网络安全解决方案

解决方案 > 叁佳SAN防火墙应用解决方案

      目前,国内部分用户对防火墙设备的认识还不够充分和全面,以下是叁佳信智两年多来服务国内客户的一些经验介绍,通过对这些应用案例,用户朋友可以对什么样的网络环境可以应用防火墙,防火墙应当起什么作用,以及如何应用防火墙等问题有一定的了解。
      根据网络安全业界的规则,以下的介绍中我们会隐去所有可能暴露具体用户的信息,包括用户名称、地理位置、IP地址等。

      企业接入

      企业接入Internet等公共网络,是防火墙应用最广泛的场合。在这种应用中,防火墙主要起到安全防范、地址转换和边界控制三个作用。
      应用案例
      某证券公司营业部原系统网络拓扑图如图1所示。整个营业部局域网通过路由器连接DDN专线接入Internet。Web服务器直接与路由器局域网口连在一个交换机上,使用合法IP地址。一台业务前置机也连在这个交换机上,使用合法IP地址。业务前置机与内部网中的一台业务通信机通过串行线连接。内部网所有用户要访问Internet,必须通过代理服务器。代理服务器软件为WinGate和Sygate。代理服务器上装两片网卡,一片连接在外部的交换机上,另一片连在内部网的交换机上。同时代理服务器也兼作业务前置机。

系统架构

      改造前网络拓扑

      通过在营业部网络系统中添加SAN防火墙,并对网络中相关设备,如路由器、服务器等进行必要的设置。增强整个营业部网络系统的安全系数。
      仅仅需要在整个网络系统中添加一台SAN防火墙,防火墙以三端口模式运行。我们将大户网吧和内部网(包括代理服务器)连接到防火墙的内部区;将Web服务器和前置业务机连接到防火墙的中立区;而防火墙的外部接口与路由器的局域网口相连。这样可以有效地保护内部网、大户网吧、Web服务区和前置业务机,同时保证所有业务的正常运行。系统架构如图2所示。



      改造后网络拓扑

      整个系统改造前后只用了两个小时的时间,用户不需要对应用进行修改,对证券营业部的业务运行未造成任何影响。

      外联业务

      外联业务系统,指企业与企业的集团客户和个人及其他单位相连接的网络设备、线路及系统。最为典型的莫过于银行、电信和公用服务部门的代缴代付系统,银行的网上银行业务等。外联业务系统的安全需求具有以下特点:
      1.外联业务系统与其它信息系统广泛进行连接,对信息的隐秘性、系统的独立性要求相对较低,而对业务系统本身的自我保护却有更高的要求。例如,对于网上银行系统,该系统就需要接入Internet,这就意味着网上银行系统将面临来自全球的安全攻击,如何提高其抗攻击能力,就是网上银行系统首先要考虑的问题。
      2.外联业务系统的使用对象涉及社会的各个阶层,其服务对象可能是遵纪守法的用户,也可能是别有用心的用户。所以,新兴业务系统对用户的身份鉴别、访问控制等有着较高的要求。
      应用案例
      某省移动通信公司在建设地市分公司“银行联网缴费系统”时,选用SAN防火墙保障业务系统和企业内部网的安全。通过将防火墙设置为NAT三端口模式,内部网接口与企业内部网的中心交换机连接,外部网接口与银行中间业务网络相连,中立区接口连接计费系统网络的中心交换机。
      在这个系统中,系统管理员通过设置相应的安全策略,可以有效地对三个网络系统之间的通信实现安全控制和监测。

      广域专网

      国内许多行业大用户,如银行、电力、军队、公安等都建有自己覆盖全国的广域专网,许多地理跨度较大的企业也都会在整个企业范围内建设专网。这些网络一般使用私有IP地址,是封闭的专有网络。在专网中,一般通过路由器连接多个局域网,而整个专网中的每一台主机都实时连接在专网上,可以互相访问。这样的网络架构是符合这些用户的业务特点的,可以在广阔的地理范围内实现信息交换和共享。但随之而来的安全问题也十分严峻,如何对不同部门、不同安全级别的主机之间的访问进行控制?如何防范来自专网内部的攻击?在局域网到广域专网的边界上配置防火墙可以在很大程度上解决其安全问题。
      由于专网中的每一台主机都具有本专网内分配的“合法”IP地址,与企业接入环境不同,局域网内的主机需要访问专网上的资源,而专网上其它主机也可能需要访问局域网内的主机,换言之,访问控制是双向的。
      在这样的网络环境下,一般将防火墙配置成在透明模式下工作。SAN防火墙可以在网络地址转换和透明两种模式间切换。透明模式具有所有的包过滤功能,当防火墙运行在透明模式时,它在网络中的角色好像一台网桥,两边的网络处于同一子网中,网络设备(包括主机、路由器、工作站等)的设置无须改变,同时解析所有通过它的数据包。
      应用案例
      某市公安局通过256K的DDN专线连接到省公安厅。按照金盾工程的统一规划,公安部网络为一级网,省级网络为二级网,地市级网络为公安三级网。在本案例中,将SAN防火墙设置在公安三级网到二级网的边界上,这样可以对该市的三级网内所有主机到全省乃至全国公安专网的双向访问进行控制。该市公安局在实际应用中对从外部网络对本局的业务系统服务器的访问进行了详尽的策略控制,规定各处、室、支队的服务器只能与省厅的相关对口部门服务器通信,解决了原来访问控制混乱无序的问题。

      另外,应用SAN防火墙还可以解决网站托管、宽带社区等的安全问题。