汪 楠，張 浩

（安慶職業(yè)技術(shù)學(xué)院 電子信息系，安徽 安慶 246003）

一種防火墻技術(shù)的網(wǎng)絡(luò)安全體系構(gòu)建研究

汪 楠，張 浩

（安慶職業(yè)技術(shù)學(xué)院 電子信息系，安徽 安慶 246003）

探析一種防火墻技術(shù)的網(wǎng)絡(luò)安全體系構(gòu)建方案.通過對計(jì)算機(jī)網(wǎng)絡(luò)安全和防火墻技術(shù)分析，探析計(jì)算機(jī)防火墻網(wǎng)絡(luò)安全設(shè)計(jì)及其體系建設(shè).成功設(shè)計(jì)出一套完善的計(jì)算機(jī)網(wǎng)絡(luò)雙防火墻設(shè)計(jì)方案.在計(jì)算機(jī)網(wǎng)絡(luò)安全防護(hù)中通過采用雙防火墻級聯(lián)方式，并在他們之間構(gòu)建DMZ網(wǎng)絡(luò)，從而強(qiáng)化保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)安全性.

防火墻技術(shù)；網(wǎng)絡(luò)安全；體系構(gòu)建

0 引言

計(jì)算機(jī)技術(shù)的迅速發(fā)展，讓人們的生活發(fā)生了翻天覆地的變化，我們在對計(jì)算機(jī)技術(shù)服務(wù)應(yīng)用的同時(shí)，也不得不加強(qiáng)對計(jì)算機(jī)網(wǎng)絡(luò)安全管理問題的重視.其中“防火墻”技術(shù)在計(jì)算機(jī)網(wǎng)絡(luò)安全保護(hù)中有重要作用.借助于在互聯(lián)網(wǎng)和內(nèi)部網(wǎng)之間構(gòu)建安全網(wǎng)關(guān)，能夠有效地屏蔽和攔截非法用戶的入侵，從而對其網(wǎng)絡(luò)之間的數(shù)據(jù)信息傳輸實(shí)施一定監(jiān)管，同時(shí)還能夠?qū)⑵渫ㄐ帕亢蛿?shù)據(jù)來源等生成日志記錄，對計(jì)算機(jī)網(wǎng)絡(luò)提供有效的保護(hù)和管理[1].

1 防火墻在計(jì)算機(jī)網(wǎng)絡(luò)安全中的應(yīng)用

防火墻指的是一個由軟件和硬件設(shè)備組合而成、在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間構(gòu)造的安全保護(hù)屏障，從而保護(hù)內(nèi)部網(wǎng)絡(luò)免受外部非法用戶的侵入，有效地控制內(nèi)外網(wǎng)之間的網(wǎng)絡(luò)數(shù)據(jù)流量.在網(wǎng)絡(luò)安全防御系統(tǒng)中，防火墻是一個十分重要的組成部分，也是網(wǎng)絡(luò)層防御的重要防線之一.防火墻在計(jì)算機(jī)網(wǎng)絡(luò)中的位置如圖1所示.

