胡偉強 胡麗芳

【摘要】 防火墻是一種虛擬的網(wǎng)絡隔離技術，當前防火墻技術已經(jīng)發(fā)展到第五代，更加完善，對于提高計算機網(wǎng)絡應用安全性具有重要作用。

【關鍵詞】 防火墻 計算機網(wǎng)絡

一、計算機網(wǎng)絡防火墻安全結構設計

基于LINUX防火墻方案愛設計提高系統(tǒng)安全性、可靠性，設計系統(tǒng)分為基本功能、輔助功能以及增強功能。根據(jù)某單位實際軟硬件環(huán)境，開發(fā)滿足要求的防火墻系統(tǒng)。防火墻實現(xiàn)需要滿足主機安全保護和良好人際界面基礎，方便操作和管理。

考慮到現(xiàn)有硬件的顯示，簡化試驗環(huán)境，基于主機設計，在Linux環(huán)境下采用C語言實現(xiàn)，界面設計和數(shù)據(jù)庫的聯(lián)接通過Kylix開發(fā)工具實現(xiàn)。防火墻包括用戶端、以太網(wǎng)和系統(tǒng)服務器三個端口，內(nèi)網(wǎng)同時能夠實現(xiàn)訪問功能，但是外網(wǎng)訪問會受到限制。

防火墻通過三端口實現(xiàn)，采用兩個獨立網(wǎng)卡，一個主要針對服務器安全，另外一個實現(xiàn)數(shù)據(jù)交換。防火墻代理系統(tǒng)的實現(xiàn)方式能夠保證用戶信息的安全傳遞。所采用的操作系統(tǒng)為嵌入式操作系統(tǒng)，方便修改和裁剪，而且安全性能較高，是比較理想的軟件設計平臺。

二、計算機網(wǎng)絡的安全保障實現(xiàn)路徑

防火墻設計模塊分為數(shù)據(jù)路、包過濾、身份認證等模塊。鏈路層建立在物理層傳輸能力基礎上，位于內(nèi)外網(wǎng)之間，包括IP、ARP和RARP協(xié)議，其中IP協(xié)議實現(xiàn)數(shù)據(jù)傳輸，ARP和RARP模塊實現(xiàn)地址信息的接受。在防火墻系統(tǒng)實現(xiàn)中，需要配置硬件，設置intranet內(nèi)部網(wǎng)址，同時配置相應的軟件地址。主要復制內(nèi)核文件，busybox-1.18.5 linux linux-3.0.1.tar.bz。復制到源代碼目錄并命名為.config，root@server56 src]# cd linux-3.0.1；/boot/config-2.6.18-164.el5. /.config。進入編譯配置界面，使用make命令編譯內(nèi)核，[root@ server56 linux-3.0.1] # make，makemake modules_install。將內(nèi)核信息寫入grub中，重新啟動系統(tǒng)。命令brcfg_era 調用： br_forward 模塊。

身份認證模塊并不具有靈活性，該設計系統(tǒng)比較適合小型單位，因此在設計中，需要設計用戶自制，錄入用戶資源信息，對內(nèi)部成員實現(xiàn)用戶認證，需要解決身份認證和記錄問題。

用戶認證模塊設計中， 用戶進圖模塊，判斷用戶信息，符合則進入數(shù)據(jù)庫，茍澤生成配置文件，進圖系統(tǒng)主控程序。

主機發(fā)起訪問，需要在數(shù)據(jù)包報頭中指明IP地址，數(shù)據(jù)包被處理時，源地址替換為防火墻出口段IP地址，同時防火墻可會出現(xiàn)臨時端口，回應數(shù)據(jù)到來時，外部制劑能夠看到端口號。該模塊充分利用內(nèi)核模塊設計優(yōu)勢，模塊初始化有con-lter實現(xiàn)。

在防火墻配置中，NAT和ACL是重點，ACL實現(xiàn)訪問控制，NAT則實現(xiàn)計算機訪問地址轉換。建立內(nèi)部網(wǎng)絡和外部網(wǎng)絡，將PC2、Core連接起到，利用軟件進行配置。

Linux網(wǎng)絡協(xié)議棧按照分層設計思想，分為系統(tǒng)判斷、協(xié)議無關、協(xié)議實現(xiàn)、驅動以及無關設備驅動層。模塊驅動中，先判斷insmod，登記成功則成功插入，否則返回。檢測網(wǎng)絡設備名字，確定進入init-function函數(shù)，確定網(wǎng)卡設備是否存在，存在則進行初始化工作，存在則初始化成功。以上模塊驅動中，需要監(jiān)測和初始化網(wǎng)絡設備，啟動時，系統(tǒng)能夠檢測可能存在的設備。

主要過程為啟動時，在dec-base列表上檢測網(wǎng)絡設備結構，采用net-dev-init函數(shù)對節(jié)點進行init函數(shù)指針，說明設備存在，設備不存在則刪除，保存信息完成初始化，系統(tǒng)完成內(nèi)核啟動后，產(chǎn)生init進程，刁穎sys-setup初始化設備，啟動檢測程度，實現(xiàn)設備檢測。

網(wǎng)卡初始化函數(shù)任務為判斷該設備是夠存在，完成網(wǎng)卡驅動后，傳輸網(wǎng)絡數(shù)據(jù)，注冊ei-interrupt（）后處理服務程序結構數(shù)據(jù)。

三、安全測試

以某單位實際工作環(huán)境為背景，從外層防火墻進行分析，在測試中判斷性能質量。預期結構正向ping成功，訪問被禁止，規(guī)則不允許，實測結果征象成功，反向不同，訪問被禁止，與預測結果相一致。IP過濾規(guī)則對數(shù)據(jù)包測試，預測正向成功，反向禁止，訪問被禁止，實測結果與預期結果一致。將IP包過濾應用于FTP服務，實測結果禁止telnet訪問，允許PTP訪問，與預期結果一致。對防火墻進行攻擊測試，測試結果顯示防火墻能夠抵御絕大多數(shù)網(wǎng)絡攻擊，與預期結果相一致。

四、總結

總之，本文主要分析基于LINUX防火墻網(wǎng)絡安全設計，經(jīng)過測試，防火墻能夠實現(xiàn)與測試工作的雙重性能，包過濾技術能夠綜合性分析數(shù)據(jù)包和應用層規(guī)則，在未來整合中能夠整合更多范疇，采用分布式設計結構，安全防護強度大大提高，管理員能夠第一事件處理相關事務。