數(shù)據(jù)安全設計中最關(guān)鍵的一點是理清通信需求。這里所說的通信需求是指要從哪里(源)向哪里(目的)進行怎樣的通信(協(xié)議)。我們應整理出這項需求的具體內(nèi)容，并將它們落實到防火墻的安全策略中去。不同的網(wǎng)站有著不同的通信需求，如果通信需求的數(shù)量偏少，參考表 1 中的形式進行統(tǒng)一管理，方便日后查詢。

定義安全區(qū)域

安全區(qū)域指處于同一數(shù)據(jù)安全水平的 VLAN 群。實際上這個區(qū)域要用到一些彼此之間稍有差異的安全策略，所以并不是完全統(tǒng)一的，但將它們粗略地劃分一下會讓人更容易理解。我們應根據(jù)前面理清的通信需求進一步整理出幾個不同的數(shù)據(jù)安全水平，然后將它們分別定義成不同的區(qū)域。設計時將各區(qū)域明確定義好，將來就不必做大量的設置修改，管理起來會輕松很多。

人們一般將數(shù)據(jù)安全水平分成三個區(qū)域來管理，分別是Untrust 區(qū)域、DMZ 區(qū)域和 Trust 區(qū)域，下面就針對這三個區(qū)域南昌網(wǎng)絡公司小編逐一進行講解。

(1)Untrust 區(qū)域

Untrust 區(qū)域位于防火墻外側(cè)，是不可信任的區(qū)域。三個區(qū)域中數(shù)它的數(shù)據(jù)安全水平最低，不適合配置各種服務器，事實上也絕不能將服務器配置到這里。如果網(wǎng)站需要設置一臺在互聯(lián)

網(wǎng)上公開的服務器，那么我們可以認為 Untrust 區(qū)域和互聯(lián)網(wǎng)就是一回事。防火墻是為了防止系統(tǒng)受到來自 Untrust 區(qū)域的網(wǎng)絡攻擊而存在的。

表1 將通信需求整理成表格，方便日后查詢

(2)DMZ 區(qū)域

DMZ 區(qū)域相當于 Untrust 區(qū)域和 Trust 區(qū)域之間的一個緩沖層。它的數(shù)據(jù)安全水平比Untrust 區(qū)域高，比 Trust 區(qū)域低，恰好位于中間地段。人們在 DMZ 區(qū)域配置與 Untrust 區(qū)域直接進行交互的公開服務器，如公開 Web 服務器、外部 DNS 服務器、代理服務器等。由于不特定的大量用戶會來訪問這些服務器，所以從數(shù)據(jù)安全的角度來說，公開服務器是非常危險的，有可能受到形形色色的惡意攻擊甚至遭到劫持。不怕一萬，就怕萬一，為了將不良影響降到最低程度，我們要控制它和Trust區(qū)域之間的通信。

(3)Trust 區(qū)域

Trust 區(qū)域位于防火墻內(nèi)側(cè)，是可以信任的區(qū)域。三個區(qū)域中數(shù)它的數(shù)據(jù)安全水平最高，我

們應不惜一切代價去保護它。非公開服務器和公司內(nèi)部用戶都配置在這個區(qū)域里。

圖2 定義安全區(qū)域

將通信要素分組管理

理清需要怎樣的通信之后，我們應該提取出其中的要素(IP 地址、網(wǎng)絡、協(xié)議等)，并對這些要素進行分組管理。乍一看這項工作沒有任何意義，但實際上它對今后的運行管理起著非常重要的作用。

提取要素并進行分組管理，這聽起來也許有些復雜。為了幫助大家理解這一步驟，下面舉一個網(wǎng)絡設計中十分常見的例子來說明。假設 Trust 區(qū)域中有五個公司內(nèi)部用戶 VLAN，而我們需要允許它們通往互聯(lián)網(wǎng)(Untrust 區(qū)域)的所有通信。這時候，一般人都會想到這個辦法：將這五個公司內(nèi)部用戶 VLAN 定義成網(wǎng)絡對象，然后制定五個訪問控制的策略。但是這個辦法有一個缺點，那就是每增加一個用戶 VLAN，就要相應地增加一個訪問控制策略，這會導致運行管理效率低下。我們不妨換一個思路，將五個公司內(nèi)部用戶 VLAN 定義成一個組，然后允許該用戶 VLAN 組通往互聯(lián)網(wǎng)的所有通信。這樣，即使用戶 VLAN 不斷增加，我們也只需在該組中添加新的網(wǎng)絡對象即可，不必一個個地去制定訪問控制的策略。訪問控制策略越少就越容易管理，因此，我們應該充分利用分組這個辦法來實現(xiàn)高效的運行管理。

