張　平　陳　玉

[摘要]在現(xiàn)代網(wǎng)絡(luò)辦公形式中,各種形式的INTERNET網(wǎng)絡(luò)鏈接形式各有利弊,在不同形式的環(huán)境中發(fā)揮的巨大的作用,其中由網(wǎng)絡(luò)硬件防火墻作路由器上網(wǎng)的鏈接方式,是小型企業(yè)和組織使用的最廣泛的一種上網(wǎng)工作方式。對該系統(tǒng)進行相應(yīng)的配置,使我們的網(wǎng)絡(luò)工作得到有效的安全保障。

[關(guān)鍵詞]網(wǎng)絡(luò)硬件防火墻NTERNET安全配置

中圖分類號:TJ8文獻標(biāo)識碼:A文章編號:1671-7597(2009)0710020-02

隨著計算機網(wǎng)絡(luò)的不斷發(fā)展,全球信息化進程的加速,計算機網(wǎng)絡(luò)體系的使用更加廣泛。但由于各種計算機網(wǎng)絡(luò)鏈接形式各種各樣,各終端和客戶機分布不均勻性,加之網(wǎng)絡(luò)所具有的開放性、互連性等特點,致使網(wǎng)絡(luò)易受黑客、病毒、惡意軟件和其他非法行為的攻擊,所以網(wǎng)絡(luò)硬件結(jié)構(gòu)的安全和網(wǎng)絡(luò)軟件配置的安全就越來越成為計算機網(wǎng)絡(luò)安全管理人員面臨的一個重大課題。

現(xiàn)在各種企業(yè)和組織使用的鏈接INTERNET網(wǎng)的方式多種多樣,各有千秋。以我們十多年參與小型網(wǎng)絡(luò)建設(shè)與管理的經(jīng)驗,分析由網(wǎng)絡(luò)硬件防火墻作路由器鏈接INTERNET網(wǎng),作為一個小型企業(yè)或組織網(wǎng)絡(luò)出口的網(wǎng)關(guān),是當(dāng)前鏈接INTERNET網(wǎng)絡(luò)的主流方式,也是網(wǎng)絡(luò)配置比較簡捷和好用的方式,同時網(wǎng)絡(luò)的安全性和穩(wěn)定性得以保障。

這里所論述的小型網(wǎng)絡(luò)是指企業(yè)或組織有一個以上的網(wǎng)絡(luò)固定IP出口,企業(yè)和組織內(nèi)部用的是C類IP地址鏈接INTERNET網(wǎng)絡(luò),具體企業(yè)或組織內(nèi)部有沒有對外或內(nèi)部公開使用的各種類型服務(wù)器不做必要的要求。

一、網(wǎng)絡(luò)硬件防火墻網(wǎng)絡(luò)體系結(jié)構(gòu)的配置

(一)網(wǎng)絡(luò)硬件防火墻接口的配置

網(wǎng)絡(luò)硬件防火墻自身具有路由功能可直接聯(lián)通INTERNET,防火墻本身有外網(wǎng)、內(nèi)網(wǎng)和DMZ三組接口分別對應(yīng)鏈接相應(yīng)的網(wǎng)絡(luò)環(huán)境。

網(wǎng)絡(luò)硬件防火墻作為一種網(wǎng)絡(luò)邊界防護型的網(wǎng)絡(luò)安全設(shè)備,必須配置在企業(yè)或組織受保護網(wǎng)絡(luò)的邊界處,只有這樣,防火墻才能控制所有流入和流出網(wǎng)絡(luò)的通信數(shù)據(jù),達到將非法入侵者拒之門外的目的,起到保護企業(yè)或組織內(nèi)部各種公用服務(wù)器和內(nèi)部服務(wù)器的安全,同時保障企業(yè)或組織內(nèi)部能上INTERNET網(wǎng)交換數(shù)據(jù)的客戶機的上網(wǎng)沖浪的安全。

外網(wǎng)接口自然是接光纖入口或者是其它網(wǎng)絡(luò)供應(yīng)商提供的上網(wǎng)接口,通過給防火墻設(shè)置網(wǎng)絡(luò)出口的固定IP地址可以使網(wǎng)絡(luò)內(nèi)部的客戶機或終端暢游INTERNET世界。同時也可以讓外界的各相關(guān)用戶通過本網(wǎng)絡(luò)的固定IP地址或是域名訪問本企業(yè)或組織所擁有的對外開放的INTERNET服務(wù)網(wǎng)絡(luò)里的相關(guān)內(nèi)容。

內(nèi)網(wǎng)接口鏈接企業(yè)或組織內(nèi)部相關(guān)的多級網(wǎng)關(guān)、路由器、交換機和集線器,各個客戶機或終端通過所在的局域網(wǎng)絡(luò)和網(wǎng)關(guān)、路由器、交換機和集線器鏈接實現(xiàn)上網(wǎng)功能。企業(yè)或組織內(nèi)部的各種服務(wù)器也要安置在內(nèi)網(wǎng)區(qū)域內(nèi),內(nèi)部各業(yè)務(wù)服務(wù)器作為功能獨立的主機必須與單位內(nèi)部用戶的個人所使用的客戶機或終端機分開設(shè)置在不用IP地址范圍內(nèi)的二級交換機上,同時配置獨立的、固定的IP地址段,組成系統(tǒng)內(nèi)部的INTRANET。而內(nèi)部和客戶機和終端根據(jù)辦公所需要的網(wǎng)絡(luò)環(huán)境不同配置相關(guān)的IP地址或是不配置IP地址。