圖1 防火墻在計(jì)算機(jī)網(wǎng)絡(luò)中的位置

將防火墻部署在各種連接路徑上，依據(jù)安全規(guī)則檢查每一個通過的數(shù)據(jù)包.對于各種安全隱患因素，可以通過控制協(xié)議和服務(wù)的方式，保證授權(quán)協(xié)議和服務(wù)通過，并嚴(yán)格阻止各種非授權(quán)協(xié)議和服務(wù)的通過，從而有效減少因協(xié)議或者服務(wù)漏洞導(dǎo)致的安全事件的出現(xiàn).如果存在黑客攻擊情況，防火墻可以通過對進(jìn)出內(nèi)外網(wǎng)數(shù)據(jù)包進(jìn)行嚴(yán)格控制和監(jiān)控的方式，分析不同數(shù)據(jù)包的狀態(tài)，并予以處理，從而及時(shí)發(fā)現(xiàn)異?，F(xiàn)象，并按照具體情況予以相應(yīng)的反應(yīng)，進(jìn)行有效防范，提高系統(tǒng)抗攻擊等級.另外，對與各種受到保護(hù)網(wǎng)絡(luò)的信息，防火墻還可以進(jìn)行有效的屏蔽，從而避免這些重要信息受到黑客的攻擊.在正常狀態(tài)下，對于網(wǎng)絡(luò)使用情況，防火墻可以進(jìn)行科學(xué)的統(tǒng)計(jì).于是，網(wǎng)絡(luò)管理人員便可以通過對防火墻所統(tǒng)計(jì)結(jié)果的分析，更好地對整個信息網(wǎng)絡(luò)的運(yùn)行狀態(tài)予以整體把握.對于受到保護(hù)的內(nèi)部網(wǎng)絡(luò)，如果出現(xiàn)系統(tǒng)漏洞，防火墻會及時(shí)識別，并限制其訪問.如果經(jīng)過事先的配置，防火墻成為內(nèi)部網(wǎng)絡(luò)與外部Internet連接必須通過的安全節(jié)點(diǎn)的時(shí)候，那么，防火墻還可以發(fā)揮出日志記錄的作用，及時(shí)對各種網(wǎng)絡(luò)請求進(jìn)行真實(shí)的記錄.而這些日志記錄，則成為寶貴的原始資料，可以用來對各種可能出現(xiàn)的攻擊行為進(jìn)行分析，為系統(tǒng)防御提供重要的參考依據(jù).近年來，中國積極開發(fā)各種防火墻系統(tǒng)，以更好地提高計(jì)算機(jī)網(wǎng)絡(luò)安全防御水平.

2 計(jì)算機(jī)網(wǎng)絡(luò)安全中的防火墻技術(shù)分類

2.1 數(shù)據(jù)包過濾型

數(shù)據(jù)包過濾型防火墻技術(shù)則是在對數(shù)據(jù)包讀取過程中，通過其相關(guān)信息判定這些數(shù)據(jù)的可信度以及安全性，以此作為結(jié)果判斷依據(jù)實(shí)施數(shù)據(jù)處理.一旦數(shù)據(jù)包沒有得到防火墻的信息，那么也就無法進(jìn)入到計(jì)算機(jī)操作系統(tǒng)之中.相對來講這種防火墻技術(shù)具有較高實(shí)用性，通常在網(wǎng)路環(huán)境中均能夠有效地對計(jì)算機(jī)網(wǎng)絡(luò)安全提供保護(hù)，同時(shí)也能夠在實(shí)際應(yīng)用中對其推廣應(yīng)用.但是因?yàn)檫@一技術(shù)是依照基本信息對其安全性實(shí)施判定，因此也就不能有效地過濾一些應(yīng)用程序和郵件病毒[2].另外一些數(shù)據(jù)如果對IP地址偽造，也能夠成功騙過防火墻數(shù)據(jù)包過濾，之后進(jìn)入網(wǎng)絡(luò)系統(tǒng)實(shí)施攻擊和破壞，那么也就會對計(jì)算機(jī)網(wǎng)路安全產(chǎn)生嚴(yán)重影響.其中過濾系統(tǒng)工作流程如圖 2所示.

