防火墙双宿主机防火墙
双宿主机防火墙 时间:2021-01-14 阅读:(
)
2003年5月第26卷第5期重庆大学学报JournalofChongqingUniversityMay2003Vol_26No.
5文章编号:1000—582X(2003)05-0110-05虚拟专网中防火墙位置的选择'杨劲,孙晓南(1.
重庆工商大学计算机工程与信息科学学院,重庆400020;2.
重庆工程职业技术学院,重庆400037)摘要:防火墙是虚拟专网中的一种基本安全设施,在任何VPN(虚拟专用网络,VirtualPrivateNet—work)方案中都需要认真考虑防火墙的位置.
根据防火墙的放置位置,可以使网络有不同的安全特点,也为网络管理者提供了更多的选择余地.
防火墙应该放在安全网关(VNP服务器)的里面还是外面,一直都是争论的焦点.
对于需要对外界共享部分资源的企业,适合于将防火墙放置在内部网络的最外面.
而对于那些不希望任何非VPN用户访问的企业网络,适合于将防火墙置于VPN服务器之前.
当然不同的位置,其配置方法也有差别,就虚拟专网中的防火墙两种位置进行讨论,并给出实际应用建议.
关键词:虚拟专用网络;防火墙;网络;数据;安全中国分类号:TP393·O8文献标识码:A随着计算机以及计算机网络的普及,各种企业和机构越来越依赖计算机来进行管理和运营.
与传统的封闭式的企业经营模式不同,现代企业常常表现为相对开放的组织结构,各种机构和人员可能分布在各个不同的地区,另一方面市场的要求又使得企业必须高速有效的运转.
这种情况下信息的及时有效交流显得非常重要,对于一个企业所面临的大量数据交流任务,只有依赖计算机网络才能完成.
如何高效、安全和低成本的在企业各个部门和人员之间建立信息的传递通道对于处于同一地区的企业内部我们可以通过企业内部网络(Intranet)来实现,而对于位于不同地区(甚至不同国家)的企业部门、分支机构和人员来说,如何建立他们与企业的联系目前有两种成熟的技术可以选择:专线连接和虚拟专网vPN(VirtualPrivateNetwork).
专线连接由于独占通信线路,因此有较好的安全性,并且使用和配置也很简单,但是用户需要支付高昂的费用.
虚拟专网通过公众网络(例如Intemet)建立企业站点之间的远程互联,以低廉的费用为各种用户提供信息传递应用服务一引.
虽然虚拟专网可以使网络互联成本大大降低,但是需要将企业的网络与公众网络连接,如何在这样的环境下保障企业内部网络中私有信息的安全也就是如何阻挡来自于Intemet上的非法访问呢目前唯一的选择就是使用防火墙技术来阻断外来的未授权访问引.
防火墙允许信息自由地从企业网(专用网)流向Interact(公用网),而限制信息从Intemet流向企业网.
换句话说,任何信息都可以流出,但只有许可的信息才能流人.
可以利用防火墙的许多安全特性在虚拟专网上建立更加安全的网络环境,增强抵御黑客攻击、禁止非法访问的能力】.
选择是否允许通过防火墙的特定TCP/IP数据包的过程一般称为过滤.
用它来限制可用的服务,限制发出或接收可接受数据包的地址.
最常见的防火墙采用的是包过滤技术,包过滤技术提供了一种方法,可以精确地定义什么样的数据流可以被允许通过防火墙.
在任何VPN部署中,防火墙都是一个关键部件.
尽管IPsee拥有许多内置鉴权功能,但是防火墙仍然是企业网络的第一道屏障.
防火墙在网络中的位置不同,所起到的作用也有所不同.
一种常用的方法是将VPN服务器放置在防火墙之后,另一种方案是把VPN服务器设立在防火墙之外的非军事区(DMZ)中,以确·收稿日期:2002—12—31作者简介:杨劲(1968一),男,重庆市人,重庆工商大学讲师,主要从事多媒体网络技术研究和教学.
第26卷第5期杨劲等:虚拟专网中防火墙位置的选择保整体网络的安全].
下面就虚拟专网中的防火墙的位置以及相应的配置进行讨论.
1虚拟专网中的防火墙在虚拟专网中,防火墙和VPN服务器都可以起到阻断非法用户访问的作用.
