張 彬

（吉林人民廣播電臺，吉林長春 130051）

試析電臺防火墻規(guī)范化配置設(shè)計

張 彬

（吉林人民廣播電臺，吉林長春 130051）

本文通過對防火墻原理和作用的分析，提出規(guī)范化部署防火墻安全管理、訪問控制、安全防御策略、攻擊防護(hù)配置和日志告警等功能，構(gòu)建電臺安全穩(wěn)定的網(wǎng)絡(luò)安全體系。

防火墻安全管理；訪問控制；安全防御策略

隨著計算機(jī)網(wǎng)絡(luò)在電臺辦公自動化的作用越來越大，為了維護(hù)電臺綜合辦公網(wǎng)的網(wǎng)絡(luò)安全，防火墻成為其中最主要、最核心、最有效的手段之一。它通過控制和監(jiān)測網(wǎng)絡(luò)之間的信息交換和訪問行為來實施對網(wǎng)絡(luò)安全的有效管理，防火墻安全配置效率的高低會直接影響整體網(wǎng)絡(luò)體系的安全穩(wěn)定。為此在對電臺綜合辦公網(wǎng)網(wǎng)絡(luò)環(huán)境充分了解的基礎(chǔ)上，通過對防火墻原理和作用的分析，提出規(guī)范化部署設(shè)計網(wǎng)絡(luò)防火墻配置，有效提高電臺網(wǎng)絡(luò)安全體系。

1 防火墻的原理和應(yīng)用

防火墻是對通過互聯(lián)網(wǎng)連接進(jìn)入專用網(wǎng)絡(luò)或計算機(jī)系統(tǒng)的信息進(jìn)行過濾的程序或硬件設(shè)備。防火墻主要由服務(wù)訪問規(guī)則、驗證工具、包過濾和應(yīng)用網(wǎng)關(guān)4個部分組成。其具有以下特點：(1)內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的所有網(wǎng)絡(luò)數(shù)據(jù)流都必須經(jīng)過防火墻；(2)只有符合安全策略的數(shù)據(jù)流才能通過防火墻；(3)防火墻自身應(yīng)具有非常強的抗攻擊免疫力。

防火墻使用以下3種方法中的一種或多種來控制流入和流出網(wǎng)絡(luò)的通信：(1)數(shù)據(jù)包過濾。根據(jù)一組過濾器分析數(shù)據(jù)包（小的數(shù)據(jù)塊）。通過過濾器的數(shù)據(jù)包將發(fā)送到請求數(shù)據(jù)包的系統(tǒng)，沒有通過的數(shù)據(jù)包將被丟棄；(2)代理服務(wù)。防火墻檢索來自互聯(lián)網(wǎng)的信息，然后將信息發(fā)送到請求信息的系統(tǒng)，反之亦然；(3)狀態(tài)檢測。它并不檢查每個數(shù)據(jù)包的內(nèi)容，而是將數(shù)據(jù)包的特定關(guān)鍵部分與受信任信息數(shù)據(jù)庫進(jìn)行比較。從防火墻內(nèi)部傳遞到外部的信息將受到監(jiān)視，以獲得特定的定義特征，然后將傳入的信息與這些特征進(jìn)行比較。如果通過比較得出合理的匹配，則允許信息通過；否則將丟棄信息。

2 規(guī)范化部署設(shè)計網(wǎng)絡(luò)防火墻配置

2.1 防火墻安全管理

防火墻管理員賬號口令長度至少8位，并包括數(shù)字、小寫字母、大寫字母和特殊符號4類中至少2類；應(yīng)刪除或鎖定與設(shè)備運行、維護(hù)等無關(guān)的賬號；不同等級管理員分配不同賬號，避免賬號混用；對具備字符交互界面及圖形界面的設(shè)備，應(yīng)配置定時賬戶自動登出。

2.2 防火墻部署及訪問控制

劃分安全區(qū)域和非安全區(qū)域，設(shè)置授信地址，允許位于安全域的主機(jī)訪問防火墻，為防火墻端口配置IP地址，對防火墻進(jìn)行操作。

防火墻的工作方式：NAT模式、路由模式、透明模式，根據(jù)應(yīng)用的環(huán)境特征（網(wǎng)絡(luò)規(guī)劃及配置、地址翻譯、動態(tài)路由協(xié)議、VlANTRUNK數(shù)據(jù)包通過）等條件來選擇符合當(dāng)前需要的防火墻模式。

依據(jù)防火墻工作模式，根據(jù)實際需要，構(gòu)建基于狀態(tài)檢測技術(shù)的IP地址、端口、用戶和時間的管理控制；自定義訪問對象的控制；定義用戶控制策略可以實現(xiàn)用戶之間、用戶與IP網(wǎng)段或主機(jī)間的訪問行為，如協(xié)議類型、訪問時間等；URL和文件級細(xì)粒度應(yīng)用層管理控制，例如：應(yīng)用層安全控制策略主要針對常用的網(wǎng)絡(luò)應(yīng)用協(xié)議HTTP和ftp，控制策略可以實現(xiàn)定義訪問源對象到目標(biāo)對象間的常用協(xié)議命令通過防火墻的權(quán)限，源對象可以是網(wǎng)段、主機(jī)。HTTP和ftp的協(xié)議端口用戶可根據(jù)實際情況在策略中定義，協(xié)議命令為HTTP和ftp的主要常用命令。通過應(yīng)用層策略實現(xiàn)URL和文件級的訪問控制。