2.2 代理型

這一類型防火墻技術(shù)也就是代理服務(wù)器，其能夠回應(yīng)輸入封包，阻斷內(nèi)部網(wǎng)和外部網(wǎng)之間的信息交流.代理型防火墻技術(shù)是在客戶和服務(wù)器之間，因此對于客戶機(jī)來講，技術(shù)本身也就被認(rèn)為是一臺服務(wù)機(jī)器，不但能夠?qū)ν獠烤W(wǎng)絡(luò)篡改內(nèi)部網(wǎng)絡(luò)阻力加強(qiáng)，同時(shí)就算是誤用計(jì)算機(jī)內(nèi)部系統(tǒng)，也不會出現(xiàn)從防火墻之外入侵計(jì)算機(jī)，而致計(jì)算機(jī)出現(xiàn)安全漏洞，能夠顯著提升計(jì)算機(jī)網(wǎng)絡(luò)安全性.目前這一技術(shù)已經(jīng)在逐漸向應(yīng)用層面發(fā)展，專門針對入侵計(jì)算機(jī)應(yīng)用層病毒實(shí)施相應(yīng)的防護(hù)[3].但是這一技術(shù)也有缺點(diǎn)，會提高計(jì)算機(jī)網(wǎng)絡(luò)安全防護(hù)成本，并且對計(jì)算機(jī)管理人員專業(yè)水平和綜合素質(zhì)的要求也較高，也就會進(jìn)一步增加網(wǎng)絡(luò)管理壓力.

2.3 監(jiān)測型

這一防火墻技術(shù)能夠?qū)W(wǎng)絡(luò)通信數(shù)據(jù)監(jiān)測任務(wù)主動完成，從而提高計(jì)算機(jī)網(wǎng)絡(luò)安全性.一開始關(guān)于計(jì)算機(jī)防火墻的設(shè)計(jì)理念是過濾計(jì)算機(jī)網(wǎng)絡(luò)安全造成影響的信息和數(shù)據(jù)，那么這也就需要首先將監(jiān)測型防火墻技術(shù)成功應(yīng)用，其在相關(guān)信息監(jiān)測工作中有著十分重要的優(yōu)勢條件，可以顯著提升計(jì)算機(jī)安全性保障能力.但是同時(shí)這一技術(shù)的管理和成本投入也比較高，因此到目前為止這一技術(shù)也沒有得到普及應(yīng)用.在實(shí)際網(wǎng)絡(luò)環(huán)境下，可以依照實(shí)際情況選擇合適的監(jiān)測技術(shù)，從而降低在計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ)上的投入成本.

3 一種計(jì)算機(jī)網(wǎng)絡(luò)的防火墻安全設(shè)計(jì)

3.1 開發(fā)環(huán)境

計(jì)算機(jī)操作系統(tǒng)：Windows XP Professional

運(yùn)行環(huán)境：JAVA語言運(yùn)行環(huán)境 JDK 1.7

程序編輯：UltraEdit-32

3.2 設(shè)計(jì)思路

采用代理的防火墻對之前用戶和互聯(lián)網(wǎng)之間的連接替代.代理服務(wù)器作為服務(wù)器的中轉(zhuǎn)站，關(guān)于其設(shè)計(jì)一定要對以下要求滿足：確?？梢约皶r(shí)接收客戶端發(fā)送的請求，并解釋；能夠成功創(chuàng)建和服務(wù)器的連接；能夠在接收和相應(yīng)服務(wù)器發(fā)來的信號之后，再將其成功發(fā)送，傳輸?shù)娇蛻舳?依照這些要求那么服務(wù)器的工作模型設(shè)計(jì)則如圖3所示.

3.3 防火墻安全控制程序的配置

圖2 過濾系統(tǒng)工作流程

圖3 服務(wù)器工作模型

在防火墻安全設(shè)計(jì)中，其主要是合理配置防火墻安全控制程序，在其內(nèi)部網(wǎng)絡(luò)中有效連接PC2，Edge以及Core，之后對超級終端軟件應(yīng)用，合理配置相關(guān)設(shè)備.其具體步驟為：（1）在PC2計(jì)算機(jī)中配置網(wǎng)絡(luò)地址，相關(guān)設(shè)計(jì)為：IP地址設(shè)置為10.10.10.15，子網(wǎng)掩碼為255.255.255.0；（2）合理配置交換機(jī)2626B，并將其分成多個局域網(wǎng)，這一步驟只需要對Vlan 1分配，其中相關(guān)設(shè)計(jì)為：IP地址設(shè)置為10.1.1.3/24，終端上的命令則分別是2626B(Vlan-1)#Vlan 110 tagged?25、2626B(Vlan-1)#ip address 10.1.1.3/24以及2626B(config)#Vlan 1.