DMZ,英語直譯是非軍事化緩沖區(qū),而在計算機行業(yè)中稱之為中立區(qū)網(wǎng)絡(luò),它是當(dāng)我們的企業(yè)或組織的網(wǎng)絡(luò)中的各種WEB服務(wù)器、FTP服務(wù)器、郵件服務(wù)器和數(shù)據(jù)庫服務(wù)器需要開放給公網(wǎng)用戶時而特設(shè)置的獨立區(qū)域。由于這些開放的業(yè)務(wù)服務(wù)器要面對大量公網(wǎng)上的任意未知用戶的訪問,因此,在接入時必須使用網(wǎng)絡(luò)防火墻上的獨立DMZ接口進行隔離,同時需要設(shè)置嚴(yán)格的防火墻訪問控制策略,以防止入侵者的破壞。如果這些對外開放的服務(wù)器是與其他內(nèi)部主機混在一起,沒有放在獨立的DMZ區(qū)進行隔離,其后果可能是,一旦服務(wù)器被黑客利用其漏洞攻擊成功,則整個網(wǎng)絡(luò)就暴露在黑客面前,黑客將很輕松的以服務(wù)器為跳板攻擊整個網(wǎng)絡(luò)。由于企業(yè)或組織內(nèi)部擁有不只一臺相關(guān)的服務(wù)器,各DMZ接口一般接在各種對外公開的服務(wù)的集合部,也就是各個服務(wù)器所接的交換機上,使各個服務(wù)器都能被網(wǎng)絡(luò)外部的計算機所訪問。

(二)網(wǎng)絡(luò)硬件防火墻拓樸結(jié)構(gòu)的配置

網(wǎng)絡(luò)硬件防火墻的拓樸結(jié)構(gòu)是指的防火墻的各個端口和各級交換機,路由器,集線器的鏈接方式。一般小型企業(yè)和組織使用的防火墻上網(wǎng)的模式大多是由網(wǎng)絡(luò)防火墻做INTERNET代理上網(wǎng)服務(wù)器,使用C類IP采用INTERNET共享上網(wǎng)方式。

常見的模型是防火墻占用一個固定IP(公網(wǎng)IP,從ISP處獲得)地址,防火墻對內(nèi)的地址是192.168.0.1,系統(tǒng)內(nèi)的其它計算機通過不同區(qū)所接的交換機或是集線器通過防火墻上網(wǎng)。防火墻、交換機(集線器)、路由器和光貓構(gòu)成了一個星型的網(wǎng)絡(luò)拓樸結(jié)構(gòu),但這只是這些網(wǎng)絡(luò)鏈接設(shè)備,沒加各個計算機。

防火墻的三個功能區(qū)接口,每個接口鏈接一個交換機或是路由器上,通過交換機和路由器再鏈接相關(guān)的計算機或是下一級的交換機,對于每個交換機所鏈接的設(shè)備又構(gòu)成了一個星型的網(wǎng)絡(luò)拓樸結(jié)構(gòu)。若干個小的星型網(wǎng)絡(luò)拓樸結(jié)構(gòu)通過幾層的擴展鏈接,最終把所有的計算機和網(wǎng)絡(luò)設(shè)備鏈接成一個星星網(wǎng),構(gòu)成了一個樹型網(wǎng)絡(luò),有的專家也稱之為混合型網(wǎng)絡(luò)。這樣的網(wǎng)絡(luò)結(jié)構(gòu)層次清楚,容易隔離有問題的某個網(wǎng)絡(luò)小單元段,也便于增加新的網(wǎng)絡(luò)單元段,更便于網(wǎng)絡(luò)的維護。

(三)網(wǎng)絡(luò)硬件防火墻IP地址的配置

網(wǎng)絡(luò)防火墻硬件系統(tǒng)和企業(yè)或組織內(nèi)的各種設(shè)備安裝到位后,接下來就是給予每個要上網(wǎng)的主機分配上網(wǎng)地址,也就是通常我們所說的IP地址,每個上網(wǎng)主機有了IP地址后才能通過防火墻代理上網(wǎng),實現(xiàn)相應(yīng)的網(wǎng)絡(luò)功能。

首先是將從ISP處獲得的公網(wǎng)IP地址分配給防火墻,通過防火墻的管理軟件將該IP地址轉(zhuǎn)換成INTERNET網(wǎng)絡(luò)共享IP地址192.168.0.1。然后把其于253個IP地址分配給各個上網(wǎng)的主機或終端。建議IP地址分段落的分配給各個用戶層,這樣便管理和故障處理。例如:我們將192.168.0.2至192.168.0.20用于校內(nèi)內(nèi)部各個服務(wù)器上,將192.168.0.21至192.168.0.