2.3 安全策略配置要求

2.3.1 基本安全策略

一切沒有允許的服務(wù)都是禁止，策略只允許通過必要的數(shù)據(jù)，控制雙向數(shù)據(jù)流，同時建議在防火墻最后增加一條拒絕所有數(shù)據(jù)經(jīng)過的策略。

2.3.2 規(guī)則盡量簡單清晰

規(guī)則力求簡單，在滿足業(yè)務(wù)需求的情況下，規(guī)則盡量簡單，避免出現(xiàn)策略相互重疊、包容甚至沖突的情況，同時可以通過增加注釋、使用策略組等方式增加清晰度。

2.3.3策略次序安排

按照業(yè)務(wù)的重要性，策略由前往后。對于訪問規(guī)則的排列，應(yīng)當(dāng)遵從范圍由小到大的排列規(guī)則，應(yīng)根據(jù)實際網(wǎng)絡(luò)流量，保證重要連接和數(shù)據(jù)吞吐量大的連接對應(yīng)的防火墻規(guī)則優(yōu)先得到匹配。

2.4 攻擊防護(hù)配置要求

打開DOS和DDOS攻擊防護(hù)功能，對攻擊告警；限制PING包的大小，以及一段時間內(nèi)同一主機(jī)發(fā)送的次數(shù)；啟用對帶選項的IP包及畸形IP包的檢測；打開病毒防護(hù)，對蠕蟲等病毒傳播時的攻擊流量進(jìn)行過濾。

2.5 日志配置要求

設(shè)備應(yīng)配置日志功能，對用戶登錄進(jìn)行記錄，記錄內(nèi)容包括用戶登錄使用的賬號、登陸是否成功、登錄時間，以及用戶使用的IP地址；防火墻管理員操作必須被記錄日志，如登錄信息、修改信息、賬號解鎖等；設(shè)備配置遠(yuǎn)程日志功能，將需要重點關(guān)注的日志內(nèi)容傳輸?shù)饺罩痉?wù)器。

2.6 告警配置要求

設(shè)備應(yīng)具備向管理員告警的功能，報告對防火墻本身的攻擊或者防火墻的系統(tǒng)嚴(yán)重錯誤；告警信息應(yīng)被保留，直到被確認(rèn)為止；報告網(wǎng)絡(luò)流量中對TCP/IP應(yīng)用層協(xié)議異常進(jìn)行攻擊的相關(guān)告警對每一個告警項是否告警可由實際情況進(jìn)行配置；打開掃描攻擊探測告警，掃描攻擊告警的參數(shù)根據(jù)網(wǎng)絡(luò)環(huán)境來定義。

3 結(jié)語

根據(jù)上述規(guī)定的綜合辦公網(wǎng)機(jī)房內(nèi)防火墻配置應(yīng)當(dāng)遵循安全性設(shè)置標(biāo)準(zhǔn)，機(jī)房網(wǎng)絡(luò)管理人員依據(jù)此規(guī)范對防火墻設(shè)備進(jìn)行配置后，電臺綜合辦公網(wǎng)的網(wǎng)絡(luò)安全體系有了極大提高，確保了電臺記者、編輯對網(wǎng)絡(luò)辦公自動化的安全需求，有效地提高了網(wǎng)絡(luò)辦公效率。

[參 考 文 獻(xiàn)]

[1]王達(dá).網(wǎng)管員必讀網(wǎng)絡(luò)安全[M].2版.北京:電子工業(yè)出版社,2007.

[2]黎連業(yè),張維.防火墻及其應(yīng)用技術(shù)[M].北京:清華大學(xué),2004.

[3]鄧亞平.計算機(jī)網(wǎng)絡(luò)安全[M].北京:人民郵電出版社,2004.

[4]袁家政.計算機(jī)網(wǎng)絡(luò)安全與應(yīng)用技術(shù)[M].北京:清華大學(xué)出版社,2002.

The Analysis of Firewall Normalizing Design on Radio Station Office Network

ZHANG Bin
(Jilin People RadioStation,Changchun Jilin 130051,China)

Through the analysis offirewall principle and characteristics,we normalize the deployment offirewall securitymanagement,access control,securityand defense strategy,attack protection configuration and logwarning function,and build a reliable network securitysystemon radiostation office network.

firewall securitymanagement；access control；securityand defense strategy

TN93

A

1008-178X(2013)01-0038-02

2012-12-29

張 彬（1965-），男，河北東光人，吉林人民廣播電臺工程師，從事電臺自動化控制研究。