防火墻策略定義在網(wǎng)絡安全中的應用

摘 要：本文主要研究了通過配置linux系統(tǒng)主機ipchains防火墻來保護校園網(wǎng)絡的方法。這種方法可以將多臺教學計算機組成的局域網(wǎng)隱藏于私有網(wǎng)絡之中，并通過防火墻提供的網(wǎng)絡地址轉(zhuǎn)換功能與互聯(lián)網(wǎng)連接，同時通過指定的鏈規(guī)則，防止各種危險報文的進入進出，最大化保護網(wǎng)絡安全。

關鍵詞：防火墻；包過濾；校園網(wǎng)絡；網(wǎng)絡安全

中圖分類號：TP393.08

針對主干網(wǎng)的DDoS攻擊、針對特定端口的大范圍網(wǎng)絡掃描與利用開放式遞歸DNS 查詢進行流量放大攻擊等事件依然是主干網(wǎng)需要時刻警惕的安全問題。由于高校集中高密度的學生人群和學校本身的特殊性質(zhì)，校園網(wǎng)絡安全的問題需要引起社會的關注。

1 網(wǎng)絡安全問題

360網(wǎng)站安全部門總監(jiān)趙武在2013中國互聯(lián)網(wǎng)大會表示360公司在2012年做統(tǒng)計的時候發(fā)現(xiàn)互聯(lián)網(wǎng)80%的網(wǎng)站存在高危漏洞。到2013年360公司在高考期間做了一個中國高校網(wǎng)站的檢測報告，其實也證明超過95%的高校網(wǎng)站曾經(jīng)被篡改過。國內(nèi)的網(wǎng)站安全器，政府和高校的得分情況是最低。針對這一問題，美國聯(lián)邦政府已考慮將其活動獨立于當前互聯(lián)網(wǎng)中，而完全重新構(gòu)建在虛擬專用網(wǎng)絡中。但對于國內(nèi)外的校園網(wǎng)絡來說，由于其需要使學生學會應用互聯(lián)網(wǎng)并從互聯(lián)網(wǎng)中取得新知識，其不能將自身完全脫離互聯(lián)網(wǎng)。但另一方面，當前校園網(wǎng)絡對安全問題的重視性相比許多大型商業(yè)公司十分不夠，這一方面是由于網(wǎng)絡安全本身的復雜性，許多學校沒有足夠的技術(shù)能力解決這一問題，另一方面是由于購買專業(yè)的防火墻產(chǎn)品所需要的經(jīng)費不足。因此更有必要探索更為合適的防火墻解決策略，而構(gòu)建防火墻特別是針對常見的網(wǎng)絡安全問題制定安全策略來切實保護網(wǎng)絡安全至關重要。

2 防火墻實現(xiàn)及策略定義

2.1 防火墻配置環(huán)境。校園網(wǎng)絡環(huán)境與商業(yè)網(wǎng)絡環(huán)境的一個顯著區(qū)別是其有許多處于原始狀態(tài)的未經(jīng)設置的計算機用于教學目的，學生使用的計算機往往存在許多安全漏洞，但學生在上網(wǎng)時一般采用最直接和簡單的方式連接到互聯(lián)網(wǎng)。學生往往沒有能力去快速配置其教學用計算機來獲得一個安全的使用環(huán)境，這種缺少保護的方式和計算機環(huán)境正是黑客最喜歡攻擊的目標。因此，減少遭受攻擊的最簡單的方式就是設置私有網(wǎng)絡，通過防火墻訪問互聯(lián)網(wǎng)。這種地址轉(zhuǎn)換方式隱藏了內(nèi)部網(wǎng)絡的結(jié)構(gòu)，同時在校園網(wǎng)絡公開地址不足時使用這種方式可以提供IP復用方式。同時，除了校園本身要設置中央防火墻外，內(nèi)網(wǎng)也應架設獨立的防火墻，這將作為其第一個進入的安全過濾點。這種防火墻配置方式相比于僅僅使用中央校園防火墻來說有更高的靈活性和更強保護能力。此外，因為這種內(nèi)網(wǎng)的防火墻級別較低，針對出現(xiàn)的緊急問題相比于中央防火墻而言可以進行及時快速的防御和修復。為了實現(xiàn)這一目標，我們將通過裝有Linux系統(tǒng)的主機上的ipchains這一包過濾軟件來進行校園網(wǎng)絡安全保護。這一軟件由于是內(nèi)置于linux系統(tǒng)中的，因此完全無需額外的購買費用，只需要單獨使用一臺電腦安裝linux系統(tǒng)和雙網(wǎng)卡。

2.2 防火墻的構(gòu)建。首先，校內(nèi)的某個計算機教室組成的局域網(wǎng)要連接到互聯(lián)網(wǎng)中，那么可以構(gòu)建一個雙宿主機型Linux包過濾防火墻。Linux主機配備用于與互聯(lián)網(wǎng)相連的網(wǎng)卡card0（具有公共網(wǎng)絡地址202.101.1.2）和card1用于與局域網(wǎng)（c類私有地址192.168.1.0）相連。Linux系統(tǒng)自帶有ipchains封包過濾軟件，可以通過鏈（規(guī)則列表）實現(xiàn)對報文的管理。鏈主要包括輸入鏈、輸出鏈、轉(zhuǎn)發(fā)鏈和用戶定義鏈。對于從互聯(lián)網(wǎng)進入局域校園網(wǎng)的報文來說，其首先進入輸入鏈經(jīng)過輸入鏈包含的規(guī)則檢查，被允許通過或拒絕通過，隨后還要經(jīng)過轉(zhuǎn)發(fā)鏈和輸出鏈的檢查。同時還可以設定用戶定義鏈來插入到這些鏈之間加強檢查的力度。

