防火墻不同工作模式下使用技術(shù)研究

姜家文 潘祺喆 陳建華

摘要：現(xiàn)代社會(huì)信息交互主要依靠網(wǎng)絡(luò)，TCP/IP協(xié)議仍然是現(xiàn)今運(yùn)用最多的網(wǎng)絡(luò)層協(xié)議。由于協(xié)議自身漏洞，數(shù)據(jù)傳輸中不僅存在數(shù)據(jù)泄露的風(fēng)險(xiǎn)，還可能受到外界的攻擊。防火墻于內(nèi)網(wǎng)和外網(wǎng)之間構(gòu)建一道相對(duì)隔絕的保護(hù)屏障，不僅可以保護(hù)信息資料，還可以防止外網(wǎng)網(wǎng)絡(luò)攻擊。以華為USG6000防火墻為例子，研究了防火墻透明模式、路由模式、混合模式三種工作模式，列舉了不同工作模式在各種網(wǎng)絡(luò)環(huán)境下的應(yīng)用場(chǎng)景，提出了復(fù)雜網(wǎng)絡(luò)環(huán)境下防火墻多工作模式的混合應(yīng)用，增強(qiáng)了網(wǎng)絡(luò)數(shù)據(jù)在傳輸過程中的防失泄密能力和全網(wǎng)抗攻擊能力。

關(guān)鍵詞：防火墻;透明模式;路由模式;混合模式;數(shù)據(jù)保護(hù)

中圖分類號(hào)：TP393? ? ? ? 文獻(xiàn)標(biāo)識(shí)碼：A

文章編號(hào)：1009-3044（2022）01-0034-03

現(xiàn)代社會(huì)是一個(gè)萬物互聯(lián)的時(shí)代，網(wǎng)絡(luò)的產(chǎn)生、發(fā)展和成熟讓信息交互變得愈發(fā)容易[1]。近年來安全事件的頻發(fā)卻給信息安全敲響了警鐘。方便快捷的網(wǎng)絡(luò)資源共享使得網(wǎng)絡(luò)信息保密重要性和難度都日益加大[2]。TCP/IP協(xié)議仍然是現(xiàn)今運(yùn)用最多的網(wǎng)絡(luò)層協(xié)議。協(xié)議誕生初期并未對(duì)數(shù)據(jù)安全有過多考慮，使得該協(xié)議天然存在漏洞[3]。防火墻不僅可以起到安全過濾作用，還可以進(jìn)行內(nèi)外網(wǎng)隔離，防止外部網(wǎng)絡(luò)入侵，是內(nèi)部網(wǎng)絡(luò)信息安全的第一道守護(hù)者[4]。本文以華為USG6000為例子，闡述了防火墻透明、路由和混合三種工作模式，分析列舉了在不同網(wǎng)絡(luò)環(huán)境下三種工作模式的應(yīng)用場(chǎng)景，提出了復(fù)雜網(wǎng)絡(luò)環(huán)境下防火墻多工作模式的混合應(yīng)用，展現(xiàn)出不同網(wǎng)絡(luò)環(huán)境下防火墻的使用方法，達(dá)到最佳信息保護(hù)效果。

1 防火墻工作模式

傳統(tǒng)防火墻是基于IP報(bào)文五元組進(jìn)行報(bào)文控制的[5]。五元組包括源MAC地址、目的MAC地址、源IP地址、目的IP地址以及端口號(hào)。通過識(shí)別報(bào)文的不同五元組信息，報(bào)文進(jìn)行篩選，按照預(yù)先給防火墻配置的過濾規(guī)則，選擇報(bào)文放行或者丟棄[6]。華為USG6000不僅具備上述傳統(tǒng)防火墻的功能，還能提供應(yīng)用層級(jí)別的安全防護(hù)能力，提供反病毒、入侵防御、URL過濾、內(nèi)容過濾、文件過濾等一系列基于應(yīng)用的特色功能。更重要的是具有透明、路由和混合三大工作模式，通過合理的部署和配置可以為網(wǎng)絡(luò)信息安全提供有力的保護(hù)。

1.1 透明模式

透明模式是指在不影響原有的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的基礎(chǔ)上，作為二層橋接設(shè)備透明植入原有網(wǎng)絡(luò)，進(jìn)行二層交換和安全防護(hù)[7]。該模式下，USG6000所有接口均切換為二層交換接口，類似于一臺(tái)二層網(wǎng)絡(luò)交換機(jī)，對(duì)同VLAN下的數(shù)據(jù)包轉(zhuǎn)發(fā)時(shí)對(duì)五元組信息不做任何改動(dòng)。如圖1所示，防火墻工作在透明下。

防火墻3個(gè)端口配置為Access模式，并劃分為同一默認(rèn)VLAN即可。如果工作在不同VLAN下，則需要將GE0/0/2和GE0/0/3配置為Access模式，劃分在不同默認(rèn)VLAN，將GE0/0/1配置為Trunk模式，并放行PC終端1和PC終端2所在VLAN。