但是在一些实际应用中,并不要求将网络全部阻断,而是希望有更多的选择余地和更大的控制权.
例如可以允许公司内部特定的用户访问Internet网络,但是Internet网络内的主机不能通过防火墙访问公司的内部网络,只允许访问位于内部网络中的DMZ(非军事化区)内部服务器主机(WWW服务器或FrP服务器等),公司的外地办事处机构可以利用VPN和总部建立安全的私有隧道,以访问总部的资源.
VPN服务器由于采用了专门的隧道加密技术,只允许VPN用户通过,而防火墙则可以根据需要进行配置,选择性的允许指定的用户访问网络资源.
在虚拟专网中,通过防火墙和VPN服务器的放置位置,可以灵活的选择安全控制范围.
在虚拟专网中,防火墙的放置位置可能有两种情况:1)防火墙作为第一道防线,位于内部网络的最前端,直接与Internet相连,VPN服务器位于防火墙和企业内部网Intranet之间.
2)防火墙放置于VPN服务器和企业内部网Intra.
net之间,VPN服务器位于企业内部网络的最前端,直接与Internet相连.
2两种配置位置方案2.
1防火墙放在最前端这种方式下,防火墙作为第一道防线,直接与II1.
temet相连,而VPN服务器作为另一种企业内部网资源位于DMZ(非军事区),如图l所示.
这是一种比较常见的组网架构,内部网络中的DMZ可以作为II)网络资源的一个组成部分,其中通常包含可供Internet用户访问的资源,如web服务器和兀P服务器等.
在图l的结构中,VPN服务器的一个接口在DMZ上,另一个接口在企业内部网Intranet.
这样只有VPN用户才能通过VPN服务器访问后面的资源.
而其他的Internet用户(经过防火墙允许的)则只能DMZ中两l售w曲囊备誓蕊受》…'篁一l摄vPN奄誓器区内部网络;:非军搴区:内部网络图1防火墙位于内部网络的最前端的资源.
在这种方式中,防火墙的Internet接口必须配置输入和输出过滤器,从而可以将VPN隧道数据流转发至VPN服务器.
此外,还必须在防火墙的Internet接口配置一些其他格式不同的过滤器,以便将不同类型的数据流转发至相应的Web服务器、FrP服务器,或者是位于DMZ中的其他类型的服务器上.
需要指出的是,在如图1所示的架构中,存在着一个不安全的隐患.
因为从安全角度出发,要求对VPN连接有个认证过程,从而可以拒绝通不过认证的非授权用户访问VPN服务器.
然而,由于防火墙不具有VPN连接所需的加密密钥,因此它只能对隧道数据的明文报头进行过滤,这也意味着只要是隧道数据,无论它是否发自授权用户,均通过防火墙被转发至VPN服务器,这一点,对于VPN安全来说,是不利的.
2.
2防火墙放置于VPN服务器和企业内部网Intnm图2给出了VPN服务器位于防火墙之前的示意图,在这种情形下,需要在VPN服务器的Internet接口处添加包过滤器,从而限定只有VPN隧道数据流可以通过服务器的该接口.
Intemet)一—一,,—圈1N一§防火墙N蠢谴N连接内部网络一_一一一-图2VPN服务器位于防火墙之前如图2所示,从隧道传输来的数据流,首先经过VPN服务器的解密,然后转发至防火墙,防火墙再使用它的包过滤器,将数据流进一步转发到企业内部网Intraneto1l2重庆大学学报2003生由于在这种方式下,限定VPN服务器能接收的唯一数据流发自授权VPN客户机,因此此处的防火墙过滤器,其作用主要是防止VPN用户访问特定的企业内部网资源,如某些企业内部敏感数据等.
将VPN服务器放置于防火墙之前,还有一个好处是,由于VPN服务器只接收来自VPN客户机的数据流,这种方法可以避免非VPN的Internet用户使用FTP登录企业内部服务器或者通过浏览器访问企业内部网的web资源.
2.
3两种方案的比较这两种方案的差别,主要在于是否能允许经过授权(可以通过防火墙)的非VPN用户访问企业内部网络中的共享资源和企业内部网络的安全性.
下表中对这两种方案做了对比:表1两种方案的比较3两种方案的VPN配置3.
