服務(wù)器的網(wǎng)絡(luò)安全中從頭部署新的防火墻策略是一件復雜的事情，你要綜合考慮許多方面。一般來說，防火墻有兩種工作模式，稱為路由模式和透明模式，在路由模式下，防火墻就象一個路由器，能進行數(shù)據(jù)包的路由。

不同的是，它能識別網(wǎng)絡(luò)第四層協(xié)議(即傳輸層)的信息，因此它能基于TCP/UDP端口來進行過濾。在該模式下，防火墻本身要配備兩個或多個網(wǎng)絡(luò)地址，你的網(wǎng)絡(luò)結(jié)構(gòu)會被改變。在透明模式下，防火墻更象一個網(wǎng)橋，它不干涉網(wǎng)絡(luò)結(jié)構(gòu)，從拓撲中看來，它似乎是不存在的(因此稱為透明)。但是，透明模式的防火墻同樣具備數(shù)據(jù)包過濾的功能。透明模式的防火墻不具備IP地址。這兩種模式的防火墻都提供網(wǎng)絡(luò)訪問控制功能，例如你可以在防火墻上設(shè)置，過濾掉來自因特網(wǎng)的對服務(wù)器的NFS端口的訪問請求。

在網(wǎng)絡(luò)中使用哪種工作模式的防火墻取決于你的網(wǎng)絡(luò)環(huán)境。一般來說，如果你的服務(wù)器使用真實IP地址(該地址一般是IDC分配給你的)，會選擇防火墻的透明模式。因為在該模式下，你的服務(wù)器看起來象直接面對互聯(lián)網(wǎng)一樣，所有對服務(wù)器的訪問請求都直接到達服務(wù)器。當然，在數(shù)據(jù)包到達服務(wù)器之前會經(jīng)過防火墻的檢測，不符合規(guī)則的數(shù)據(jù)包會被丟棄掉(從服務(wù)器編程的角度看，它不會覺察到數(shù)據(jù)包實際已被處理過)。

實際上為了安全起見，很多服務(wù)器都采用私有IP地址(例如172.16.0.0/16和192.168.0.0/24都屬于私有IP地址)，如果這些服務(wù)器不必對外提供服務(wù)，那么就最安全不過了，如果要對外提供服務(wù)，就有必要通過防火墻的NAT(網(wǎng)絡(luò)地址轉(zhuǎn)換)來滿足來自因特網(wǎng)的訪問要求。NAT是防火墻的一項功能，它實際上工作在路由模式下。

大多數(shù)防火墻都會區(qū)分所謂的正向NAT和反向NAT，所謂正向NAT就是指從內(nèi)網(wǎng)出去的數(shù)據(jù)包，在經(jīng)過防火墻后，包頭會被改寫，源IP被改寫成防火墻上綁定的IP地址(或地址池，肯定是公網(wǎng)真實IP)，源端口也會有所改變，回來的數(shù)據(jù)包經(jīng)過同樣處理，這樣就保證內(nèi)網(wǎng)具有私有IP的主機能夠與因特網(wǎng)進行通信。在反向NAT的實現(xiàn)中，會將服務(wù)器的公網(wǎng)IP綁定在出口處的防火墻上，服務(wù)器只會使用一個私有IP，防火墻會在它的公網(wǎng)IP和這個私有IP之間建立一個映射，當外網(wǎng)對這臺服務(wù)器的請求到達防火墻時，防火墻會把它轉(zhuǎn)發(fā)給該服務(wù)器。當然，在轉(zhuǎn)發(fā)之前，會先匹配防火墻規(guī)則集，不符合規(guī)則的數(shù)據(jù)包將被丟棄。

使用反向NAT，會大大提高服務(wù)器的安全性。因為任何用戶的訪問都不是直接面對服務(wù)器，而是先要經(jīng)過防火墻才被轉(zhuǎn)交。而且，服務(wù)器使用私有IP地址，這總比使用真實地址要安全。在抗拒絕服務(wù)攻擊上，這種方式的成效更顯然。但是，相對于透明模式的防火墻，采用反向NAT方式的防火墻會影響網(wǎng)絡(luò)速度。如果你的站點訪問流量超大，那么就不要使用該種方式。值得一提的是，CISCO的PIX在NAT的處理上性能異常卓越。

另外一種情況是，服務(wù)器使用真實IP地址，防火墻配置成路由模式，不使用它的NAT功能。這種情況雖然可以實現(xiàn)，但會使你的網(wǎng)絡(luò)結(jié)構(gòu)變得很復雜，似乎也不會帶來效益的提高。

