數據安全設計中最關鍵的一點是理清通信需求。這里所說的通信需求是指要從哪里(源)向哪里(目的)進行怎樣的通信(協議)。我們應整理出這項需求的具體內容，并將它們落實到防火墻的安全策略中去。不同的網站有著不同的通信需求，如果通信需求的數量偏少，參考表 1 中的形式進行統一管理，方便日后查詢。

定義安全區域

安全區域指處于同一數據安全水平的 VLAN 群。實際上這個區域要用到一些彼此之間稍有差異的安全策略，所以并不是完全統一的，但將它們粗略地劃分一下會讓人更容易理解。我們應根據前面理清的通信需求進一步整理出幾個不同的數據安全水平，然后將它們分別定義成不同的區域。設計時將各區域明確定義好，將來就不必做大量的設置修改，管理起來會輕松很多。

人們一般將數據安全水平分成三個區域來管理，分別是Untrust 區域、DMZ 區域和 Trust 區域，下面就針對這三個區域南昌網絡公司小編逐一進行講解。

(1)Untrust 區域

Untrust 區域位于防火墻外側，是不可信任的區域。三個區域中數它的數據安全水平最低，不適合配置各種服務器，事實上也絕不能將服務器配置到這里。如果網站需要設置一臺在互聯

網上公開的服務器，那么我們可以認為 Untrust 區域和互聯網就是一回事。防火墻是為了防止系統受到來自 Untrust 區域的網絡攻擊而存在的。

表1 將通信需求整理成表格，方便日后查詢

(2)DMZ 區域

DMZ 區域相當于 Untrust 區域和 Trust 區域之間的一個緩沖層。它的數據安全水平比Untrust 區域高，比 Trust 區域低，恰好位于中間地段。人們在 DMZ 區域配置與 Untrust 區域直接進行交互的公開服務器，如公開 Web 服務器、外部 DNS 服務器、代理服務器等。由于不特定的大量用戶會來訪問這些服務器，所以從數據安全的角度來說，公開服務器是非常危險的，有可能受到形形色色的惡意攻擊甚至遭到劫持。不怕一萬，就怕萬一，為了將不良影響降到最低程度，我們要控制它和Trust區域之間的通信。

(3)Trust 區域

Trust 區域位于防火墻內側，是可以信任的區域。三個區域中數它的數據安全水平最高，我

們應不惜一切代價去保護它。非公開服務器和公司內部用戶都配置在這個區域里。

圖2 定義安全區域

將通信要素分組管理

理清需要怎樣的通信之后，我們應該提取出其中的要素(IP 地址、網絡、協議等)，并對這些要素進行分組管理。乍一看這項工作沒有任何意義，但實際上它對今后的運行管理起著非常重要的作用。

提取要素并進行分組管理，這聽起來也許有些復雜。為了幫助大家理解這一步驟，下面舉一個網絡設計中十分常見的例子來說明。假設 Trust 區域中有五個公司內部用戶 VLAN，而我們需要允許它們通往互聯網(Untrust 區域)的所有通信。這時候，一般人都會想到這個辦法：將這五個公司內部用戶 VLAN 定義成網絡對象，然后制定五個訪問控制的策略。但是這個辦法有一個缺點，那就是每增加一個用戶 VLAN，就要相應地增加一個訪問控制策略，這會導致運行管理效率低下。我們不妨換一個思路，將五個公司內部用戶 VLAN 定義成一個組，然后允許該用戶 VLAN 組通往互聯網的所有通信。這樣，即使用戶 VLAN 不斷增加，我們也只需在該組中添加新的網絡對象即可，不必一個個地去制定訪問控制的策略。訪問控制策略越少就越容易管理，因此，我們應該充分利用分組這個辦法來實現高效的運行管理。

圖3　通過分組管理簡化規則

分組管理中有兩個容易被忽視的重要環節，那就是設置時要用到的對象名稱和組名。我們應預先設計好明白易懂的命名規則，這對今后的管理大有裨益，也能幫助未來接替的管理人員

迅速掌握情況。選擇合適的訪問控制策略理清通信需求并分好組之后，我們就要決定合適的訪問控制策略了，具體說來就是要決定允許哪些通信、拒絕哪些通信以及允許的話要允許多少、拒絕的話拒絕多少通信。如果只允許最低限度的必需通信當然會很安全，但這種情況的管理會非常麻煩。數據安全水平和運行管理的作業時間基本上是成正比的，前者越高，后者就越長。因此我們需要綜合考慮多方因素，選擇整體上比較均衡的策略。

一般說來，如果通信的方向是從數據安全水平較低的區域到較高的區域(例如從 Untrust 區域到 DMZ 區域或從 DMZ 區域到 Trust 區域)，我們只能允許最低限度的必需通信通過，如果是相反方向的通信則可以適當地放寬限制。

圖 4　如果通信的方向是從數據安全水平較低的區域到較高的區域，只能允許最低限度的必需通信通過

2、通過多級防御提高安全系數

最近的防火墻新增了不少功能，如果光是翻看使用手冊，簡直會讓人以為防火墻是無所不能的。不過，防火墻的監控對象畢竟僅限于那些要經過防火墻的通信，人們也不可能將所有的

功能都集中在防火墻身上，所以我們應該做的是將防火墻和專用的設備、專用軟件搭配使用以形成多級防御，保護系統不受侵害。多級防御是數據安全的根本原則，在這方面我們絕不能馬虎行事、掉以輕心。

仔細斟酌需要使用哪些功能

前面已經提到過，最近出現了一種 UTM 形式的新型防火墻，兼具多種功能。然而這種防火墻是一把雙刃劍，功能太多以至于性能極其低下。在某些場合，和只作通信控制時的吞吐量相比，這種防火墻在所有功能都被激活時的吞吐量僅為前者的十分之一。無論是什么設備都有自己的強項和弱項，我們不能將所有的功能都交給 UTM 防火墻去實現，而應該找出最適合它去執行的功能，不足之處則讓專用的設備和專用軟件去彌補，將它們混搭使用以達到博采眾家之長的目的。

另外，在選擇功能的時候還應該考慮該功能以往的實際使用情況如何。如果不加調查就啟用新增的功能，很可能會遇到重大缺陷，最終導致宕機。對于系統來說穩定性是最重要的，所以我們必須謹慎啟用新功能，務必在弄清它們的實際使用情況是否值得信任之后再作決定，以免淪為無畏的犧牲品。

圖5 將不同的功能混搭使用

3、默認啟動的服務應控制在最小范圍內

網絡設備的默認設置會啟動很多服務，這可能會導致設備容易受到惡意攻擊。例如，在某公司的交換機和路由器中，管理方面的一些服務是默認為開啟的，包括 HTTP 服務和 Telnet服務等，因此 HTTP 訪問和 Telnet 訪問都不會受到阻礙，然而這也導致了這些設備易受攻擊的一面。為了規避這類風險，我們應將啟動的服務控制在所需的最小范圍內，保護設備不受惡意攻擊。當然，從管理的角度上看有些服務是不可關閉的，遇到那樣的情況，我們應該對能夠訪問的網絡進行限制，將可能發生的不良影響控制在最小范圍之內。

圖6　默認啟動的服務應控制在最小范圍內

本文僅限內部技術人員學習交流,不得作于其他商業用途.希望此文對廣大技人員有所幫助。原創文章出自:南昌網站制作公司-百恒網絡