3.4 雙防火墻的設(shè)計(jì)

關(guān)于雙防火墻方案的設(shè)計(jì)如圖4所示.為了能夠顯著降低公共服務(wù)器安全風(fēng)險(xiǎn)，那么在計(jì)算機(jī)網(wǎng)絡(luò)防火墻設(shè)計(jì)中可以設(shè)計(jì)兩個防火墻，其中第1個防火墻可以在internet連接處進(jìn)行設(shè)計(jì)，以對服務(wù)器提供保護(hù)，確保計(jì)算機(jī)網(wǎng)絡(luò)的安全運(yùn)行[4].第2個防火墻可以設(shè)計(jì)在公共服務(wù)器和內(nèi)部網(wǎng)絡(luò)之間，其主要目的是對內(nèi)部網(wǎng)絡(luò)實(shí)施保護(hù).在計(jì)算機(jī)網(wǎng)絡(luò)安全防護(hù)中對這種保護(hù)技術(shù)進(jìn)行應(yīng)用，同時(shí)在其之間設(shè)計(jì)DMZ網(wǎng)絡(luò)可以顯著提高計(jì)算機(jī)網(wǎng)絡(luò)的安全性.

圖4 計(jì)算機(jī)雙防火墻設(shè)計(jì)方案

4 計(jì)算機(jī)網(wǎng)絡(luò)安全的防火墻體系結(jié)構(gòu)

4.1 屏蔽路由器

屏蔽路由器是一個防侵?jǐn)_安全結(jié)構(gòu)，其能夠有效避免內(nèi)部網(wǎng)絡(luò)受到外部網(wǎng)絡(luò)以及參數(shù)網(wǎng)絡(luò)侵?jǐn)_，因?yàn)槠涫菍?shí)現(xiàn)內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)的唯一通道，所以也就能夠有效對相關(guān)數(shù)據(jù)實(shí)施過濾.但是因?yàn)槭窃贗P層對報(bào)文過濾軟件安裝，這一軟件本身也就有報(bào)文過濾設(shè)置選項(xiàng)，所以也就能夠過濾一些簡單的報(bào)文，但是如果其被成功攻陷，就會出現(xiàn)用戶識別問題.

4.2 雙穴主機(jī)網(wǎng)關(guān)

雙穴主機(jī)網(wǎng)關(guān)是采用一臺堡壘主機(jī)作為防火墻，并且要在這臺主機(jī)上安裝兩塊網(wǎng)卡，這樣就能夠?qū)崿F(xiàn)防火墻的作用.堡壘主機(jī)系統(tǒng)軟件能夠維護(hù)系統(tǒng)日志，同時(shí)也能夠?qū)嵤┯布截惾罩疽约斑h(yuǎn)程日志功能，這一功能為計(jì)算機(jī)網(wǎng)絡(luò)檢查和管理工作提供了便利.其缺點(diǎn)是在計(jì)算機(jī)受到攻擊的時(shí)候，其攻擊對象則很難被網(wǎng)管員確認(rèn)，一旦堡壘主機(jī)受到攻擊，那么之前的雙穴主機(jī)網(wǎng)關(guān)也就退化成為最簡單的路由器.雙穴主機(jī)網(wǎng)關(guān)結(jié)構(gòu)如圖5所示.

圖5 雙穴主機(jī)網(wǎng)關(guān)結(jié)構(gòu)設(shè)計(jì)

4.3 被屏蔽主機(jī)網(wǎng)關(guān)

