ASA——下一代防火墙

在整个机构中部署防火墙

防火墙必须在内部网络和外部网络的多个层次过滤才能预防各种攻击

信息资源和基础设施形成了现代企业的核心。部署了网络的企业不但能提高业务效率和业绩,还能获得持续竞争优势。但是,网络也会给企业带来风险。目前,不仅网络攻击数量不断攀升,而且攻击的水平也越来越高,致使各机构核心业务面临的风险越来越大。

最近几年,部署防火墙的最佳实践越来越多,不但涉及企业网与公共互联网对接的传统网络边界,还涉及内部关键位置的整个企业网络,以及分支机构网络的广域网边界。这种分布式防火墙战略能够有效防止内部威胁。根据计算机安全局(CSI)进行的年度调查,内部威胁在计算机犯罪中一直占据着很高的比例。

内部威胁的增加,来源于在公司局域网内形成的新网络边界的出现。这些边界,或称信任边界,位于交换机与后端服务器之间、各部门之间以及无线局域网与有线网络的对接点。防火墙必须在这些关键网络节点处防止入侵,例如,使销售代表无法访问代理跟踪财务系统。

另外,在多个网段上部署防火墙还能帮助各机构遵从最新出台的公司和行业法规。Sarbanes-Oxley、Gramm-Leach-Bliley(GLB)、健康保险便利和责任法案(HIPAA)以及支付卡行业数据安全标准等,都对信息安全审计和跟踪提出了相应的要求。

保护所有接入点

公用-专用网络边界仍然是最容易遭受入侵的位置,因为互联网属于大家都可以访问的网络,并且在众多网络操作员的管理之下。基于上述原因,互联网只能被视为不可信任网络。无线局域网也不可信任,因为无线局域网没有实施相应的安全措施,只要无线信号从内部渗透到外部,或者从外部渗透到内部,就会带来安全隐患。

目前,保护局域网-广域网边界仍然十分重要。但是,网络防火墙必须同时控制内部网段之间的通信,以防止内部员工访问公司策略不允许他们访问的网络和数据资源。如果利用防火墙对公司内联网进行分区,机构内的各部门就能够有效防止来自其它部门的威胁,增加一道防护屏障。

另外,由于越来越多的员工分散在分支机构内,而且使用移动和远程网络的频率越来越高,因此,对网络的依赖程度越来越高。根据专门量化技术对企业影响的Nemertes Research 公司的研究,现在,近90%的员工都分布在分支机构内,即远离公司总部。因此,在每个分支机构网络的边界,即广域网接入路由器与公共互联网或其它广域网互联的地方,也存在网络边界。这个边界也必须加以保护。

作为安全防御的第一道防线,防火墙能够在以下网段中发挥作用:

  • - 在传统公司网络边界(数据中心与广域网和互联网对接的地方);
  • 在部门之间,根据不同用户组之间的策略隔离访问;
  • 在公司局域网交换机端口与数据中心的Web、应用和数据库服务器集群之间;
  • 在有线局域网与无线局域网对接的地方(在以太网局域网交换机与无线局域网控制器之间);
  • 在分支机构的广域网边界;
  • 由远程通信员工和移动员工使用,并存储着公司数据的笔记本电脑、智能电话及其它智能移动设备内(以个人防火墙软件的形式)。

部署在企业内的防火墙的配置样例如图1所示。

图1 企业防火墙配置样例

企业防火墙配置样例

内部攻击与外部攻击

对于很多机构,大部分"计算机犯罪"都来源于内部攻击,因而需要在企业网络中部署更强韧的防火墙过滤。例如,在2006年计算机犯罪与安全调查中,三分之一以上(39%)的公司被访者都表示,2005年,20%的计算机犯罪都来自内部攻击。此次年度调查由CSI与圣弗朗西斯科FBI计算机入侵组联合执行。2006年CSI报告中称,在616位被访者中,有313位被访者表示,他们能够或愿意估计2005年互联网犯罪所带来的损失。

一项令人震惊的调查结果是,在313位CSI调查被访者中,有7%的被访者认为,在计算机犯罪引起的损失中,80%来源于内部入侵者。CSI 调查的被访者主要来自各个行业的大公司和政府实体,三分之一以上(34%)的公司年收入超过10亿美元,57%的公司年收入超过1亿美元。

在313位调查被访者所报告的2005年遭受的近5250万美元损失中,有1060万美元的损失来自于"对信息的非法访问"。此项原因名列第二,排在病毒(1570万美元)之后。"专有信息盗窃"在计算机犯罪损失中占600万美元,名列第四,排在"笔记本电脑或移动硬件盗窃"(660万美元)之后。

由于非法访问和盗窃仍然很严重,因此,不但要重视企业内防火墙的战略部署、配置和管理,还需要进一步加大企业投资。内部防火墙部署是预防上述损失的核心,防火墙应该与其它安全技术结合,从而抵御各种安全威胁。

在整个安全架构中的作用

在分析网络保护机制时,必须要了解企业面临的多种威胁,包括攻击、入侵和互联网威胁。攻击和入侵指的是,黑客企图从机构的内部或外部非法访问信息资源。互联网威胁则采用病毒、间谍件或其它坏件的形式发动攻击。这些威胁通过互联网对执行日常通信任务的未防范用户发起攻击,例如在用户打开电子邮件附件或者下载文件的时候。

