孟范立

摘要：在網(wǎng)絡中防火墻是主要的安全設備之一，它以其強大的功能保障網(wǎng)絡安全，由于防火墻所處的位置不同，其所發(fā)揮的作用不盡相同，因此根據(jù)不同的網(wǎng)絡安全需要，以及路由器、交換機的端口類型，如何選擇防火墻的端口連接方式變得尤為重要，本文詳細闡述了在網(wǎng)絡安全與連接中防火墻的部署與連接方式。

關鍵詞：網(wǎng)絡安全；防火墻；服務器；設計；連接

中圖分類號：TP393 文獻標識碼：A 文章編號：1009-3044（2015）12-0037-02

Based on The Deployment of The Network Firewall Security Design and Connection

MENG Fan-li

（Jilin Vocational College of Industry and Technology， Jilin 132013， China）

Abstract： In the network firewall is one of the major safety equipment， it with its powerful functions of security network security， because the location of the firewall is different， its role is not the same， so according to the different network security needs， as well as routers， switches， port type， how to select firewall port connection is particularly important， this paper expounds on the deployment of firewall in the network security and connected with the connection.

Key words： network security； firewall； server； design； connection

網(wǎng)絡安全規(guī)劃與設計主要是針對網(wǎng)絡安全設備而言，而網(wǎng)絡設備種類非常多，不同安全設備的應用位置也有所不同，如果部署不正確不僅起不到任何保護作用，而且可能造成網(wǎng)絡瓶頸，影響網(wǎng)絡傳輸效率。另外，如果根據(jù)安全需要選擇合適的安全產(chǎn)品也是非常重要的問題。防火墻通常部署與網(wǎng)絡的邊界。當然，邊界可以是局域網(wǎng)與廣域的、局域網(wǎng)與Internet 的、不同子網(wǎng)之間，以及子網(wǎng)與服務器之間的邊界等。

1 內(nèi)部網(wǎng)絡與Internet的連接之間

這是一種應用最廣，也是最重要的防火墻應用環(huán)境。在這種應用環(huán)境下，防火墻主要保護內(nèi)部網(wǎng)絡不遭受非法用戶的攻擊。目前絕大多數(shù)企業(yè)網(wǎng)絡，安裝防火墻的主要目的就在于此。在這種應用環(huán)境中，一般情況下，防火墻網(wǎng)絡可劃分為3個不同級別的安全區(qū)域，如表1和圖1所示。

在這三個區(qū)域中，用戶需要對不同的安全區(qū)域給予不同的安全策略。雖然內(nèi)部網(wǎng)絡和DMZ區(qū)域都屬于企業(yè)內(nèi)部網(wǎng)絡的一部分，單它們的安全級別（策略）是不同的。對于要保護的大部分區(qū)域，因需為互聯(lián)網(wǎng)應用提供相關的服務，所以在一定程度上，沒有內(nèi)部網(wǎng)絡限制那么嚴格，如Web服務器通常是允許任何人進行正常訪問的。那么，這些服務器是很容易被攻擊的。由于在這些服務器上所安裝的服務非常少，所允許的權(quán)限非常低，真正的服務器數(shù)據(jù)的是在受保護的內(nèi)部網(wǎng)絡主機上。所以，黑客攻擊這些服務器沒有任何意義，即不能獲取什么有用的信息，也不能通過攻擊它而獲得過高的網(wǎng)絡訪問權(quán)限。可以通過NAT（網(wǎng)絡地址裝換）技術將受保護的內(nèi)部網(wǎng)絡得全部主機地址映射成防火墻上設置的少數(shù)幾個有效公網(wǎng)IP地址，這樣有兩個好處，一是可以對外屏蔽內(nèi)部網(wǎng)絡和IP地址，保護內(nèi)部網(wǎng)絡的安全；二是因為公網(wǎng)IP地址共用所以可以大大節(jié)省公網(wǎng)IP地址的使用，節(jié)省了企業(yè)投資成本。

2 連接局域網(wǎng)和廣域網(wǎng)

局域網(wǎng)和廣域網(wǎng)之間的連接是應用防火墻最多的網(wǎng)絡，不過網(wǎng)絡用戶根據(jù)自己具體需要的不同，有兩種連接方式可供選擇。

如果用戶網(wǎng)絡原來已存在邊界路由器，則可充分利用原有設備，利用邊界路由器的包過濾功能，添加相應的防火墻配置，這樣原來的路由器也就具有防火墻功能了。然后在利用防火墻與需要保護的內(nèi)部網(wǎng)絡相連接。對于DMZ區(qū)域中的公用服務器，則可直接與邊界路由器相連，不用經(jīng)過防火墻，它可以只經(jīng)過路由器的簡單防護。在這種網(wǎng)絡環(huán)境中，邊界路由器與防火墻一起組成了兩道安全防線，如圖2所示，并且在這兩者之間可以設置一個DMZ區(qū)域，用來放置那些允許外部用戶訪問的公用服務器設施。

