張　平　陳　玉

[摘要]在現(xiàn)代網(wǎng)絡辦公形式中,各種形式的INTERNET網(wǎng)絡鏈接形式各有利弊,在不同形式的環(huán)境中發(fā)揮的巨大的作用,其中由網(wǎng)絡硬件防火墻作路由器上網(wǎng)的鏈接方式,是小型企業(yè)和組織使用的最廣泛的一種上網(wǎng)工作方式。對該系統(tǒng)進行相應的配置,使我們的網(wǎng)絡工作得到有效的安全保障。

[關鍵詞]網(wǎng)絡硬件防火墻NTERNET安全配置

中圖分類號:TJ8文獻標識碼:A文章編號:1671-7597(2009)0710020-02

隨著計算機網(wǎng)絡的不斷發(fā)展,全球信息化進程的加速,計算機網(wǎng)絡體系的使用更加廣泛。但由于各種計算機網(wǎng)絡鏈接形式各種各樣,各終端和客戶機分布不均勻性,加之網(wǎng)絡所具有的開放性、互連性等特點,致使網(wǎng)絡易受黑客、病毒、惡意軟件和其他非法行為的攻擊,所以網(wǎng)絡硬件結構的安全和網(wǎng)絡軟件配置的安全就越來越成為計算機網(wǎng)絡安全管理人員面臨的一個重大課題。

現(xiàn)在各種企業(yè)和組織使用的鏈接INTERNET網(wǎng)的方式多種多樣,各有千秋。以我們十多年參與小型網(wǎng)絡建設與管理的經(jīng)驗,分析由網(wǎng)絡硬件防火墻作路由器鏈接INTERNET網(wǎng),作為一個小型企業(yè)或組織網(wǎng)絡出口的網(wǎng)關,是當前鏈接INTERNET網(wǎng)絡的主流方式,也是網(wǎng)絡配置比較簡捷和好用的方式,同時網(wǎng)絡的安全性和穩(wěn)定性得以保障。

這里所論述的小型網(wǎng)絡是指企業(yè)或組織有一個以上的網(wǎng)絡固定IP出口,企業(yè)和組織內(nèi)部用的是C類IP地址鏈接INTERNET網(wǎng)絡,具體企業(yè)或組織內(nèi)部有沒有對外或內(nèi)部公開使用的各種類型服務器不做必要的要求。

一、網(wǎng)絡硬件防火墻網(wǎng)絡體系結構的配置

(一)網(wǎng)絡硬件防火墻接口的配置

網(wǎng)絡硬件防火墻自身具有路由功能可直接聯(lián)通INTERNET,防火墻本身有外網(wǎng)、內(nèi)網(wǎng)和DMZ三組接口分別對應鏈接相應的網(wǎng)絡環(huán)境。

網(wǎng)絡硬件防火墻作為一種網(wǎng)絡邊界防護型的網(wǎng)絡安全設備,必須配置在企業(yè)或組織受保護網(wǎng)絡的邊界處,只有這樣,防火墻才能控制所有流入和流出網(wǎng)絡的通信數(shù)據(jù),達到將非法入侵者拒之門外的目的,起到保護企業(yè)或組織內(nèi)部各種公用服務器和內(nèi)部服務器的安全,同時保障企業(yè)或組織內(nèi)部能上INTERNET網(wǎng)交換數(shù)據(jù)的客戶機的上網(wǎng)沖浪的安全。

外網(wǎng)接口自然是接光纖入口或者是其它網(wǎng)絡供應商提供的上網(wǎng)接口,通過給防火墻設置網(wǎng)絡出口的固定IP地址可以使網(wǎng)絡內(nèi)部的客戶機或終端暢游INTERNET世界。同時也可以讓外界的各相關用戶通過本網(wǎng)絡的固定IP地址或是域名訪問本企業(yè)或組織所擁有的對外開放的INTERNET服務網(wǎng)絡里的相關內(nèi)容。

內(nèi)網(wǎng)接口鏈接企業(yè)或組織內(nèi)部相關的多級網(wǎng)關、路由器、交換機和集線器,各個客戶機或終端通過所在的局域網(wǎng)絡和網(wǎng)關、路由器、交換機和集線器鏈接實現(xiàn)上網(wǎng)功能。企業(yè)或組織內(nèi)部的各種服務器也要安置在內(nèi)網(wǎng)區(qū)域內(nèi),內(nèi)部各業(yè)務服務器作為功能獨立的主機必須與單位內(nèi)部用戶的個人所使用的客戶機或終端機分開設置在不用IP地址范圍內(nèi)的二級交換機上,同時配置獨立的、固定的IP地址段,組成系統(tǒng)內(nèi)部的INTRANET。而內(nèi)部和客戶機和終端根據(jù)辦公所需要的網(wǎng)絡環(huán)境不同配置相關的IP地址或是不配置IP地址。