2.3 防火墻配置策略。由于我們采用的是linux系統(tǒng)內(nèi)置的ipchains包過濾軟件，對于這種類型的防火墻主要有兩種策略。第一種是首先拒絕所有報文通過，再規(guī)定可以通過的報文。第二種是先允許所有報文通過，再拒絕某些類型的報文通過。由于校園局域網(wǎng)主要是用于教學目的，其常用的軟件和所需的功能對于教師而言十分熟悉，因此我們選擇第一種策略。如此，鏈中包含的規(guī)則可以比較少，因此我們只要設定可以通過鏈的幾種報文。下面我們將對防火墻策略進行設置。

首先刷新輸入鏈、輸出鏈和轉(zhuǎn)發(fā)鏈即刷新所有的防火墻規(guī)則。隨后可以設置默認的防火墻規(guī)則，這里我們允許所有報文的輸入、輸出和轉(zhuǎn)發(fā)。接著設置本地環(huán)路規(guī)則，我們允許本地進程之間的報文可以任意通過。然后通過對輸入、輸出鏈指定規(guī)則防止IP欺騙報文，其設置如下：

/sbin/ipchains -A input -j DENY

- i card0 -s 192.168.1.1/24

/sbin/ip chains -A input -j DENY

-i card0 -d 192.168.1.1/24

/sbin/ip chains -A output -j DENY

- i card0 -s 192.168.1.1/24

/sbin/ip chains -A output -j DENY

-i card0 -d 192.168.1.1/24

/sbin/ipchinas -A input -j DENY

- i card0 -s 202.101.1.25/32

/sbin/ipchinas -A output -j DENY

- i card0 -d 202.101.1.25/32

隨后我們禁止廣播包：

/sbin/ipchains -A input -j DENY

- i card1 -s 255.255.255.255

/sbin/ipchains -A input -j DENY

- i card1 -d 0.0.0.0

/sbin/ipchains -A output -j DENY

- i card1 -s 240.0.0.0/3

最后轉(zhuǎn)發(fā)內(nèi)部所有的報文，并啟動網(wǎng)絡地址轉(zhuǎn)換功能，即開啟IP MASQ功能，這一規(guī)則定義是針對轉(zhuǎn)發(fā)鏈進行的：

/sbin/ipchains -A forward -j ACCEPT

- i card0 -s 192.168.1.1/24

/sbin/ipchains -A forward -j ACCEPT

-i card0 -d 192.168.1.1/24

/sbin/ipchains -A forward -j MASQ

- i card1 -s 192.168.1.1/24

這一功能可以隱藏局域網(wǎng)的IP地址，即對于來自192.168.1.1/24網(wǎng)絡中的所有報文流向card0的進行IP地址偽裝。并實現(xiàn)局域網(wǎng)公用一個公有地址連接互聯(lián)網(wǎng)的功能。通過上述步驟，便實現(xiàn)了基本的封包過濾防火墻設置。

3 結(jié)束語

（1）校園局域網(wǎng)絡通過基于linux系統(tǒng)的ipchains防火墻連接互聯(lián)網(wǎng)，通過使用IP MASQ網(wǎng)絡地址轉(zhuǎn)換服務功能不僅隱藏了內(nèi)網(wǎng)的地址，同時還節(jié)省了學校寶貴的IP地址資源。（2）構(gòu)建雙宿主機型linux防火墻僅需一臺獨立的電腦，而無需額外購買昂貴的硬件防火墻，即可擁有具有強大功能和靈活性的封包過濾防火墻。這對于沒有很高預算的學校來說十分合適。（3）合理的防火墻策略配置能夠建立起靈活而有效的網(wǎng)絡安全保護系統(tǒng)，無論從互聯(lián)網(wǎng)進入校園局域網(wǎng)的報文會被檢查，從校園網(wǎng)進入互聯(lián)網(wǎng)的報文也會被檢查。通過禁止IP欺騙、廣播包和IP MASQ功能，有效地保護了網(wǎng)絡的安全，實現(xiàn)了以防火墻為基礎對內(nèi)外網(wǎng)之間所有進出的流量進行檢查的功能。

參考文獻：

[1]馬振晗，賈軍保.密碼學與網(wǎng)絡安全[M].北京：清華大學出版社，2009.

[2]堯新遠.計算機信息管理技術(shù)在網(wǎng)絡安全中的應用[J].軟件，2012（07）.

[3]張統(tǒng)豪.計算機信息管理技術(shù)在網(wǎng)絡安全中的應用[J].計算機光盤軟件與應用，2012（23）.

[4]張文斗.淺談計算機網(wǎng)絡安全及防范技術(shù)[J].福建電腦.2011.04.

作者單位：重慶財經(jīng)職業(yè)學院實踐教學中心，重慶 402160