摘 要：本單位局域網(wǎng)建成于2004年，隨著網(wǎng)絡(luò)安全管理的不斷加強(qiáng)，對于本單位的局域網(wǎng)也進(jìn)行了整改。首先實(shí)現(xiàn)了內(nèi)外網(wǎng)絡(luò)的物理隔離，其是進(jìn)一步完善內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)的網(wǎng)絡(luò)安全部署。局域網(wǎng)的防病毒策略、硬件防火墻的部署為主要側(cè)重點(diǎn)。硬件防火墻部署在外部網(wǎng)絡(luò)的接入口處。文章主要針對于部署防火墻的實(shí)例進(jìn)行分析。

關(guān)鍵詞：網(wǎng)絡(luò)安全；防火墻；局域網(wǎng)

1 防火墻的介紹

防火墻作為網(wǎng)絡(luò)安全管理的首選工具，已經(jīng)在網(wǎng)絡(luò)安全領(lǐng)域得到了廣泛的應(yīng)用。防火墻技術(shù)也成為該領(lǐng)域的的關(guān)注焦點(diǎn)。防火墻的主要作用就是對不信任的外部網(wǎng)絡(luò)的訪問進(jìn)行訪問控制，更好的保護(hù)內(nèi)部網(wǎng)絡(luò)的安全穩(wěn)定運(yùn)行。也可以視為對于內(nèi)部不同網(wǎng)絡(luò)之間的訪問控制工具。

防火墻的部署方案：

防火墻的工作模式有：透明模式、路由模式以及混合模式。

（1）路由模式是指網(wǎng)絡(luò)衛(wèi)士防火墻類似于一臺路由器轉(zhuǎn)發(fā)數(shù)據(jù)包，將接收到的數(shù)據(jù)包的源MAC地址替換為相應(yīng)接口的MAC地址，然后轉(zhuǎn)發(fā)。和路由器一樣，網(wǎng)絡(luò)衛(wèi)士防火墻的每個接口均要根據(jù)區(qū)域規(guī)劃配置IP地址。

（2）透明模式是指，網(wǎng)絡(luò)衛(wèi)士防火墻的所有接口均作為交換接口工作。即對于同一VLAN的數(shù)據(jù)包在轉(zhuǎn)發(fā)時(shí)不作任何改動，包括IP和MAC地址，直接把包轉(zhuǎn)發(fā)出去。同時(shí)，網(wǎng)絡(luò)衛(wèi)士防火墻可以在設(shè)置了IP的VLAN之間進(jìn)行路由轉(zhuǎn)發(fā)。

（3）混合模式是前兩種模式的混合。也就是說某些區(qū)域（接口）工作在透明模式下，而其他的區(qū)域（接口）工作在路由模式下。該模式適用于較復(fù)雜的網(wǎng)絡(luò)環(huán)境[2]。

2 網(wǎng)絡(luò)規(guī)劃

由于防火墻要部署在已運(yùn)行的局域網(wǎng)中，此時(shí)防火墻的部署往往要求盡可能地少改動或禁止改動各節(jié)點(diǎn)的網(wǎng)絡(luò)屬性，如網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)、網(wǎng)絡(luò)設(shè)備地址等，同時(shí)要求防火墻的接入對現(xiàn)網(wǎng)絡(luò)的通信影響為最低。為此防火墻的部署采用了透明模式。

根據(jù)外網(wǎng)用戶的需求及外網(wǎng)內(nèi)各類服務(wù)器的需求實(shí)現(xiàn)訪問控制管理。具體部署如圖1。

3 實(shí)現(xiàn)訪問控制功能

根據(jù)業(yè)務(wù)需求及安全策略的考慮主要對以下進(jìn)行配置。根據(jù)現(xiàn)局域網(wǎng)網(wǎng)絡(luò)部署及安全管理要求，接口模式采用交換接口模式。外網(wǎng)局域網(wǎng)中主要進(jìn)行資源管理的有外網(wǎng)路由器、外網(wǎng)web服務(wù)器及防火墻。為了便于管理外網(wǎng)IP地址從新更換了網(wǎng)段地址。

3.1 訪問控制

訪問控制規(guī)則主要針對于局域網(wǎng)中客戶端允許或禁止訪問控制規(guī)則的報(bào)文通過或僅記錄為符合規(guī)則的連接信息等。

本地主要配置的訪問控制規(guī)則有：

（1）限制訪問路由器的用戶。通過MAC地址、IP地址來限制訪問和管理路由器的用戶。同時(shí)禁止外部網(wǎng)絡(luò)用戶訪問路由器。

（2）不限制內(nèi)部用戶訪問web服務(wù)器，但禁止外部任何地址對web服務(wù)器的訪問。

（3）限制訪問防火墻的用戶。通過MAC地址、IP地址來限制訪問和管理防火墻的用戶。同時(shí)禁止外部網(wǎng)絡(luò)用戶訪問防火墻。

（4）針對于普通訪問外網(wǎng)用戶，不做限制。禁止外網(wǎng)的任何地址訪問到內(nèi)網(wǎng)客戶端。

3.2 入侵防御

入侵防御部分也主要針對路由器、web服務(wù)器、防火墻等進(jìn)行了配置。

3.3 內(nèi)容過濾

根據(jù)常用的網(wǎng)絡(luò)服務(wù)及協(xié)議，對于ftp服務(wù)、smtp服務(wù)、tftp服務(wù)、http服務(wù)、pop3、sqlnet、telnet等應(yīng)用協(xié)議及端口進(jìn)行綁定、配置。

3.4 阻斷策略

通過阻斷策略可實(shí)現(xiàn)簡單的二、三層的訪問控制。如果沒有匹配到任何策略，則會依據(jù)默認(rèn)規(guī)則對該報(bào)文進(jìn)行處理。

3.5 日志與報(bào)警

根據(jù)單位實(shí)際業(yè)務(wù)運(yùn)行情況，對于日志及報(bào)警信息進(jìn)行存儲。以備于查詢。

4 結(jié)束語

網(wǎng)絡(luò)安全衛(wèi)士防火墻接入運(yùn)行以來，對于內(nèi)部網(wǎng)絡(luò)的網(wǎng)絡(luò)安全起到了決定性作用。作為一種安全審計(jì)設(shè)備對訪問內(nèi)部業(yè)務(wù)系統(tǒng)及信息進(jìn)行了合法授權(quán)和有效控制。對于提升本單位信息網(wǎng)絡(luò)安全及保密管理等方面有著不可忽視的“墻”的作用。

參考文獻(xiàn)

[1]華蓓，蔣凡，史杏榮，等.計(jì)算機(jī)安全[M].人民郵電出版社，2003.

[2]網(wǎng)絡(luò)衛(wèi)士防火墻系統(tǒng).NGFW4000-UF系列產(chǎn)品說明[Z].

[3]王秀翠，王彬.防火墻技術(shù)在計(jì)算機(jī)網(wǎng)絡(luò)安全中的應(yīng)用[J].軟件導(dǎo)刊，2011（5）.