熊　歡

四川工業(yè)科技學院建筑工程學院，四川　德陽　618500

?

基于防火墻的應用規(guī)則與設計探討

熊歡*

四川工業(yè)科技學院建筑工程學院，四川德陽618500

網絡的安全性已經成為當今社會熱衷的話題之一。隨著網絡的快速發(fā)展，給社會生活帶來了前所未有的便利，但隨之而來的網絡中安全問題也日趨嚴重。而防火墻是網絡安全的“第一道門”，如何把守好這道門安全，成為人們紛紛探討的問題。筆者根據防火墻的特點、類別、防火墻的設計和防火墻的應用規(guī)則等方面對其進行詳細的探討，以使人們對防火墻應用規(guī)則和設計有進一步的認識和熟悉，以達到正確使用和設計防火墻。

防火墻；防火墻設計；防火墻應用規(guī)則

由于因特網在全世界的迅速發(fā)展及其廣泛應用，因特網中隨之出現的信息泄露、數據篡改和拒絕服務等網絡安全事件頻繁的發(fā)生，使網絡安全問題變得越來越受到公眾的重視。為解決這些問題，出現了很多網絡安全技術和方法，防火墻就是其中最成功的一種。

一、防火墻概述

(一)防火墻的概念

防火墻是一個軟件與硬件結合的系統(tǒng)，其位于內部網絡(可信任區(qū))和外部網絡(非信任區(qū))之間，能有效的控制內部網絡與外部網絡之間大的訪問及其數據的傳輸，其主要目的是保護內部網絡用戶免受非法用戶的訪問或者入侵；

(二)防火墻的特點

1.不管是來自外部網絡還是內部網絡的數據都必須用通過防火墻的過濾。

2.對于要通過防火墻的數據都需符合防火墻設置的安全訪問策略。

3.防火墻一般位于內部網絡的邊緣，會收到來自外部網絡的攻擊，因此，防火墻本身應該具備抗攻擊的能力。

(三)防火墻按照技術分類

1.包過濾型防火墻：由于包過濾是路由器都具備的能力，我們可以將防火墻看成具有包過濾的路由器，用其端口去區(qū)分包和限制包，以完成對傳輸的數據包進行一一排查，判斷其是否與其設置的包過濾規(guī)則相匹配，如果判定相匹配就允許數據包通過，否則就拒絕訪問，以達到拒絕可疑或者非法用戶的訪問。

2.應用網關防火墻：工作在應用層，主要是針對應用層的數據包進行篩查，能對不同協議進行分析，如果與訪問規(guī)則匹配就允許包通過并且轉發(fā)，否則就拒絕。針對應用層的入侵安全性高，防攻擊效果好。

二、防火墻體應用規(guī)則

(一)設置Internet用戶對內部網絡的訪問

防火墻部署在內部局域網與Internet之間，其主要目的是為了保護內部網絡不被外部網絡用戶的非法入侵和攻擊。

1.對于內部網絡是防火墻重點保護的區(qū)域，是防火墻的可信任區(qū)域，針對內部網絡用戶而言，發(fā)出的所有通信在默認情況下是不需要過濾和審計的，為了網絡安全性，我們對內網網路要設置相關的訪問規(guī)則以及安裝殺毒軟件，我們的防火墻不能防來自內部網絡的攻擊，但防火墻需禁止來自外網的一切攻擊；

2.對于外部網絡，這個區(qū)域被稱為防火墻的非可信任網絡區(qū)域，外部用戶的通信或者連接必須按照防火墻的安全規(guī)則進行過濾和審計，對于不符合訪問規(guī)則的用戶，禁止連接通信，以保護我們的內部網絡；

3.防火墻有DMZ區(qū)域，它是從內網中劃分出的一部分區(qū)域，該區(qū)域在網絡受保護的級別較低，設置訪問規(guī)則時，允許網絡用戶訪問DMZ安全區(qū)域對外開放的某些特定服務和應用；

(二)設置局域網內部不同部門網絡之間的訪問

防火墻應用于內部網絡之間，是對一些比較敏感的部門或者主機的隔離，比如：財務部門，其數據對于企業(yè)或者個人來說很重要，這些數據是不能隨便被非授權的用戶訪問。

1.采用vlan劃分，將位于不同物理網段上的用戶在邏輯上劃分在一個局域網。

a、基于端口的vlan劃分、基于MAC地址的vlan劃分、基于子網的vlan劃分、基于協議的vlan劃分

2.防火墻設置隔離

a、基于靜態(tài)配置的訪問控制規(guī)則ACL.

b、監(jiān)聽與記錄協議，能根據應用協議的特定需求動態(tài)創(chuàng)建訪問控制列表的ASPF.

三、防火墻系統(tǒng)的設計

防火墻的作用是保護內網主機免于被來自外網的非法的入侵和破壞，其功能能否完美的實現，因此在設計防火墻系統(tǒng)時，需注意以下事項。

(一)需考慮采用單一的防火墻體系結構：雙重宿主主機體系結構、被屏蔽主機體系結構、被屏蔽子網體系結構。針對存在不同的問題和內部網絡系統(tǒng)向用戶提供何種服務以及承擔什么等級的風險，采取合并內部和外部路由器、合并堡壘主機和外部路由器、合并堡壘主機和內部路由器、使用兩個以上的多堡壘主機、使用多臺內部路由器、使用多臺外部路由器、使用多個周邊網絡等多種合并技術。一般情況下很少采用單一的技術和結構。

(二)采用何種技術或者組合，與防火墻的投資資金、技術人員的技術水平高低和時間的長短有關；

(三)考慮位于局域網以外的托管主機、遠程辦公主機的保護、來自內網的攻擊。

(四)設計防火墻時，對于網絡的信任用戶、非信任用戶、部分信任用戶區(qū)分，以便控制用戶對網絡資源的訪問。

(五)針對防火墻的功能、不同的廠家，不同的價格，選擇一款適合自己需要的性價比最有的防火墻。

(六)選擇防火墻還要考慮到防火墻的安全性、可伸縮性、標準的支持。

(七)對防火墻設置訪問規(guī)則，設置安全過濾規(guī)則時，一定要注意此規(guī)則是對于外部網絡還是內部網絡，不要將過濾規(guī)則設置沖突或者重疊，以避免網絡出現訪問漏洞，影響用戶的正常訪問。

四、總結

作者圍繞“防火墻的概述”而展開,從防火墻的類別到防火墻設計原則,從防火墻應用規(guī)則到防火墻系統(tǒng)設計事項進行了詳細的討論。使讀者不但能清晰防火墻的概述,更能清楚的知道防火墻應用規(guī)則和設計的注意事項，防火墻的良好的設計應用，對于網絡的安全性提供了保障。

[1]謝希仁編著.計算機網絡教程.北京:人民郵電出版社,2006.

[2]黃傳河編著. 網絡規(guī)劃設計師教程.北京:清華大學出版社,2009.

[3]雷震甲編著.網絡工程師教程.北京:清華大學出版社,2011.

[4]華為3Com技術有限公司編著.華為3Com網絡學院教材(1，2學期)下冊,2006.

熊歡(1985-)，女，四川德陽人，四川工業(yè)科技學院建筑工程學院，助教，從事網絡的組建與維護和服務器技術研究。

TP393.08

A

1006-0049-(2016)15-0195-01