3.7 应用服务器的放置 防火墙环境中服务器的放置取决于许多因素,包括DMZ数量、对DMZ中服务器所需要的来自内外的访问方式、流量大小、信息敏感程度等等,因此不可能一概而论。
但是对防火器环境下各种应用服务器的放置必须要遵循以下原则:
- 通过边界路由过滤设备保护外部服务器,或将它们放置在外部DMZ中
- 绝不可将外部可访问的服务器放置在内部要保护网络中
- 根据内部服务器的敏感程度和访问方式,将它们放置在内部防火墙之后
- 尽量隔离各种服务器,防止一个服务器被攻破后波及到其它服务器的安全
下面对一些具体类型的服务器在防火墙环境下的放置给出部分建议,但必须要说明的是,在实际用户网络环境中,还必须由用户的具体业务需求来决定它们的实际位置。 外部可访问服务器
外部可访问服务器(如Web服务器)以及目录服务器(如DNS服务器)可以放置在外部DMZ中,并限制从它们到内部网络的连接。如果这类服务器数目较大,我们建议用户采用虚拟防火墙技术,将每个服务器分配在不同的安全区域中。
VPN和拨入服务器
如3.4节中描述,我们建议VPN和拨入服务器应该放置在边界路由包过滤设备之后或主防火墙之后(如果不采用边界路由设备作包过滤)。
如果主防火墙从功能上和性能上没有问题,则我们建议将VPN服务器放置在主防火墙上,理由见3.4节。
内部服务器
内部可访问的Web服务器、邮件服务器、DNS服务器可以放置在内部DMZ,即在两道防火墙中间。通过内部防火墙将它们和内部要保护网络分开。
将这些服务器放置在内部DMZ中,即可以满足深层防御的要求防止外部攻击,也可以防止来自内部网络的攻击。
如果用户采用HTTP Proxy(代理)支持向外的HTTP网络流量,将HTTP Proxy服务器放置在内部DMZ。
邮件服务器
有些防火墙可以用来接收邮件,即SMTP连接。一个常用的配置方法是利用主防火墙:
1) 接受SMTP连接
2) 然后将它们转给放置在内部DMZ中的专门代理/邮件服务器
这样一来,就避免了要求防火墙来处理邮件。
如果用户需要从外部访问邮件,一种避免从外部网络直接访问邮件服务器的方法是在主防火墙上运行SSL代理。用户在外网通过Web浏览器连接到主防火墙(可以给主防火墙取个别名),主防火墙将SSL连接转到内部代理/邮件服务器,并由它们通过Web提供邮件服务。
这种方法防止了从外网到邮件服务器的直接访问,也可以适用在其它类型服务器的保护中。
图3.12描述了我们的一个建议示例:
3.8 防火墙的增值功能
根据我们前面提到的防火墙环境设计原则之一,即物用其长原则,我们建议用户对使用防火墙的某些增值功能时要充分考虑种种因素,比如防火墙增值功能的实际效用、对防火墙性能的影响等等。
有些增值功能因为其重要性和有效性,已经变成了防火墙的必备功能,比如NAT功能;而有些功能如果有,并且防火墙性能允许,就强烈建议使用,如VPN和入侵检测功能;有些功能则一定要考虑用户的业务要求和网络状况,比如查杀病毒功能,如果用户业务对实时性要求较高的话,我们认为可以交由专门的病毒查杀平台去实现,比如邮件过滤网关,网络杀毒工具等等,这样一方面可以减少网络性能上的瓶颈,另一方面的原因是专业的病毒查杀工具在病毒查杀方面可能更为有效。
3.9 高可靠的防火墙环境
建立一个具有高可靠性和高可用性的防火墙环境有以下要求:
- 防火墙本身抵抗攻击能力强
- 防火墙本身关键部件支持冗余备份
- 防火墙设备应该支持设备级备份
第一点是由防火墙系统和功能本身决定的,在产品选型时要考虑到。比如有些防火墙是基于Windows平台的,而Windows平台本身就缺乏安全保障,因此这类防火墙的抗攻击能力注定难以提高。
后面两点就需要具体的产品支持,最好在选择产品之前了解其安全备份方式和参数,判断是否满足业务的安全需求。
图3.13中对主防火墙采用高可靠性设计(HA):