100分配給各個辦公室的上網(wǎng)辦公用機,將192.168.0.101至192.168.0.

200分配給機房和多功能教室的教學(xué)上網(wǎng)用機,從192.168.0.201以后留作備用和設(shè)備的拓展使用。

二、網(wǎng)絡(luò)硬件防火墻網(wǎng)絡(luò)軟件功能的配置

網(wǎng)絡(luò)硬件防火墻的硬件布置好后,只能說網(wǎng)絡(luò)硬件防火墻可以工作了,但還不能起作用,只有進入網(wǎng)絡(luò)硬件防火墻的管理系統(tǒng)內(nèi)進行相關(guān)的軟件功能設(shè)置后,網(wǎng)絡(luò)硬件防火墻才能真正的起作用。

首先是對網(wǎng)絡(luò)出口的配置。使用網(wǎng)絡(luò)硬件防火墻上網(wǎng)的目的就是能安全穩(wěn)妥的上網(wǎng)進行相應(yīng)的工作,所以配置網(wǎng)絡(luò)出口是必須的也是首要任務(wù)。進入防火墻管理系統(tǒng)后,在基本設(shè)置里面選擇相應(yīng)的網(wǎng)絡(luò)模式,小型企業(yè)和組織一般多用的是靜態(tài)設(shè)置選項,也就是從ISP處獲取固定的網(wǎng)絡(luò)出口的公網(wǎng)IP地址,不管你的組織內(nèi)有沒有公網(wǎng)服務(wù)器,都要有一個這樣的IP地址,這是保障網(wǎng)絡(luò)安全和穩(wěn)定的必要手段。將從ISP處獲取的IP地址寫入“設(shè)置WAN接口IP地址處,配置如下:

WAN接口IP

之后設(shè)置LAN接口IP地址,配置如下:

其次是對企業(yè)或組織內(nèi)對外的公開服務(wù)器的配置。要在防火墻的高級設(shè)置里加上WAN的IP地址和內(nèi)網(wǎng)IP地址轉(zhuǎn)換參數(shù),例如:

并在虛擬服務(wù)器項目上進行策略的設(shè)置,例如:

這樣系統(tǒng)內(nèi)的服務(wù)器就可以成為公網(wǎng)上的一個公用服務(wù)器,不僅本系統(tǒng)內(nèi)的計算機能訪問,外界的計算機也能訪問。

第三步是內(nèi)部INTRANET服務(wù)器的設(shè)置。許多企業(yè)和組織都有內(nèi)部辦公數(shù)據(jù)服務(wù)器,僅對系統(tǒng)內(nèi)部的主機開放,故這些服務(wù)只需把本機的IP地址設(shè)為內(nèi)網(wǎng)的IP地址,然后安裝好相關(guān)的應(yīng)用系統(tǒng),并對相關(guān)的應(yīng)用數(shù)據(jù)設(shè)置共享,系統(tǒng)內(nèi)的主機就可以采用IP地址或是機器名的方式訪問內(nèi)部服務(wù)器的相關(guān)內(nèi)容。

最后是對功能權(quán)限的合理分配。企業(yè)或組織根據(jù)的自己系統(tǒng)的實際情況進行合理的配置以使系統(tǒng)達到最佳的工作狀態(tài)。比如有些企業(yè)在工作時間內(nèi)不允許使用QQ等軟件,就可根據(jù)用戶的不同級別設(shè)置不同的權(quán)限。具有最高權(quán)限的用戶不受任何限制,次級權(quán)限的用戶根據(jù)工件需要相應(yīng)開放MSN,QQ,E-mail,web,ftp等對口業(yè)務(wù)的權(quán)限,而最低級別的用戶只開放本職工作權(quán)限如郵件服務(wù)功能。同時為了最大限度發(fā)揮網(wǎng)絡(luò)的功能,還可以根據(jù)時間段對上網(wǎng)行為進行控制,比如在工作時間內(nèi)禁止BT下載,視頻活動等功能。

用網(wǎng)絡(luò)硬件防火墻作路由器上網(wǎng)并不是最安全的上網(wǎng)方式,但是是在小型企業(yè)和組織中使用最廣泛的一種上網(wǎng)工作方式,由于它的鏈接方式簡潔,功能適中,安全性有所保障,能夠滿足系統(tǒng)內(nèi)部實現(xiàn)網(wǎng)絡(luò)辦公自動化的要求,是一種很好的網(wǎng)絡(luò)工作模式的選擇。該種工件方式在應(yīng)用中還在不斷的完善和發(fā)展,以適應(yīng)更新更廣泛的需求。

參考文獻:

[1]周明天、汪文勇,《TCP/IP網(wǎng)絡(luò)原理與技術(shù)》,清華大學(xué)出版社,1999.12.

[2]楚狂,《網(wǎng)絡(luò)安全與防火墻技術(shù)》,人民郵電出版社,2000.4.

[3]瑞星全功能NP防火墻使用手冊.

[4]瑞星防火墻設(shè)計使用書.