DMZ,英語直譯是非軍事化緩沖區(qū),而在計算機行業(yè)中稱之為中立區(qū)網(wǎng)絡,它是當我們的企業(yè)或組織的網(wǎng)絡中的各種WEB服務器、FTP服務器、郵件服務器和數(shù)據(jù)庫服務器需要開放給公網(wǎng)用戶時而特設置的獨立區(qū)域。由于這些開放的業(yè)務服務器要面對大量公網(wǎng)上的任意未知用戶的訪問,因此,在接入時必須使用網(wǎng)絡防火墻上的獨立DMZ接口進行隔離,同時需要設置嚴格的防火墻訪問控制策略,以防止入侵者的破壞。如果這些對外開放的服務器是與其他內(nèi)部主機混在一起,沒有放在獨立的DMZ區(qū)進行隔離,其后果可能是,一旦服務器被黑客利用其漏洞攻擊成功,則整個網(wǎng)絡就暴露在黑客面前,黑客將很輕松的以服務器為跳板攻擊整個網(wǎng)絡。由于企業(yè)或組織內(nèi)部擁有不只一臺相關的服務器,各DMZ接口一般接在各種對外公開的服務的集合部,也就是各個服務器所接的交換機上,使各個服務器都能被網(wǎng)絡外部的計算機所訪問。

(二)網(wǎng)絡硬件防火墻拓樸結構的配置

網(wǎng)絡硬件防火墻的拓樸結構是指的防火墻的各個端口和各級交換機,路由器,集線器的鏈接方式。一般小型企業(yè)和組織使用的防火墻上網(wǎng)的模式大多是由網(wǎng)絡防火墻做INTERNET代理上網(wǎng)服務器,使用C類IP采用INTERNET共享上網(wǎng)方式。

常見的模型是防火墻占用一個固定IP(公網(wǎng)IP,從ISP處獲得)地址,防火墻對內(nèi)的地址是192.168.0.1,系統(tǒng)內(nèi)的其它計算機通過不同區(qū)所接的交換機或是集線器通過防火墻上網(wǎng)。防火墻、交換機(集線器)、路由器和光貓構成了一個星型的網(wǎng)絡拓樸結構,但這只是這些網(wǎng)絡鏈接設備,沒加各個計算機。

防火墻的三個功能區(qū)接口,每個接口鏈接一個交換機或是路由器上,通過交換機和路由器再鏈接相關的計算機或是下一級的交換機,對于每個交換機所鏈接的設備又構成了一個星型的網(wǎng)絡拓樸結構。若干個小的星型網(wǎng)絡拓樸結構通過幾層的擴展鏈接,最終把所有的計算機和網(wǎng)絡設備鏈接成一個星星網(wǎng),構成了一個樹型網(wǎng)絡,有的專家也稱之為混合型網(wǎng)絡。這樣的網(wǎng)絡結構層次清楚,容易隔離有問題的某個網(wǎng)絡小單元段,也便于增加新的網(wǎng)絡單元段,更便于網(wǎng)絡的維護。

(三)網(wǎng)絡硬件防火墻IP地址的配置

網(wǎng)絡防火墻硬件系統(tǒng)和企業(yè)或組織內(nèi)的各種設備安裝到位后,接下來就是給予每個要上網(wǎng)的主機分配上網(wǎng)地址,也就是通常我們所說的IP地址,每個上網(wǎng)主機有了IP地址后才能通過防火墻代理上網(wǎng),實現(xiàn)相應的網(wǎng)絡功能。

首先是將從ISP處獲得的公網(wǎng)IP地址分配給防火墻,通過防火墻的管理軟件將該IP地址轉換成INTERNET網(wǎng)絡共享IP地址192.168.0.1。然后把其于253個IP地址分配給各個上網(wǎng)的主機或終端。建議IP地址分段落的分配給各個用戶層,這樣便管理和故障處理。例如:我們將192.168.0.2至192.168.0.20用于校內(nèi)內(nèi)部各個服務器上,將192.168.0.21至192.168.0.