圖3　通過分組管理簡化規(guī)則

分組管理中有兩個容易被忽視的重要環(huán)節(jié)，那就是設置時要用到的對象名稱和組名。我們應預先設計好明白易懂的命名規(guī)則，這對今后的管理大有裨益，也能幫助未來接替的管理人員

迅速掌握情況。選擇合適的訪問控制策略理清通信需求并分好組之后，我們就要決定合適的訪問控制策略了，具體說來就是要決定允許哪些通信、拒絕哪些通信以及允許的話要允許多少、拒絕的話拒絕多少通信。如果只允許最低限度的必需通信當然會很安全，但這種情況的管理會非常麻煩。數(shù)據(jù)安全水平和運行管理的作業(yè)時間基本上是成正比的，前者越高，后者就越長。因此我們需要綜合考慮多方因素，選擇整體上比較均衡的策略。

一般說來，如果通信的方向是從數(shù)據(jù)安全水平較低的區(qū)域到較高的區(qū)域(例如從 Untrust 區(qū)域到 DMZ 區(qū)域或從 DMZ 區(qū)域到 Trust 區(qū)域)，我們只能允許最低限度的必需通信通過，如果是相反方向的通信則可以適當?shù)胤艑捪拗啤?

圖 4　如果通信的方向是從數(shù)據(jù)安全水平較低的區(qū)域到較高的區(qū)域，只能允許最低限度的必需通信通過

2、通過多級防御提高安全系數(shù)

最近的防火墻新增了不少功能，如果光是翻看使用手冊，簡直會讓人以為防火墻是無所不能的。不過，防火墻的監(jiān)控對象畢竟僅限于那些要經(jīng)過防火墻的通信，人們也不可能將所有的

功能都集中在防火墻身上，所以我們應該做的是將防火墻和專用的設備、專用軟件搭配使用以形成多級防御，保護系統(tǒng)不受侵害。多級防御是數(shù)據(jù)安全的根本原則，在這方面我們絕不能馬虎行事、掉以輕心。

仔細斟酌需要使用哪些功能

前面已經(jīng)提到過，最近出現(xiàn)了一種 UTM 形式的新型防火墻，兼具多種功能。然而這種防火墻是一把雙刃劍，功能太多以至于性能極其低下。在某些場合，和只作通信控制時的吞吐量相比，這種防火墻在所有功能都被激活時的吞吐量僅為前者的十分之一。無論是什么設備都有自己的強項和弱項，我們不能將所有的功能都交給 UTM 防火墻去實現(xiàn)，而應該找出最適合它去執(zhí)行的功能，不足之處則讓專用的設備和專用軟件去彌補，將它們混搭使用以達到博采眾家之長的目的。

另外，在選擇功能的時候還應該考慮該功能以往的實際使用情況如何。如果不加調(diào)查就啟用新增的功能，很可能會遇到重大缺陷，最終導致宕機。對于系統(tǒng)來說穩(wěn)定性是最重要的，所以我們必須謹慎啟用新功能，務必在弄清它們的實際使用情況是否值得信任之后再作決定，以免淪為無畏的犧牲品。

圖5 將不同的功能混搭使用

3、默認啟動的服務應控制在最小范圍內(nèi)

網(wǎng)絡設備的默認設置會啟動很多服務，這可能會導致設備容易受到惡意攻擊。例如，在某公司的交換機和路由器中，管理方面的一些服務是默認為開啟的，包括 HTTP 服務和 Telnet服務等，因此 HTTP 訪問和 Telnet 訪問都不會受到阻礙，然而這也導致了這些設備易受攻擊的一面。為了規(guī)避這類風險，我們應將啟動的服務控制在所需的最小范圍內(nèi)，保護設備不受惡意攻擊。當然，從管理的角度上看有些服務是不可關(guān)閉的，遇到那樣的情況，我們應該對能夠訪問的網(wǎng)絡進行限制，將可能發(fā)生的不良影響控制在最小范圍之內(nèi)。

圖6　默認啟動的服務應控制在最小范圍內(nèi)

本文僅限內(nèi)部技術(shù)人員學習交流,不得作于其他商業(yè)用途.希望此文對廣大技人員有所幫助。原創(chuàng)文章出自:南昌網(wǎng)站制作公司-百恒網(wǎng)絡