1.2? ?路由模式

工作在路由模式下的防火墻類似于一臺(tái)路由器和其他工作在網(wǎng)絡(luò)層的設(shè)備交換路由信息。該模式下，USG6000所有端口均切換為三層路由接口，所有接口不能位于同一網(wǎng)段，且每個(gè)接口作為三層網(wǎng)關(guān)，都需要連接一個(gè)獨(dú)立的網(wǎng)段。防火墻可以通過內(nèi)部生成的IP路由表指導(dǎo)報(bào)文跨網(wǎng)段轉(zhuǎn)發(fā)，還可以在接口部署NAT、DHCP、GRE等網(wǎng)絡(luò)層實(shí)現(xiàn)功能[8]。如圖2所示，防火墻工作在路由模式下。

防火墻每個(gè)端口都處于不同網(wǎng)段下，其中GE0/0/3處于Trust區(qū)域，連接需要保護(hù)的內(nèi)網(wǎng)終端;GE0/0/2處于DMZ區(qū)域，連接對(duì)外網(wǎng)提供服務(wù)的服務(wù)器;GE0/0/1處于Untrust區(qū)域，連接可能存在大量入侵的外部網(wǎng)絡(luò)。每個(gè)接口都處于不同網(wǎng)段，需要通過三層路由才可以進(jìn)行報(bào)文傳輸。

1.3 混合模式

混合模式是指透明模式和路由模式的混合。USG6000防火墻實(shí)現(xiàn)了工作層次在接口上的業(yè)務(wù)切換。每個(gè)接口可以獨(dú)自切換業(yè)務(wù)工作狀態(tài)，并不需要整機(jī)切換。因此USG6000同時(shí)存在工作在二層和工作在三層的接口。此時(shí)防火墻的工作模式稱之為混合模式。如圖3，防火墻工作在混合模式下。

GE0/0/1和GE0/0/3都工作在二層模式下，位于同一個(gè)VLAN，以路由器接口作網(wǎng)絡(luò)出口。GE0/0/2工作在3層模式下，直連一臺(tái)電腦終端，用于對(duì)防火墻進(jìn)行遠(yuǎn)程管理和配置。

2 適用場(chǎng)景

不同的網(wǎng)絡(luò)信息保護(hù)需求產(chǎn)生防火墻不同的適用場(chǎng)景，不同場(chǎng)景下所需要的防火墻工作模式也不一樣。合理使用防火墻的3種工作模式可以實(shí)現(xiàn)網(wǎng)絡(luò)信息的最佳保護(hù)。

2.1 重點(diǎn)防護(hù)

防護(hù)區(qū)域要求不更改現(xiàn)有的網(wǎng)絡(luò)拓?fù)涞那闆r下，只有防護(hù)區(qū)域內(nèi)部可以對(duì)外發(fā)起連接，阻止外部非法連接。該信息保護(hù)要求使用路由器或者交換機(jī)的ACL控制手段很難實(shí)現(xiàn)，但是使用防火墻則很容易。使用防火墻的透明模式還可以保持現(xiàn)有網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，僅需要將防火墻置于重點(diǎn)防護(hù)區(qū)域的出口。添加防火墻前后拓?fù)湔故救鐖D4所示。

防火墻處于透明模式下，此時(shí)GE0/0/1和GE0/0/2接口處于二層，模式為Access，處于默認(rèn)VLAN 1。防火墻整體以二層設(shè)備接入原有網(wǎng)絡(luò)，對(duì)原網(wǎng)絡(luò)透明無感。添加安全規(guī)則，放行從Trust區(qū)域到Untrust區(qū)域主動(dòng)建立連接的報(bào)文通過。觸發(fā)防火墻狀態(tài)檢測(cè)機(jī)制后，該連接從GE0/0/1到GE0/0/2返回的報(bào)文也能正常通過，實(shí)現(xiàn)保護(hù)區(qū)域的對(duì)外訪問。阻止并丟棄從Untrust區(qū)域到Trust區(qū)域主動(dòng)建立連接的報(bào)文通過，防止不安全區(qū)域的探測(cè)和攻擊報(bào)文，實(shí)現(xiàn)重點(diǎn)區(qū)域的信息保護(hù)。

2.2 網(wǎng)絡(luò)出口

相對(duì)于內(nèi)部網(wǎng)絡(luò)來說，外部網(wǎng)絡(luò)更加不可控制，存在諸多網(wǎng)絡(luò)威脅。公網(wǎng)有限地址使得內(nèi)部網(wǎng)絡(luò)基本都是使用私網(wǎng)地址。私網(wǎng)地址對(duì)于互聯(lián)網(wǎng)是不可路由的。為了能訪問外部網(wǎng)絡(luò)，NAT技術(shù)的使用不可避免。將防火墻放置于網(wǎng)絡(luò)出口，在進(jìn)行公私網(wǎng)地址轉(zhuǎn)換的同時(shí)，還可以減少內(nèi)部網(wǎng)絡(luò)受到外部網(wǎng)絡(luò)的入侵威脅。對(duì)外提供網(wǎng)絡(luò)服務(wù)的內(nèi)部服務(wù)器放置于DMZ區(qū)域，與內(nèi)部網(wǎng)絡(luò)的隔離，增強(qiáng)了內(nèi)部網(wǎng)絡(luò)的安全。