在堡壘主機(jī)中只設(shè)置了1個網(wǎng)卡，以此對內(nèi)部網(wǎng)絡(luò)和被屏蔽主機(jī)網(wǎng)關(guān)連接，在路由器上將過濾規(guī)則設(shè)立出來，同時(shí)單宿堡壘主機(jī)也要被設(shè)置成為唯一1個能夠訪問Internet的主機(jī)，以此控制未授權(quán)外部用戶攻擊內(nèi)部網(wǎng)絡(luò).如果其保護(hù)的是一個虛擬擴(kuò)展的本地網(wǎng)，并沒有對子網(wǎng)以及路由器設(shè)置，那么堡壘主機(jī)以及屏蔽路由器的配置也就不會受到內(nèi)部網(wǎng)絡(luò)變化的影響.有效限制堡壘主機(jī)以及屏蔽路由器中的危險(xiǎn)帶.網(wǎng)關(guān)的基本控制作用的實(shí)現(xiàn)決定因素是安裝在之上的軟件.如果網(wǎng)絡(luò)安全的攻擊者一旦設(shè)法登陸上去，那么也就會對內(nèi)部網(wǎng)絡(luò)的其余主機(jī)安全造成嚴(yán)重威脅.這一情況和雙穴主機(jī)網(wǎng)關(guān)受到攻擊的影響作用差不多.這一技術(shù)具有較高安全性，并且操作也非常容易，具有較高實(shí)用價(jià)值，所以在實(shí)際應(yīng)用中得到了廣泛推廣.

5 結(jié)語

綜上所述，目前計(jì)算機(jī)網(wǎng)絡(luò)安全的防火墻技術(shù)包括有數(shù)據(jù)包過濾型、代理型以及監(jiān)測型，這些防火墻技術(shù)均能有效的提高計(jì)算機(jī)網(wǎng)絡(luò)安全.其中防火墻能夠借助于對網(wǎng)絡(luò)上的活動記錄，從而進(jìn)一步提升其對安全防護(hù)的作用，同時(shí)也能夠有效地隔離各個網(wǎng)段，從而控制其對整個網(wǎng)絡(luò)安全的影響作用.在對防火墻技術(shù)實(shí)施管理中，也不必對一些實(shí)驗(yàn)數(shù)據(jù)過分的相信，重點(diǎn)應(yīng)該放在對各類防火墻技術(shù)實(shí)用性的考慮上，這些均需要通過實(shí)際應(yīng)用得出結(jié)論。總之，在網(wǎng)絡(luò)技術(shù)不斷發(fā)展背景之下，積極探索和完善計(jì)算機(jī)網(wǎng)絡(luò)防火墻技術(shù)設(shè)計(jì)，是提高計(jì)算機(jī)安全性的一個重要研究方向，筆者基于相關(guān)研究為計(jì)算機(jī)防火墻技術(shù)設(shè)計(jì)提供相應(yīng)的技術(shù)指導(dǎo)，以有助于計(jì)算機(jī)網(wǎng)絡(luò)環(huán)境安全性的提高.

[1]李文杰.淺析防火墻安全技術(shù)及發(fā)展[J].科技信息（科學(xué)·教研），2008，（10）：67-68.

[2]劉斌.淺談防火墻技術(shù)[J].科海故事博覽·科教論壇，2013，（3）：107-109.

[3]杜淑光，陳永浩.網(wǎng)絡(luò)安全與防火墻技術(shù)[J].制造業(yè)自動化，2007，29（12）：74-76.

[4]李筱茜.防火墻系統(tǒng)安全技術(shù)探索[J].現(xiàn)代計(jì)算機(jī)（專業(yè)版），2010，（8）：118-120.

（責(zé)任編輯 李健飛）

Construction of Network Security System of A Kind of Firewall Technology

WANG Nan，ZHANG Hao
（Department of Electronic Information，Anqing Vocational College of Technology，Anqing，Anhui 246003，China）

Through an analysis of computer network security and firewall technology，a design of computer network security firewall and its system are worked out.In the computer network security protection，a double firewall cascade way is applied，and DMZ network is constructed among them so as to strengthen the protection of computer network security.

technology of firewall；network security；system construction

TP309.1

A

1673-1972（2015）03-0044-05

2014-08-26

汪楠（1980-），女，安徽安慶人，講師，主要從事數(shù)據(jù)挖掘、數(shù)據(jù)庫、網(wǎng)絡(luò)安全研究.