2007年7月31日 星期二

防火牆的規劃(Policy-Making Of Firewall)

防火牆的種類十分多,有軟體、硬體之分,當然也依功能性的不同有極大的價格差距,對於一般使用者來說,防火牆已經是不可缺少的一部份,現在只要一安裝完作業系統,就具備有一定的防火牆功能

雖然如此,但是絕大多數人還是會視防火牆功能的相關設定如無物,或是因為嫌它跳出警告視窗太過頻繁,造成使用上的困擾之後,變成選擇忽略,甚至於取消相關設定都大有人在,這樣一來防火牆只是點綴用的產品(沒辦法,台灣人總是喜歡俗又大碗的東西)

筆者玩過的防火牆並不算多,但是相關的設定其實大同小異,重點是在於觀念上的差別(可參考防火牆用途一文),除此之外,其它是視預算與使用人數決定

那規劃的部份又有那些呢?

這就沒有制式的答案了,除非你的財力能夠盡可能的包山包海(效能與備援兼顧),不然的話,也是有一好沒兩好,真的有財力的人,也不用攬回來自己做呀!

所以,經常會有些取捨,筆者這裡指的是硬體防火牆的設備(各大廠商都有相關產品 ),軟體的部份暫先不論,因為各家差異雷同之處,請用力看玩官方的說明手冊(如果有的話!?),其實很多家用的Router或AP都有簡易的防火牆,但是說明文件之少,會讓你大吃一驚!

好了!直接切入正題吧!

1. 備援的選擇性:防火牆規劃之前,請先想清楚網路的服務禁不禁的起斷線的傷害(金融業、股市、大型服務業...),如果禁不起的話,請準備能夠備援的線路,千萬不要把所有的賭注壓在單一設備/線路上,否則只要ISP給你亂一下,或是線路來個瞬斷,那損失非人力所及

2. 硬體設備的選擇:硬體設備的選擇主要取決於你的建構模式(串聯或並聯),主要還是以串聯居多(所有進出都經過防火牆),並聯部份需經 Port mirroring(或舊式switch),這部份通常是用於網路記錄器的功能

3. 切割DMZ和LAN:就要視你所要設置的服務的重要性而定,例如:只是一般供人瀏覽的網頁伺服器,就可以考慮放置在DMZ上,這樣就算這一類的網站遭受到相關的攻擊時,也不至於影響內部人員的正常運作

4. 規則設定這就是防火牆的最核心部份,重點是觀念指令只是工具
 (1)劃分LAN、WAN及DMZ對內及對外的規則
   例1:連MSN是LAN對外部的Server要求服務(開放LAN --> WAN)
   例2:連上DMZ的Web Server(開放LAN --> DMZ)
   例3:外部連上LAN中的Server(開放WAN --> LAN)
 (2)LAN端的Server僅開放特定Port(Port Forwarding),不要全部開放
 (3)其它功能:頻寬負載平衡、防堵P2PIM軟體、甚至Mail、IM內容記錄

5. 測試與上線:做好規則設定再上線(先全鎖,再進行開放),否則易有漏網之魚

6. 其他:在設置規則時,如果遇到不確定該軟體使用的通道(Port)可以先全開放,觀察流量與封包特性後,即可發現該軟體使用的Port(如果是IM軟體,一般都不需特別設定它們會自己透過80 Port 穿透),除非使用的防火牆需特別開放IM軟體才能通過

其實,防火牆的建構在一般企業都需要(不限領域),不過真的導入的企業並不多,因為價位通常偏高,而且老闆會有疑慮(看不見防火牆對公司獲利的建樹),而且,可能會造成人事與時間成本的浪費,除此之外,還有可能「增進」公司員工的上班的專注力。(笑...心裡有數就好!)