圖1一個(gè)DMZ網(wǎng)絡(luò)
使用防火墻從互聯(lián)網(wǎng)和內(nèi)部網(wǎng)(受信任的)分割出一個(gè)DMZ網(wǎng)絡(luò),你可以用非常細(xì)粒度的方法編寫規(guī)則�����,來(lái)定義這3個(gè)區(qū)域內(nèi)的主機(jī)如何與其他區(qū)域的主機(jī)進(jìn)行交互��。象這樣的規(guī)則公式,你應(yīng)該會(huì)認(rèn)為暴露給攻擊者的范圍是接近無(wú)限大的��,在DMZ內(nèi)的主機(jī)應(yīng)該被視為半受信任的�����,也就是說(shuō)���,你應(yīng)該假設(shè)在DMZ內(nèi)的主機(jī)可能會(huì)泄密����,因此�,你應(yīng)該盡可能少允許從DMZ到互聯(lián)網(wǎng)的傳輸。
你也應(yīng)該考慮遭到破壞的DMZ內(nèi)的主機(jī)對(duì)外部網(wǎng)絡(luò)的威脅��,如果一個(gè)來(lái)自互聯(lián)網(wǎng)的攻擊者破壞了你的DNS服務(wù)器�,例如:甚至如果攻擊者試圖進(jìn)入你的內(nèi)部網(wǎng),但被你的防火墻規(guī)則阻止了����,那個(gè)攻擊者仍然可以讓你的組織受困,如果被破壞的服務(wù)器能連接到互聯(lián)網(wǎng)上其他任意系統(tǒng)的話����,甚至還會(huì)引起法律上的問(wèn)題����。防火墻應(yīng)該給用戶和系統(tǒng)完成它們工作需要的最小網(wǎng)絡(luò)傳輸權(quán)限��,非必須的數(shù)據(jù)流遲早會(huì)濫用網(wǎng)絡(luò)��。
你在圖1中或許注意到了��,那里使用了2個(gè)防火墻����,這是個(gè)典型的夾住DMZ區(qū)域的架構(gòu)���,但是許多組織選擇了更經(jīng)濟(jì)的多宿主防火墻DMZ架構(gòu)(圖2)�����,它是只有一個(gè)單獨(dú)的防火墻���,具有多個(gè)網(wǎng)絡(luò)接口,限制不同網(wǎng)絡(luò)間的通訊��,雖然雙防火墻拓?fù)浣Y(jié)構(gòu)能提供更好的保護(hù),但也有弱點(diǎn)����,例如:外部防火墻本身在某種意義上可能泄密。只要你足夠細(xì)心地編寫規(guī)則���,多宿主防火墻接近同樣的作用�����。
圖2 DMZ和多宿主防火墻
無(wú)論你是使用一個(gè)單一的多宿主防火墻還是成對(duì)使用防火墻��,每個(gè)網(wǎng)絡(luò)區(qū)域(內(nèi)部�����、外部/互聯(lián)網(wǎng)和DMZ)連接到一個(gè)專用的防火墻物理網(wǎng)絡(luò)接口是非常重要的����,是的��,這讓你的防火墻有單點(diǎn)故障��,但是���,如果某個(gè)網(wǎng)絡(luò)區(qū)域內(nèi)的主機(jī)路由數(shù)據(jù)包到其他網(wǎng)絡(luò)區(qū)域不經(jīng)過(guò)防火墻��,你的防火墻就沒(méi)有什么價(jià)值了����。
我介紹的最后一個(gè)防火墻設(shè)計(jì)原則目前只能用于多接口防火墻(也就是說(shuō),不能用于本地/個(gè)人防火墻):總是使用反欺騙規(guī)則���。
回顧圖1中面向互聯(lián)網(wǎng)的防火墻��,它有2個(gè)網(wǎng)卡接口:內(nèi)部(面向DMZ)和外部(面向互聯(lián)網(wǎng))��,假設(shè)圖1中的內(nèi)部網(wǎng)絡(luò)使用c類網(wǎng)絡(luò)空間192.168.55.0/24內(nèi)的ip地址����,DMZ使用192.168.77.0/24�����。
因此����,防火墻能丟掉抵達(dá)互聯(lián)網(wǎng)接口的源自這2個(gè)私有ip范圍內(nèi)的ip地址的任何數(shù)據(jù)包�,這些數(shù)據(jù)包容易被欺騙���,攻擊者有時(shí)偽造這些數(shù)據(jù)包的源ip地址,試圖通過(guò)防火墻或戰(zhàn)勝其他基于源ip的認(rèn)證機(jī)制(TCPwrappers�����,hosts.equiv等)��。
事實(shí)上���,在任何防火墻上面向互聯(lián)網(wǎng)的網(wǎng)絡(luò)接口應(yīng)該丟掉源ip地址來(lái)自際任何非internet路由的ip范圍的數(shù)據(jù)包��,特別是那些在RFC1918中定義的:10.0.0.0/8���,172.16.0.0/12和192.168.0.0/16(如果這些號(hào)碼屬于CIDR【譯者注:無(wú)類別域間路由】標(biāo)記法范圍內(nèi)的ip地址,如果你弄不清楚也不要著急��,稍后會(huì)介紹一些iptables工具)���。
為了更通俗易懂的方式說(shuō)明這個(gè)重要的防火墻設(shè)計(jì)原則����,你應(yīng)該配置你的防火墻丟掉源ip地址方向不對(duì)的任何數(shù)據(jù)包���。
以上就是所有防火墻應(yīng)該做的事情����,現(xiàn)在我們開(kāi)始看看如何做這些事情。