1当防火墙位于最前端时的VPN配置下面以Windows2000为例,来看一下如何使用防火墙包过滤配置软件,在防火墙的Internet接口中,配置转发VPN隧道数据流所需的输入输出过滤器.
1)PPTP包过滤①配置输人过滤器将过滤器的"action"选项设置为Dropallpacketsexceptthosethatmeetthecriteriabelow:·目标地址=VPN服务器的DMZ接口II)地址,TCP目标端口号=1723(0xO6BB).
该过滤条件确保隧道中的数据流,其源端发自PPTP客户机,目标地址为PPTP服务器.
·目标地址=VPN服务器的DMZ接口口地址,协议ID=47(0x2F).
该过滤条件确保从PPTP客户机发向PPTP服务器的是PPTP隧道化数据包.
·目标地址=VPN服务器的DMZ接口口地址.
TCP[established]源端端口号=1723(0xO6BB).
该过滤条件仅在路由器——路由器方式的VPN连接中,当VPN服务器用作VPN客户机(即主叫路由器)时适用.
②配置输出过滤器将过滤器的"action"选项设置为Dropallpacketsexceptthosethatmeetthecriteriabelow:·源端地址=VPN服务器的DMZ接口IP地址,TCP源端端口号=1723(0xO6BB).
该过滤条件确保隧道中的数据流是从PtrrP服务器发向VPN客户机.
·源端地址=VPN服务器的DMZ接口地址,口协议ID=47(0x2F).
该过滤条件确保从PPTP服务器发向Ptrl'p客户机的是Ptrl'p隧道化数据包.
·源端地址=VPN服务器的DMZ接口地址,TCP[established]目标端口号=1723(0~06BB).
该过滤条件仅在路由器——路由器VPN连接中,当VPN服务器用作VPN客户机(即主叫路由器)时适用.
2)基于IPSec的L2TP包过滤①配置输入过滤器将过滤器的"action"选项设置为Dropallpacketsexceptthosethatmeetthecriteriabelow:·目标地址=VPN服务器的DMZ接口口地址,UDP目标端口号=5OO(0~OlF4).
该过滤条件确保发向VPN服务器的是使用Inter-net密钥交换(WE)协议的数据流即IPSec数据包.
·目标地址=VPN服务器的DMZ接口口地址,IP协议ID=50(0x32).
该过滤条件确保从VPN客户机发向VPN服务器的是mSecESP数据流.
②配置输出过滤器第26卷第5期杨劲等:虚拟专网中防火墙位置的选择ll3同样地将过滤器的"action"选项设置为Dropallpacketsexceptthosethatmeetthecriteriabelow:·源端地址=VPN服务器的DMZ接口IP地址,UDP源端端口号=500(0x01F4).
该过滤条件确保从VPN服务器发出的是使用In—ternet密钥交换(IKE)协议的数据流即IPSec数据包.
·源端地址=VPN服务器的DMZ接的IP地址,IP协议ID=50(0x32).
该过滤条件确保从VPN服务器发向VPN客户机的是IPSecESP数据流.
在对L2TP数据流的过滤中,没有针对UDP端口号=1701的过滤要求.
3.
2当防火墙位于VPN服务器之后时的VPN服籀如前面所提到的,为了做到只允许VPN数据流通过VPN服务器的Intemet接口,需要在VPN服务器的Interact接口处添加包过滤器.
下面以Windows2000为例,分别就使用PPTP协议和L2TP协议两种情况,来看一下VPN服务器所需要配置的输入输出过滤器.
1)PFrP包过滤①配置输人过滤器在Windows2000的输入过滤器配置中,将过滤器的action选项设置为Dropallpacketsexceptthosethatmeetthecriteriabelow(丢弃所有不符合以下标准的数据包):·目标地址=VPN服务器的Intemet接口IP地址,子网掩码=255.
255.
255.
255,TCP目标端口号=1723(0xO6BB).
该过滤条件确保隧道中的数据流,其源端发自PP11P客户机,目的端地址为P服务器.
·目标地址=VPN服务器的Intemet接口IP地址.
子网掩码=255.
255.
255.
255,IP协议ID=47(0x2F).
该过滤条件确保从PPTP客户机发向PPTP服务器的是PPTP隧道化数据包.