由于威胁的种类很多,因此,防火墙通常与入侵防御系统(IPS)以及端点安全系统(也称为Anti-X和网关防坏件系统)配合使用。由于 IPS 能够检测和阻止已知的恶意流量和异常流量,因而能在另一层提供内部安全。端点安全系统能够检查远程客户端设备有无病毒,并保证客户端软件符合各机构对软件版本和标准的要求。另外,它们还支持URL 或内容过滤。目前,多数防火墙都支持虚拟专用网(VPN)技术,即通过数据加密避免在传输过程中被窃。

根据各机构的喜好,以及对性能、功能融合和资本预算的要求,各种安全组件可以驻留在集成式设备中,也能够独立部署。思科提供的机架选项和实施方法如表1所示。

表1 思科防火墙选项与部署方法

网络位置 思科平台 决策条件
广域网边界:
公司总部或分支机构
Cisco ASA 5500 系列或Cisco PIX 安全设备 需要即插即用功能(不需要对现有网络进行任何更改)和超高性能。希望与IPS、SSL VPN 和Anti-X安全功能结合在一起,利用Cisco ASA 5500 系列提高安全性,降低资本支出,改善运作。
 

运行在思科集成多业务路由器上的Cisco IOS Firewall

希望利用路由器软件功能中的防火墙过滤,实现设备融合;需要良好性能。
在企业局域网交换机与后端服务器之间 Cisco Catalyst 6500 系列防火墙服务模块(刀片) 在Cisco Catalyst 交换机上具有开放式插槽;希望利用已有设备资源;需要超高性能。
 

Cisco ASA 5500系列或Cisco PIX 安全设备 需要高性能;不提供交换机插槽;可能希望增加集成IPS模块(在Cisco ASA 5500系列上),使安全性和性能高于独立部署。
在内部部门之间 Cisco Catalyst 6500 系列防火墙服务模块(刀片) 在Cisco Catalyst 交换机上具有开放式插槽;希望利用已有设备资源;需要超高性能。
 

Cisco ASA 5500 系列自适应安全设备 需要高性能,高度准确性,可能希望增加集成IPS模块。
笔记本电脑及其它移动设备 Cisco Security Agent/ 个人防火墙软件 建议在存储着公司数据的设备的所有实例中使用。

防火墙的发展历程

除部署在更多的企业位置外,自十多年前成为主流以来,防火墙的先进性也有了很大的提高。防火墙增加了很多预防性功能,例如应用和协议检测,以避免操作系统和应用漏洞被利用。

另外,防火墙还增加了很多额外的预防特性,例如应用检查功能--根据基于连接信息以及其它变量的详细策略,检测、识别和验证应用类型和处理流量,以便及时发现并阻止流量和用户利用开放端口非法侵入网络。

例如,目前,广泛用于传输Web数据和服务的超文本传输协议(HTTP)包含约75%的网络带宽使用量,一般使用应用端口80。在多数防火墙中,端口80都随时保持开放状态,以便接纳通往端口80的所有流量。因此,黑客、蠕虫和病毒也可以利用这个"通道"攻击Web应用,进而访问到敏感数据。

为防止此类事件发生,应用过滤执行详细的数据包检查,以便准确地识别出哪些HTTP应用流量企图进入网络。尽管各机构允许很多 HTTP 应用进入其网络,但也有一些应用需要阻止。另外,应用防火墙还可以使用深层次检查确定应用协议(例如HTTP)的操作是否合法。

各机构可以制定策略,阻止HTTP帧头超长或包含二进制数据(说明可能会发动攻击)的包进入网络。管理员也可以制定策略,限制每分钟的服务器请求次数,以避免拒绝服务(DoS)攻击。

除应用过滤外,虚拟防火墙功能对拥有集成式服务器和数据中心的机构也十分有用。利用这种防火墙特性,由于一个物理防火墙可以用作多个逻辑防火墙,因而可以让一个机架中的一个防火墙完成多台设备的任务,从而降低资本支出(CapEx)。

结论

互联网犯罪一直都是令企业十分头疼的问题。不仅如此,各机构现在还必须遵从很多企业和行业规定,严格执行信息安全控制要求。

为全面防止非法系统访问,企业最好在内部和外部的所有主要互联点处安装防火墙。据某些企业估计,80%以上的计算机损失都来源于内部攻击。由于机构内的分布式防火墙过滤能够提供多个检查点,因而有助于减少非法内部访问。

除了根据用户特征允许或拒绝访问网络资源外,防火墙还能根据应用层信息过滤网络流量。这种过滤使用详细的数据包检测功能,深入了解每个网络数据包,以便IT部门能够根据其它条件滤除流量。例如,该功能不但可以检测到并阻止使用开放端口侵入网络的非法流量,还可以滤除不需要的Web应用流量,例如某些对等流量。另外,应用过滤还能根据应用协议的操作方式,发现并阻止可疑流量。

实施防火墙过滤的主要位置是在专用局域网与公共互联网对接的公司数据中心内,广域网接入路由器与骨干网交换机之间、局域网交换机与后端服务器之间、有线局域网与无线局域网之间、分支机构网络边界以及移动用户的笔记本电脑及其它便携式设备中。笔记本电脑及其它便携式设备应使用个人防火墙,即客户端软件,防止外部人员访问存储在设备中而不是网络中的数据。

防火墙是访问检查的第一道防线,它们能够与入侵防御、加密和端点安全性等其它安全技术一起,建立全面深入的企业安全防御系统。

联系我们