵和攻擊，數(shù)據(jù)包修改，以及IP地址、路由地址和網(wǎng)地址的欺騙。保護(hù)措施：部署防火墻系統(tǒng)ACL，過(guò)濾非法數(shù)據(jù)通信請(qǐng)求;部署防火墻或路由器的NAT技術(shù)，不把內(nèi)網(wǎng)IP地址暴露在外;配置VPN，以確保網(wǎng)絡(luò)間的通信和數(shù)據(jù)安全;配置嚴(yán)謹(jǐn)?shù)纳矸蒡?yàn)證系統(tǒng)，如Kerberos、IPSec協(xié)議和公鑰證書(shū)，防止非法用戶的訪問(wèn).傳輸層的最終目的就是提供可靠，無(wú)差錯(cuò)的數(shù)據(jù)傳輸。整個(gè)數(shù)據(jù)傳輸服務(wù)一般要經(jīng)歷傳輸連接建立階段、數(shù)據(jù)傳送階段、傳輸連接釋放階段3個(gè)階段。其中每個(gè)階段都可能被黑客利用，進(jìn)行非法攻擊。如傳輸連接建立階段，黑客們通過(guò)獲取目的端的IP地址和端口，以及必要的驗(yàn)證信息就可以；數(shù)據(jù)傳送階段，黑客可能會(huì)非法截取，或者篡改傳輸中的數(shù)據(jù)，還可能在傳輸過(guò)程中，發(fā)送大量無(wú)效數(shù)據(jù)，或者命令請(qǐng)求，造成帶寬資源匱乏，引起傳輸服務(wù)癱瘓；在傳輸連接釋放階段，黑客則可以發(fā)送錯(cuò)誤的服務(wù)命令，導(dǎo)致傳輸連接非正常釋放，從而引起數(shù)據(jù)傳輸錯(cuò)誤，數(shù)據(jù)丟失。這就是典型的黑客攻擊，其中最常見(jiàn)的就是拒絕服務(wù)攻擊（DoS）。保護(hù)措施:強(qiáng)化操作系統(tǒng)TCP、UDP協(xié)議安全配置，抵制黑客攻擊;采用TLS/SSL、SSH、SOCKS對(duì)傳輸數(shù)據(jù)進(jìn)行加密，并提供數(shù)據(jù)完整性檢查和身份驗(yàn)證;部署防火墻系統(tǒng)，抵制基于傳輸層的黑客攻擊;部署四層交換機(jī)、防火墻或路由器的流量控制功能和差錯(cuò)檢測(cè)功能.會(huì)話層和表示層作用就是要處理應(yīng)用數(shù)據(jù)以什么樣的表示形式來(lái)進(jìn)行傳送，才能達(dá)到任意應(yīng)用系統(tǒng)之間的信息溝通。保護(hù)措施:在會(huì)話層和表示層中可以提供的安全保護(hù)措施就是會(huì)話進(jìn)程和傳輸數(shù)據(jù)的加密.應(yīng)用層的安全性也是最復(fù)雜的，各種不同應(yīng)用程序有著不同的安全考慮和相應(yīng)的防護(hù)措施?？梢怨ぷ髟趹?yīng)用層的網(wǎng)絡(luò)設(shè)備主要是七層交換機(jī)和應(yīng)用代理型的防火墻和路由器。保護(hù)措施:在防火墻或路由器上部署基于應(yīng)用的通信過(guò)濾;為各具體應(yīng)用軟件配置相應(yīng)的安全保護(hù)選項(xiàng);及時(shí)發(fā)現(xiàn)操作系統(tǒng)和應(yīng)用軟件的安全漏洞，更新安全補(bǔ)丁;安裝專業(yè)的計(jì)算機(jī)病毒、木馬和惡意軟件防護(hù)系統(tǒng)，及時(shí)更新.本地網(wǎng)絡(luò)接入情況本地關(guān)鍵數(shù)據(jù)的部署防火墻能夠防護(hù)的內(nèi)容防火墻是一種非常有效的網(wǎng)絡(luò)安全模型，通過(guò)它可以隔離風(fēng)險(xiǎn)區(qū)域(即Internet或有一定風(fēng)險(xiǎn)的網(wǎng)絡(luò))與安全區(qū)域(內(nèi)部局域網(wǎng))的連接，同時(shí)不會(huì)妨礙內(nèi)部網(wǎng)絡(luò)對(duì)風(fēng)險(xiǎn)區(qū)域的訪問(wèn)。一般的防火墻都可以達(dá)到以下目的：一是可以限制他人進(jìn)入內(nèi)部網(wǎng)絡(luò)，過(guò)濾掉不安全服務(wù)和非法用戶；二是控制內(nèi)部網(wǎng)絡(luò)的網(wǎng)絡(luò)行為，過(guò)濾掉不符合組織要求的數(shù)據(jù)；三是記錄進(jìn)出網(wǎng)絡(luò)的通信量。部署防火墻的保護(hù)目標(biāo)（具體化）邊界防火墻傳統(tǒng)邊界防火墻方式