·目标地址=VPN服务器的Internet接口IP地址,子网掩码=255.
255.
255.
255,1'CP[estabhshed]源端端口号=1723(0x06BB).
该过滤条件仅在路由器——路由器VPN连接中,当VPN服务器作为VPN客户机(即主叫路由器)时适用.
②配置输出过滤器类似的,我们可以在Windows2000中,配置输出过滤器,将过滤器的"action"选项设置为Dropallpack—etsexceptthosethatmeetthecriteriabelow(丢弃所有不符合以下标准的数据包):·源端地址=VPN服务器的Internet接口IP地址,子网掩码=255.
255.
255.
255,TCP源端端口号=1723(0xO6BB).
该过滤条件确保隧道中的数据流是从PPTP服务器发向VPN客户机的.
·源端地址=VPN服务器的Internet接口IP地址,子网掩码=255.
255.
255.
255,IP协议ID=47(0x2F).
'该过滤条件确保从PPTP服务器发向PPTP客户机的是PPTP隧道化数据包.
·源端地址=VPN服务器的Interact接口IP地址,子网掩码=255.
255.
255.
255,TCP[established]目标端口号=1723(OxO6BB).
该过滤条件仅在路由器——路由器VPN连接中,当VPN服务器作为VPN客户机(即主叫路由器)时适用.
2)基于IPSec的L211P包过滤①配置输人过滤器同样地将将过滤器的"action"选项设置为Dropallpacketsexceptthosethatmeetthecriteriabelow:.
·目标地址=VPN服务器的Interact接口IP地址,子网掩码=255.
255.
255.
255,UDP目标端口号=500(0x01F4).
该过滤条件确保发向VPN服务器的是使用Inter-net密钥交换(IKE)协议的数据流即IPSec数据包.
·目标地址=VPN服务器的Interact接口IP地址,子网掩码=255.
255.
255.
255,UDP目标端口号=1701(o~6A5).
该过滤条件确保L2TP隧道数据流源端发自VPN客户机,目标端为VPN服务器.
②配置输出过滤器同样地将过滤器的"action"选项设置为Dropallpacketsexceptthosethatmeetthecriteriabelow:·源端地址:VPN服务器的Internet接口IP地址,子网掩码=255.
255.
255.
255,UDP源端端口号=500(0x01F4).
该过滤条件确保从VPN服务器发出的是使用In—ternet密钥交换(win)协议的数据流即IPSec数据包.
·源端地址=VPN服务器的Internet接口IP地址,子网掩码=255.
255.
255.
255,UDP源端端口号=1701(o~6A5).
该过滤条件确保L2TP隧道数据流从VPN服务器发向VPN客户机.
l14重庆大学学报2003j车-在对IPSecESP数据流的过滤中,没有针对IP协议ID=50的过滤要求.
但在IPSec协议去除ESP报头后,需要使用路由及远程访问服务过滤器对数据包做进一步过滤操作.
4结论从上面两种防火墙在虚拟专网的放置位置的比较和分析,我们可以看出:I)防火墙所处的位置(特别是防火墙与VNP服务器在网络上的相互位置关系)可以影响防火墙所保护的内部网络的安全和资源的共享.
2)当防火墙位于VNP服务器之前,网络的安全得到充分的保护,但同时也限制了外来者对内部网络资源的访问,特别是网络中有Web服务器、FrP服务器这样的共享资源的时候.
对于大多数无需对外共享内部信息的企业,这种方式比较合适.
3)当防火墙位于VNP服务器之后,为外部用户访问企业内部的一些资源提供了方便,但是VNP的网络安全也受到一定的威胁.
因此对于需要共享部分信息资源的企业,可以使用这种VPN构建模式,但要对企业内部的敏感数据实施特殊的保护.
在实际组网中,要根据VNP使用企业的具体情况和要求进行选择和配置.
参考文献:[1]张文华.
IPVPN安全保证技术[J].
现代通信,2002,(1):5—8.
[2]张震.
VPN技术分析及安全模型研究[J].
微型机与应用,2002,24(2):28—30.
[3]王成儒,王顺满,许楷.
VPN安全网关及其相关技术[J].
中国数据通信,2001,(11):lO—l3.
