出口网络安全设计
出于业务需求,通常内网对外提供的网络服务例如公司网站、邮件服务等,这些潜在的不安全因素都威胁着园区网络的安全。建议在园区出口防火墙部署如下安全业务实现网络边界防护:
将企业员工网络、公司服务器网络、外部网络划分到不同安全区域,对安全区域间的流量进行检测和保护。
根据公司对外提供的网络服务的类型开启相应的内容安全防护功能,例如针对所有服务器开启反病毒和入侵防御。
针对内网员工访问外部网络的行为,开启URL过滤、反病毒等功能,既保护内网主机不受外网威胁,又可以防止企业机密信息的泄露,提高企业网络的安全性。
这些安全业务的部署依赖于防火墙的两个关键功能设计:安全区域以及安全策略,下面将给出这两个关键安全功能设计建议。
安全区域
安全区域(Security Zone),简称为区域(Zone),是一个或多个接口所连网络的集合,这些网络中的用户具有相同的安全属性。大部分的安全策略都基于安全区域实施。通过安全区域,防火墙上划分出了等级森严、关系明确的网络,防火墙成为连接各个网络的节点。防火墙通过安全区域来划分网络、标识报文流动的“路线”,当报文在不同的安全区域之间流动时,才会触发安全检查,并实施相应的安全策略。
定义安全区域的原则就是首先需要根据业务和信息敏感度定义安全资产,其次对安全资产定义安全策略和安全级别,对于安全策略和级别相同的安全资产,就可以认为属于同一安全区域。最后根据不同安全区域可能存在的风险设计不同的安全防护能力。
通常情况下,在网络数量较少、环境简单的场合中,可划分为三个安全区域,分别是Trust、DMZ和Untrust:
- Trust区域,该区域内网络的受信任程度高,通常用来定义内部用户所在的网络。
- DMZ区域,该区域内网络的受信任程度中等,通常用来定义内部服务器所在的网络。
- Untrust区域,该区域代表的是不受信任的网络,通常用来定义Internet等不安全的网络。
如图3-20所示,一般可以认为园区内网是安全的,安全威胁主要来自外界,所以把Internet划分为Untrust区域,园区内网划分为Trust区域,在园区出口位置部署安全设备来做内外网隔离,抵御外网威胁。数据中心区域一般划分为DMZ区域,在DMZ区域部署防火墙来做园区内网与数据中心各服务器之间的流量隔离。