這一方式中，VPN服務(wù)器位于邊界防火墻之后，防火墻必須打開(kāi)內(nèi)外網(wǎng)絡(luò)之間相應(yīng)的VPN通信服務(wù)端口，這可能帶來(lái)安全隱患，這也是傳統(tǒng)邊界防火墻不能很好地VPN通信的原因。因?yàn)閂PN通信中數(shù)據(jù)包內(nèi)容是加密過(guò)的，所以邊界防火墻無(wú)法檢測(cè)內(nèi)外網(wǎng)絡(luò)之間的通信內(nèi)容，也就無(wú)法從中獲取過(guò)濾信息，這樣防火墻很難有效地實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)的訪問(wèn)控制、審計(jì)和病毒檢測(cè)。因?yàn)閂PN服務(wù)器與傳統(tǒng)邊界2、VPN通信配置防火墻的上述矛盾，所以遠(yuǎn)程攻擊者對(duì)很可能將VPN服務(wù)器作為攻擊內(nèi)部網(wǎng)絡(luò)的跳板，給內(nèi)部網(wǎng)絡(luò)帶來(lái)非常大的不安全因素。為了提高網(wǎng)絡(luò)的安全性，最好再加上如圖9中配置的第二道防火墻：內(nèi)部防火墻，把VPN服務(wù)器放置在外部DMZ區(qū)中。

針對(duì)傳統(tǒng)邊界防火墻與VPN通信的上述矛盾，網(wǎng)絡(luò)設(shè)備開(kāi)發(fā)商就特定為VPN通信開(kāi)發(fā)VPN防火墻。集成VPN技術(shù)的防火墻，就可以正確識(shí)別VPN通信中的數(shù)據(jù)包，并且加密的數(shù)據(jù)包也只在外部VPN客戶端與防火墻之間，有交地避免了前種方案中數(shù)據(jù)包無(wú)法識(shí)別的弊端。重要數(shù)據(jù)和應(yīng)用服務(wù)器防火墻DNS服務(wù)器可為互聯(lián)網(wǎng)提供域名解析服務(wù)，對(duì)任何網(wǎng)絡(luò)應(yīng)用都十分關(guān)鍵。同時(shí)在其中也包括了非常重要的網(wǎng)絡(luò)配置信息，如用戶主機(jī)名和IP地址等。正因如此，對(duì)DNS服務(wù)器要采取特別的安全保護(hù)措施。為了安全起見(jiàn)，建議在防火墻網(wǎng)絡(luò)中，對(duì)內(nèi)部DNS服務(wù)器和外部DNS服務(wù)器進(jìn)行分開(kāi)放置。為互聯(lián)網(wǎng)服務(wù)的外部DNS服務(wù)器不應(yīng)該包含對(duì)外禁止訪問(wèn)的內(nèi)部網(wǎng)絡(luò)系統(tǒng)的相關(guān)服務(wù)，需要專門(mén)放置在內(nèi)部DNS服務(wù)器上。如果將內(nèi)部網(wǎng)絡(luò)的相關(guān)服務(wù)需放置在外部DNS服務(wù)器上，則會(huì)為非法攻擊者提供攻擊對(duì)象目標(biāo)信息。這種將內(nèi)部DNS服務(wù)器和外部DNS服務(wù)器分隔開(kāi)的網(wǎng)絡(luò)配置方案通常稱之為“分割DNS”。分析高安全性、一般安全性、低安全性范圍高安全性：禁止局域網(wǎng)內(nèi)部和互聯(lián)網(wǎng)的機(jī)器訪問(wèn)自己提供的網(wǎng)絡(luò)共享服務(wù)，局域網(wǎng)和互聯(lián)網(wǎng)上的機(jī)器將無(wú)法看到本機(jī)器。除了是由已經(jīng)被認(rèn)可的程序打開(kāi)的端口外