大多數(shù)IDC的機房不提供防火墻服務(wù)，你需要自己購買和配置使用防火墻。你完全可以按透明模式或NAT模式來配置，具體怎么配取決于你的實際情況。有些IDC公司會提供防火墻服務(wù)，作為他們吸引客戶的一個手段。一般來說，他們的防火墻服務(wù)會收費。

如果你的服務(wù)器在IDC提供的公共防火墻后面，那么就有必要仔細考慮你的內(nèi)網(wǎng)結(jié)構(gòu)了。如果IDC提供給你的防火墻使用透明模式，也即是你的服務(wù)器全部使用真實IP地址，在這種情況下，除非你的服務(wù)器數(shù)量足夠多(象我們在北京有500多臺)，那么在你的邏輯網(wǎng)段里肯定還有其他公司的主機存在。

這樣，雖然有防火墻，你的系統(tǒng)管理任務(wù)也不會輕松多少，因為你要受到同一網(wǎng)段里其他公司主機的威脅。例如，你的服務(wù)器的IP地址段是211.139.130.0/24，你使用了其中的幾個地址，那么在這個網(wǎng)段里還會有200多臺其他公司的主機，它們與你的主機同處于一個防火墻之后，雖然防火墻可以屏蔽來自因特網(wǎng)的某些訪問，然而，內(nèi)部這些主機之間的相互訪問卻沒有任何屏蔽措施。于是，其他公司不懷好意的人可以通過他們的主機來攻擊你。

或者，網(wǎng)絡(luò)中一臺主機被黑客入侵，則所有服務(wù)器都會面臨嚴重威脅。在這樣的網(wǎng)絡(luò)中，你不要運行NFS、Sendmail、BIND這樣的危險服務(wù)。

這種問題的解決方法是自己購買防火墻，并配置使用透明模式，不要使用公用防火墻的透明模式。

有的IDC公司會給你提供NAT方式的防火墻，你需要在服務(wù)器上設(shè)置私有IP地址，然后由防火墻來給服務(wù)器做地址轉(zhuǎn)換。這種情況與上述情況存在同樣的問題，那就是，在你的服務(wù)器所在的邏輯網(wǎng)段里還有其他公司的主機。

例如在172.16.16.0/24這個網(wǎng)段可容納254臺主機，你的服務(wù)器使用了其中的幾個IP，那么可能還有200多臺其他公司的主機與你的服務(wù)器在同一個網(wǎng)段里。這樣，雖然對外有防火墻保護，但無法防范來自內(nèi)網(wǎng)的攻擊。

要解決這個問題，你不必自己購買防火墻。既然私有IP是可以任意分配的，那么你可以向IDC單獨要一個網(wǎng)段，例如172.16.19.0/24網(wǎng)段，把你的服務(wù)器都放在這個網(wǎng)段里，其中不要有其他公司的主機。這樣一來，你的內(nèi)網(wǎng)也無懈可擊了。

實際上，如果你有一個大的UNIX主機的網(wǎng)絡(luò)，那么沒必要讓每臺主機都在防火墻上打開登陸端口。你可以特別設(shè)置一臺或兩臺主機做為登陸入口，對其他主機的訪問都必須使用入口主機作為跳板。這樣做犧牲了使用的方便性，但帶來更強的安全性。當然，前提是你必須管理好入口主機。

有一種電子令牌卡適合這種應(yīng)用，它是一張隨身攜帶的卡，每隔一段時間(這個時間通常很小，幾分鐘或者幾十秒)動態(tài)產(chǎn)生一個口令，你只有使用這個口令才能登陸主機，并且該口令很快就會失效。

不僅是UNIX主機，對Windows主機的終端管理也可以采用這種跳板的方式。但Windows的終端比UNIX的shell要麻煩得多，如果你不愿犧牲太多的方便性，那么就不要這樣做。

網(wǎng)絡(luò)安全是服務(wù)器安全中重要的部分，希望大家已經(jīng)掌握以上的內(nèi)容，另外，還希望大家多多關(guān)注防火墻的知識，以更明白的了解服務(wù)器網(wǎng)絡(luò)安全。

【編輯推薦】

1. 如何加強企業(yè)Linux系統(tǒng)安全
2. 網(wǎng)絡(luò)服務(wù)器應(yīng)如何防止被黑
3. 網(wǎng)站主機安全之服務(wù)器的物理安全
4. Windows2000服務(wù)器入侵檢測技巧