[4]张大陆.
VPN的核心技术的研究[J].
计算机工程,2000,26(3):28—32.
[5]范志荣.
基于公共网络的VPN探析.
计算机应用与研究[J].
2000,l3(3):16—20.
[6]李伟,陈国龙.
虚拟专用网(VPN)在网络安全中的作用[J].
福州大学学报(自然科学版),2000,29(4):74—76.
[7]孙为清等.
VPN的通道技术.
计算机应用与研究[J],2000,18(8):38—41.
[8]孔雷等.
虚拟私用网络技术[M].
北京:清华大学出版社,2000.
OptionoftheFirewallLocationinVirtualPrivateNetwork(VPN)YANGdin,SUNXiao-nan2(1.
ComputerCollege,ChongqingTechnologyBusinessUniversity,Chongqing400020,China;2.
ChongqingEngineeringProfessionalCollege,Chongqing400037,China)Abstract:FirewallisakindofbasicsafefacilityinVirtualPrivateNetwork.
InanyVPNscheme.
tllelocationoffirewallmustbeconsideredconscientious.
AccordingtofirewaU'Slocation.
drentnetworkhasdifferentsafecharacteristic.
Firewallshouldbeputinfrontoforbehindsafegateway(VNPsclwer),whichisthefocusoftheargument.
Tosharetheenterprise'Spartialresourcesforoutsideworld.
firewalliSdifferentindepartmentnetwork.
T0letnon—VPNuservisitintranet.
firewalliSputbehindVPNsclwer.
Thispaperdiscusstllefirewall'Slocationinfictitiousspecialnet.
Keywords:VirtualPrivateNetwork(VPN);firewall;network;datasafety(责任墙辑张小强)
商家介绍:创梦云是来自国内的主机销售商,成立于2018年4月30日,创梦云前期主要从事免备案虚拟主机产品销售,现在将提供5元挂机宝、特惠挂机宝、香港云服务器、美国云服务器、低价挂机宝等产品销售。主打高性价比高稳定性挂机宝、香港云服务器、美国云服务器、香港虚拟主机、美国虚拟主机。官方网站:http://cmy0.vnetdns.com本次促销产品:地区CPU内存硬盘带宽价格购买地址香港特价云服务器1...
轻云互联怎么样?轻云互联,广州轻云网络科技有限公司旗下品牌,2018年5月成立以来,轻云互联以性价比的价格一直为提供个人,中大小型企业/团队云上解决方案。本次轻云互联送上的是美国圣何塞cn2 vps(免费50G集群防御)及香港沙田cn2 vps(免费10G集群防御)促销活动,促销产品均为cn2直连中国大陆线路、采用kvm虚拟技术架构及静态内存。目前,轻云互联推出美国硅谷、圣何塞CN2GIA云服务器...
昨天有在"盘点2021年主流云服务器商家618年中大促活动"文章中整理到当前年中大促618活动期间的一些国内国外的云服务商的促销活动,相对来说每年年中和年末的活动力度还是蛮大的,唯独就是活动太过于密集,而且商家比较多,导致我们很多新人不懂如何选择,当然对于我们这些老油条还是会选择的,估计没有比我们更聪明的进行薅爆款新人活动。有网友提到,是否可以整理一篇当前的这些活动商家中的促销产品。哪些商家哪款产...
双宿主机防火墙为你推荐
网络服务器租用现在网站服务器租赁一年多少钱?便宜的虚拟主机哪里有便宜的国内虚拟主机?免费域名空间求1个免费空间送域名那种北京虚拟主机北京的虚拟主机提供商哪个经济实惠?www二级域名两个不同的网站一个用主域名,一个用www二级域名,这样做对SEO有没有影响二级域名什么是一级域名和二级域名以及三级域名免费域名怎么申请免费个人域名?域名服务器在网上买个域名和买个服务器有什么区别吗?域名抢注怎么抢注域名?如何申请域名如何申请网站域名
域名服务器的作用 免费cn域名 x3220 Vultr 腾讯云数据库 老左博客 realvnc 12u机柜尺寸 青果网 网站实时监控 电子邮件服务器 cn3 免费美国空间 傲盾官网 ftp免费空间 宏讯 云营销系统 cdn网站加速 实惠 大化网 更多