摘要：因特網(wǎng)的迅猛發(fā)展給人們的生活帶來了極大的方便，但同時因特網(wǎng)也面臨著空前的威脅。因此，如何使用有效可行的方法使網(wǎng)絡(luò)危險降到人們可接受的范圍之內(nèi)越來越受到人們的關(guān)注。而如何實施防范策略，首先取決于當(dāng)前系統(tǒng)的安全性。防火墻技術(shù)作為時下比較成熟的一種網(wǎng)絡(luò)安全技術(shù)，其安全性直接關(guān)系到用戶的切身利益。本文通過對網(wǎng)絡(luò)安全現(xiàn)狀和防火墻技術(shù)的現(xiàn)狀，為某公司設(shè)計了一種雙防火墻安全結(jié)構(gòu)，詳細(xì)介紹了防火墻的參數(shù)設(shè)計。

關(guān)鍵詞：網(wǎng)絡(luò)安全；防火墻技術(shù)；雙防火墻

中圖分類號：TP393.08 文獻(xiàn)標(biāo)識碼：A 文章編號：1007-9599 （2012） 21-0000-02

隨著計算機(jī)網(wǎng)絡(luò)的餓普及和發(fā)展，以及政府和企業(yè)信息化艱澀步伐的加快，現(xiàn)有企業(yè)的網(wǎng)絡(luò)體系結(jié)構(gòu)越來越復(fù)雜，復(fù)雜的網(wǎng)絡(luò)結(jié)構(gòu)暴露了眾多的安全隱患，對網(wǎng)絡(luò)安全的需求以前所未有的速度迅猛增長。如何使網(wǎng)絡(luò)安全滿足業(yè)務(wù)的高速推進(jìn)，逐漸成為人們關(guān)注的重點話題。

1 防火墻技術(shù)概述

防火墻在實質(zhì)上是一種包含了不同訪問控制策略組合的系統(tǒng)。它的主要工程是保護(hù)內(nèi)部網(wǎng)絡(luò)不受外部網(wǎng)絡(luò)的各種安全性攻擊，防止內(nèi)部網(wǎng)絡(luò)的信息資源的非法竊取和泄漏，同時也能夠?qū)?nèi)部網(wǎng)絡(luò)結(jié)構(gòu)形成有效的保護(hù)。

它基本功能是過濾并可能阻擋本地網(wǎng)絡(luò)或者網(wǎng)絡(luò)的某個部分與Internet之間的數(shù)據(jù)傳送（數(shù)據(jù)包）。防火墻的主要功能包括：

（1）防火墻本身支持一定的安全策略。（2）提供一定的訪問或接入控制機(jī)制。（3）容易擴(kuò)充、更改新的服務(wù)和安全策略。（4）具有代理服務(wù)功能，包含先進(jìn)的鑒別技術(shù)。（5）采用過濾技術(shù)，根據(jù)需求來允許或拒絕某些服務(wù)。（6）防火墻的編程語言應(yīng)較靈活，具有友好的編程界面。并用具有較多的過濾屬性，包括源和目的IP地址、協(xié)議類型、源和目的的TCP/UDP端口以及進(jìn)入和輸出的接口地址。

2 雙防火墻網(wǎng)絡(luò)安全結(jié)構(gòu)設(shè)計

某企業(yè)原來的內(nèi)部信息網(wǎng)跟第三方或者互聯(lián)網(wǎng)之間沒有設(shè)置防火墻，為了內(nèi)部信息網(wǎng)的信息安全，按照企業(yè)高層的要求，需要設(shè)置雙防火墻的方案。但結(jié)合該企業(yè)的實際情況，如何規(guī)劃合理的網(wǎng)絡(luò)結(jié)構(gòu)和網(wǎng)絡(luò)配置，可以使雙防火墻結(jié)構(gòu)既發(fā)揮應(yīng)有的功能和作用，又不會影響局部和整體網(wǎng)絡(luò)的性能，是擺在面前的問題。本文結(jié)合其的現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)，設(shè)計了該企業(yè)的防火墻網(wǎng)絡(luò)安全方案。

2.1 企業(yè)網(wǎng)絡(luò)結(jié)構(gòu)分析。企業(yè)原有的網(wǎng)絡(luò)結(jié)構(gòu)如下：

圖3-1 企業(yè)現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)

在圖中可以看出企業(yè)有兩個內(nèi)部信息網(wǎng)絡(luò)，其中一個為辦公網(wǎng)，一個為內(nèi)部生產(chǎn)網(wǎng)，網(wǎng)絡(luò)設(shè)備包括一個核心三層交換機(jī)和若干二層介入交換機(jī)。

針對以上的網(wǎng)絡(luò)結(jié)構(gòu)可以看出內(nèi)部企業(yè)網(wǎng)跟外網(wǎng)之間沒有任何安全設(shè)備作為隔離，這是很危險的網(wǎng)絡(luò)結(jié)構(gòu)。企業(yè)提出了以下的需求：