100分配給各個辦公室的上網(wǎng)辦公用機,將192.168.0.101至192.168.0.

200分配給機房和多功能教室的教學上網(wǎng)用機,從192.168.0.201以后留作備用和設備的拓展使用。

二、網(wǎng)絡硬件防火墻網(wǎng)絡軟件功能的配置

網(wǎng)絡硬件防火墻的硬件布置好后,只能說網(wǎng)絡硬件防火墻可以工作了,但還不能起作用,只有進入網(wǎng)絡硬件防火墻的管理系統(tǒng)內(nèi)進行相關的軟件功能設置后,網(wǎng)絡硬件防火墻才能真正的起作用。

首先是對網(wǎng)絡出口的配置。使用網(wǎng)絡硬件防火墻上網(wǎng)的目的就是能安全穩(wěn)妥的上網(wǎng)進行相應的工作,所以配置網(wǎng)絡出口是必須的也是首要任務。進入防火墻管理系統(tǒng)后,在基本設置里面選擇相應的網(wǎng)絡模式,小型企業(yè)和組織一般多用的是靜態(tài)設置選項,也就是從ISP處獲取固定的網(wǎng)絡出口的公網(wǎng)IP地址,不管你的組織內(nèi)有沒有公網(wǎng)服務器,都要有一個這樣的IP地址,這是保障網(wǎng)絡安全和穩(wěn)定的必要手段。將從ISP處獲取的IP地址寫入“設置WAN接口IP地址處,配置如下:

WAN接口IP

之后設置LAN接口IP地址,配置如下:

其次是對企業(yè)或組織內(nèi)對外的公開服務器的配置。要在防火墻的高級設置里加上WAN的IP地址和內(nèi)網(wǎng)IP地址轉換參數(shù),例如:

并在虛擬服務器項目上進行策略的設置,例如:

這樣系統(tǒng)內(nèi)的服務器就可以成為公網(wǎng)上的一個公用服務器,不僅本系統(tǒng)內(nèi)的計算機能訪問,外界的計算機也能訪問。

第三步是內(nèi)部INTRANET服務器的設置。許多企業(yè)和組織都有內(nèi)部辦公數(shù)據(jù)服務器,僅對系統(tǒng)內(nèi)部的主機開放,故這些服務只需把本機的IP地址設為內(nèi)網(wǎng)的IP地址,然后安裝好相關的應用系統(tǒng),并對相關的應用數(shù)據(jù)設置共享,系統(tǒng)內(nèi)的主機就可以采用IP地址或是機器名的方式訪問內(nèi)部服務器的相關內(nèi)容。

最后是對功能權限的合理分配。企業(yè)或組織根據(jù)的自己系統(tǒng)的實際情況進行合理的配置以使系統(tǒng)達到最佳的工作狀態(tài)。比如有些企業(yè)在工作時間內(nèi)不允許使用QQ等軟件,就可根據(jù)用戶的不同級別設置不同的權限。具有最高權限的用戶不受任何限制,次級權限的用戶根據(jù)工件需要相應開放MSN,QQ,E-mail,web,ftp等對口業(yè)務的權限,而最低級別的用戶只開放本職工作權限如郵件服務功能。同時為了最大限度發(fā)揮網(wǎng)絡的功能,還可以根據(jù)時間段對上網(wǎng)行為進行控制,比如在工作時間內(nèi)禁止BT下載,視頻活動等功能。

用網(wǎng)絡硬件防火墻作路由器上網(wǎng)并不是最安全的上網(wǎng)方式,但是是在小型企業(yè)和組織中使用最廣泛的一種上網(wǎng)工作方式,由于它的鏈接方式簡潔,功能適中,安全性有所保障,能夠滿足系統(tǒng)內(nèi)部實現(xiàn)網(wǎng)絡辦公自動化的要求,是一種很好的網(wǎng)絡工作模式的選擇。該種工件方式在應用中還在不斷的完善和發(fā)展,以適應更新更廣泛的需求。

參考文獻:

[1]周明天、汪文勇,《TCP/IP網(wǎng)絡原理與技術》,清華大學出版社,1999.12.

[2]楚狂,《網(wǎng)絡安全與防火墻技術》,人民郵電出版社,2000.4.

[3]瑞星全功能NP防火墻使用手冊.

[4]瑞星防火墻設計使用書.