如果用戶網(wǎng)絡中不存在邊界路由器，則此時直接由防火墻來保護內(nèi)部網(wǎng)絡，如圖3所示。此時DMZ區(qū)域和需要保護的內(nèi)部網(wǎng)絡分別連接防火墻的不同LAN網(wǎng)絡接口，因此，需要對這兩部分網(wǎng)絡設置不同的安全策略。這種網(wǎng)絡中雖然只有一道安全防線，但對于大多數(shù)中小企業(yè)來說是完全可以滿足的。不過在選購防火墻時就需要注意，防火墻一定要有兩個及以上的LAN網(wǎng)絡接口。

3 內(nèi)部網(wǎng)絡不同部門之間的連接

這種應用環(huán)境就是在一個企業(yè)內(nèi)部網(wǎng)絡之間，對一些安全性要求較高的部門（如人事管理或財務管理等）進行隔離保護，通過防火墻保護內(nèi)部網(wǎng)絡中敏感部門的資源不被非法訪問，在這些部門網(wǎng)絡主機中的數(shù)據(jù)對于企業(yè)來說是非常重要的，因為它不能完全脫離企業(yè)網(wǎng)絡，但其中的數(shù)據(jù)又不能隨便提供給企業(yè)網(wǎng)絡中的用戶訪問。這時有幾種解決方案通常是采用VLAN配置，但這種方法需要配置三層及以上交換機，同時配置方法較為復雜。另一種有效的方法就是采用防火墻進行隔離，在防火墻上進行相關的配置（比起劃分VLAN來簡單許多）。

通過防火墻隔離后，盡管同屬于一個內(nèi)部局域網(wǎng)，但是其他用戶的訪問都需要經(jīng)過防火墻的過濾，符合條件的用戶才能訪問。這類防火墻通常不僅通過過濾來篩選數(shù)據(jù)包，而且還要對用戶身份的合法性（在防火墻中可以設置允許哪些用戶訪問）進行識別。通常為自適應代理服務器型防火墻，這種防火墻方案還可以有日志記錄功能，對網(wǎng)絡管理員了解網(wǎng)絡安全現(xiàn)狀及改進非常重要。在如圖4所示的網(wǎng)絡中，同是一個企業(yè)的內(nèi)部網(wǎng)絡，可以將需要受到保護的重要部門和一些服務器通過防火墻連接至其他網(wǎng)絡。

4 用戶與中心服務器之間的連接

對于一個服務器中心而言，大多數(shù)服務器都需要對第三方（合作伙伴或互聯(lián)網(wǎng)用戶等）開放，但是所有這些服務器分別屬于不同用戶所有，其安全策略也各有不同，如果把它們都定義在同一個安全區(qū)域中，顯然不能滿足各用戶的不同需求。這時，就可以按不同安全策略保護這些服務器，根據(jù)實施方式的不同又可以分為以下兩種網(wǎng)絡環(huán)境。

1）每臺服務器單獨配置獨立防火墻

此種方法是最容易實現(xiàn)也是最直觀的，但這種方案無論從經(jīng)濟上，還是從使用和管理的靈活可靠性上都不是最好的。它需要購買與托管代理服務器數(shù)據(jù)一樣多的防火墻，對托管中心來說投資非常大，而且托管中心管理員面對這么多防火墻，其管理難度比較高。

2）配置虛擬網(wǎng)絡防火墻

這主要是利用三層交換機的VLAN功能，先在三層交換機上將有不同安全要求的服務器劃分至不同的VLAN。然后，借助對高性能防火墻模塊的VLAN子網(wǎng)配置，將防火墻劃分為多個虛擬防火墻，如圖5所示。這種方案雖然配置較為復雜，但是，一旦配置完成，以后的使用和管理將相當方便，就像用交換機管理多個VLAN子網(wǎng)一樣來管理每個用戶服務器，而且該方案在現(xiàn)實中比較經(jīng)濟可行。

借助三層交換機或路由器內(nèi)置的防火墻模塊，也可以為不同的用戶VLAN配置不同的安全策略，從而將網(wǎng)絡攻擊限制在不同的VLAN中，從而保證整個企業(yè)網(wǎng)絡的安全。

參考文獻：

[1] 石炎生，等.計算機網(wǎng)絡工程實用教程[M]. 2版.北京：電子工業(yè)出版社，2011.

[2] 戴蓮芬.基于智能防火墻的網(wǎng)絡安全設計[J].信息安全與技術，2011（4）.

[3] 許諾全.基于防火墻技術的網(wǎng)絡系統(tǒng)安全設計[J].網(wǎng)絡安全技術與應用，2014（5）.

[4] 王博立.計算機網(wǎng)絡的安全設計與系統(tǒng)化管理[J].信息技術與信息化，2014（10）.

[5] 孫亞志.基于防火墻的網(wǎng)絡邊界安全的設計與實現(xiàn)[J].科技資訊，2010（7）.

[6] 賈志高. 基于防火墻和網(wǎng)絡入侵檢測技術的網(wǎng)絡安全研究與設計[J].甘肅科技，2009（18）.

[7] 趙平. 基于防火墻日志的網(wǎng)絡隔離安全審計系統(tǒng)設計與實現(xiàn)[J].計算機應用研究，2007（7）.

[8] 石淑華，池瑞楠.編計算機網(wǎng)絡安全技術[M]. 3版.北京：人民郵電出版社，2012.