（1）辦公網(wǎng)通過防火墻訪問互聯(lián)網(wǎng)，辦公網(wǎng)中的一部分主機(jī)經(jīng)過防火墻訪問內(nèi)部生產(chǎn)網(wǎng)中的特定IP主機(jī)的特定端口；默認(rèn)情況下，辦公網(wǎng)絡(luò)不允許訪問內(nèi)部生產(chǎn)網(wǎng)。（2）內(nèi)部生產(chǎn)網(wǎng)不允許訪問互聯(lián)網(wǎng)。（3）企業(yè)有OA服務(wù)器和其它應(yīng)用的服務(wù)器，統(tǒng)稱OA服務(wù)器群。外部互聯(lián)網(wǎng)用戶、辦公網(wǎng)和內(nèi)部生產(chǎn)網(wǎng)需要通過防火墻訪問OA服務(wù)器群。（4）OA服務(wù)器群的一部分服務(wù)器需要訪問互聯(lián)網(wǎng)的一些特定服務(wù)器。（5）有些業(yè)務(wù)需要通過互聯(lián)網(wǎng)利用VPN技術(shù)訪問內(nèi)部生產(chǎn)網(wǎng)的一些特定服務(wù)器的指定端口。（6）企業(yè)有兩個防火墻，一個是聯(lián)想防火墻，另外一個是天融信防火墻。為了保證內(nèi)部生產(chǎn)網(wǎng)的絕對安全，要求生產(chǎn)網(wǎng)和互聯(lián)網(wǎng)之間要經(jīng)過兩個防火墻的物理隔離，最外面的為天融信防火墻，里面的為聯(lián)想防火墻。（7）在非軍事區(qū)（DMZ區(qū)）設(shè)立兩個防火墻的日志服務(wù)器。

2.2 防火墻方案設(shè)計

（1）聯(lián)想防火墻的設(shè)置。

各個接口IP：Fe2：192.172.1.248/27

Fe3：0.198.0.67/25；10.198.0.17/25；10.198.0.66/25（多IP）

Fe6：192.173.1.1/24

Fe7：192.173.2.1/24

靜態(tài)路由：目的IP為192.172.0.0/24，網(wǎng)關(guān)為192.172.1.254

目的IP為10.0.0.0/8，網(wǎng)關(guān)為10.198.0.62

缺省路由：192.173.1.2

訪問規(guī)則：規(guī)則1：整個辦公網(wǎng)訪問互聯(lián)網(wǎng)。

規(guī)則2：一部分的辦公網(wǎng)絡(luò)主機(jī)訪問一些生產(chǎn)網(wǎng)的特定端口。

規(guī)則3：辦公網(wǎng)和內(nèi)部生產(chǎn)網(wǎng)可以訪問DMZ區(qū)的病毒升級服務(wù)器、防火墻日志服務(wù)器、OA服務(wù)器、培訓(xùn)服務(wù)器。

規(guī)則4：從外網(wǎng)絡(luò)通過VPN訪問內(nèi)部生產(chǎn)網(wǎng)時候，允許VPN虛擬IP訪問內(nèi)部生產(chǎn)網(wǎng)的一些服務(wù)器的特定端口。

NAT轉(zhuǎn)換：從外網(wǎng)絡(luò)通過VPN訪問內(nèi)部生產(chǎn)網(wǎng)時候，把VPN虛擬IP轉(zhuǎn)換為10.198.0.67。

端口映射：把fe2的ip地址的一些端口映射到OA服務(wù)器群的相應(yīng)的服務(wù)器的特定端口，從而令到內(nèi)部生產(chǎn)網(wǎng)訪問OA服務(wù)器群時候，通過訪問fe2口的相應(yīng)IP的特定端口來訪問內(nèi)部OA服務(wù)器群。

（2）天融信防火墻的設(shè)置

NAT轉(zhuǎn)換：凡是需要連接外網(wǎng)的訪問，都把源IP轉(zhuǎn)換為天融信外網(wǎng)接口IP59.37.162.96

端口映射：把從外網(wǎng)訪問內(nèi)部OA服務(wù)器群相應(yīng)的服務(wù)端口轉(zhuǎn)換成內(nèi)部端口。

目的地址轉(zhuǎn)換：辦公網(wǎng)絡(luò)訪問59.37.162.96，目的地址轉(zhuǎn)換為192.173.2.5

3 結(jié)語

網(wǎng)絡(luò)設(shè)計的初始階段進(jìn)行充分的網(wǎng)絡(luò)安全需求分析、防火墻的選型、不同防火墻的特性和安裝的位置、防火墻的訪問規(guī)則的正確配置、服務(wù)器的網(wǎng)絡(luò)配置是項目實施成功的關(guān)鍵。

建成的安全網(wǎng)絡(luò)也有不足之處，從網(wǎng)絡(luò)結(jié)構(gòu)圖可以看出，負(fù)責(zé)整個網(wǎng)絡(luò)安全的只有兩個防火墻而沒其它的網(wǎng)絡(luò)安全產(chǎn)品。而隨著互聯(lián)網(wǎng)流量的越來越濫用、日益嚴(yán)峻的網(wǎng)絡(luò)攻擊和入侵，如果再在聯(lián)想防火墻和三層交換機(jī)之間接入流量管理控制設(shè)備、在天融信防火墻和外網(wǎng)之間接入IPS防御系統(tǒng)，那么整個網(wǎng)絡(luò)系統(tǒng)的安全性和流量可控性更加完美。