3 綜合應(yīng)用

當(dāng)網(wǎng)絡(luò)環(huán)境較為復(fù)雜時(shí)對(duì)安全規(guī)則的要求也會(huì)更加復(fù)雜。單獨(dú)使用防火墻的透明模式和路由模式無法實(shí)現(xiàn)時(shí)，這時(shí)就需要使用混合模式。根據(jù)網(wǎng)絡(luò)拓?fù)涞牟煌?，混合模式的配置也有所區(qū)別。如圖5所示，要求Sever A、Server B、PC都處于同一個(gè)IP地址段，但是Server A對(duì)外提供服務(wù)，Server B則只對(duì)內(nèi)部網(wǎng)絡(luò)提供服務(wù)，PC不能被外界區(qū)域主動(dòng)訪問，但可以訪問Server A、Server B和外部網(wǎng)絡(luò)。

在此種網(wǎng)絡(luò)拓?fù)淝闆r下，僅使用透明模式和路由模式都不能很好地滿足安全使用要求，此時(shí)需要在防火墻上綜合應(yīng)用兩種模式。GE0/0/1工作在路由模式下且連接外界不安全區(qū)域。GE0/0/2和GE0/0/3工作在透明模式下，接口模式為Access，處于同一VLAN。Sever A對(duì)外提供服務(wù)，需要被外界風(fēng)險(xiǎn)網(wǎng)絡(luò)訪問，處于DMZ區(qū)域。Sever B僅對(duì)內(nèi)部網(wǎng)絡(luò)提供服務(wù)，PC也不能被外界主動(dòng)訪問，因此放置在內(nèi)部安全區(qū)域。根據(jù)防火墻數(shù)據(jù)流動(dòng)規(guī)則，高安全等級(jí)區(qū)域的數(shù)據(jù)流可以無礙訪問低安全區(qū)域的數(shù)據(jù)流。因此，PC可以訪問Server A、Server B和外部網(wǎng)絡(luò)，Server A可以對(duì)外提供服務(wù)，Server B則只能被內(nèi)部網(wǎng)絡(luò)訪問。

4 結(jié)束語

防火墻作為一個(gè)邊界防御工具，放置在內(nèi)外網(wǎng)之間，控制不同信任區(qū)域之間的數(shù)據(jù)流傳遞，從而保護(hù)內(nèi)部網(wǎng)絡(luò)免受非法用戶的入侵。文中闡述了防火墻三種工作模式，分別為透明模式、路由模式、混合模式。防火墻不同工作模式的綜合應(yīng)用可以實(shí)現(xiàn)復(fù)雜網(wǎng)絡(luò)拓?fù)湎碌陌踩刂菩枨?，極大增強(qiáng)了內(nèi)外網(wǎng)數(shù)據(jù)在傳輸過程中的防失泄密能力和抗攻擊能力。

參考文獻(xiàn)：

[1] 王旭.互聯(lián)網(wǎng)發(fā)展史[J].個(gè)人電腦，2007，13（3）：182-188.

[2] 王世偉.論信息安全、網(wǎng)絡(luò)安全、網(wǎng)絡(luò)空間安全[J].中國(guó)圖書館學(xué)報(bào)，2015，41（2）：72-84.

[3] Stallings W. Cryptography and Network Security， Principles and Practice（International Edition）[J]. International Journal of Engineering & Computer Science， 2012， 1（1）：121-136.

[4] Dabbagh M，Rayes A.Internet of Things security and privacy[M]//Internet of Things From Hype to Reality.Cham：Springer International Publishing，2018：211-238.

[5] 王輝，劉勇.計(jì)算機(jī)通信網(wǎng)絡(luò)安全和防護(hù)對(duì)策探析[J].信息與電腦（理論版），2019（3）：230-231.

[6] 亞歷山大·科特，克利夫·王，羅伯特·F.厄巴徹.網(wǎng)絡(luò)空間安全防御與態(tài)勢(shì)感知[M].北京：機(jī)械工業(yè)出版社，2019.

[7]? Cheswick W R， Bellovin S M， Rubin A D. Firewalls and Internet security： repelling the wily hacker[M]. Addison-Wesley Longman Publishing Co.， Inc.， 2003.

[8] 徐慧洋，白杰，盧宏旺.華為防火墻技術(shù)漫談[M].北京：人民郵電出版社，2015.

【通聯(lián)編輯：代影】

收稿日期：2021-05-24

作者簡(jiǎn)介：姜家文（1991—），男，通信作者，工程師，碩士，主要研究方向?yàn)榫W(wǎng)絡(luò)安全與維護(hù)。

3375500338269