一種防火墻技術的網(wǎng)絡安全體系構建研究

汪 楠，張 浩

（安慶職業(yè)技術學院 電子信息系，安徽 安慶 246003）

一種防火墻技術的網(wǎng)絡安全體系構建研究

汪 楠，張 浩

（安慶職業(yè)技術學院 電子信息系，安徽 安慶 246003）

探析一種防火墻技術的網(wǎng)絡安全體系構建方案.通過對計算機網(wǎng)絡安全和防火墻技術分析，探析計算機防火墻網(wǎng)絡安全設計及其體系建設.成功設計出一套完善的計算機網(wǎng)絡雙防火墻設計方案.在計算機網(wǎng)絡安全防護中通過采用雙防火墻級聯(lián)方式，并在他們之間構建DMZ網(wǎng)絡，從而強化保護計算機網(wǎng)絡安全性.

防火墻技術；網(wǎng)絡安全；體系構建

0 引言

計算機技術的迅速發(fā)展，讓人們的生活發(fā)生了翻天覆地的變化，我們在對計算機技術服務應用的同時，也不得不加強對計算機網(wǎng)絡安全管理問題的重視.其中“防火墻”技術在計算機網(wǎng)絡安全保護中有重要作用.借助于在互聯(lián)網(wǎng)和內部網(wǎng)之間構建安全網(wǎng)關，能夠有效地屏蔽和攔截非法用戶的入侵，從而對其網(wǎng)絡之間的數(shù)據(jù)信息傳輸實施一定監(jiān)管，同時還能夠將其通信量和數(shù)據(jù)來源等生成日志記錄，對計算機網(wǎng)絡提供有效的保護和管理[1].

1 防火墻在計算機網(wǎng)絡安全中的應用

防火墻指的是一個由軟件和硬件設備組合而成、在內部網(wǎng)絡和外部網(wǎng)絡之間構造的安全保護屏障，從而保護內部網(wǎng)絡免受外部非法用戶的侵入，有效地控制內外網(wǎng)之間的網(wǎng)絡數(shù)據(jù)流量.在網(wǎng)絡安全防御系統(tǒng)中，防火墻是一個十分重要的組成部分，也是網(wǎng)絡層防御的重要防線之一.防火墻在計算機網(wǎng)絡中的位置如圖1所示.

圖1 防火墻在計算機網(wǎng)絡中的位置

將防火墻部署在各種連接路徑上，依據(jù)安全規(guī)則檢查每一個通過的數(shù)據(jù)包.對于各種安全隱患因素，可以通過控制協(xié)議和服務的方式，保證授權協(xié)議和服務通過，并嚴格阻止各種非授權協(xié)議和服務的通過，從而有效減少因協(xié)議或者服務漏洞導致的安全事件的出現(xiàn).如果存在黑客攻擊情況，防火墻可以通過對進出內外網(wǎng)數(shù)據(jù)包進行嚴格控制和監(jiān)控的方式，分析不同數(shù)據(jù)包的狀態(tài)，并予以處理，從而及時發(fā)現(xiàn)異?，F(xiàn)象，并按照具體情況予以相應的反應，進行有效防范，提高系統(tǒng)抗攻擊等級.另外，對與各種受到保護網(wǎng)絡的信息，防火墻還可以進行有效的屏蔽，從而避免這些重要信息受到黑客的攻擊.在正常狀態(tài)下，對于網(wǎng)絡使用情況，防火墻可以進行科學的統(tǒng)計.于是，網(wǎng)絡管理人員便可以通過對防火墻所統(tǒng)計結果的分析，更好地對整個信息網(wǎng)絡的運行狀態(tài)予以整體把握.對于受到保護的內部網(wǎng)絡，如果出現(xiàn)系統(tǒng)漏洞，防火墻會及時識別，并限制其訪問.如果經(jīng)過事先的配置，防火墻成為內部網(wǎng)絡與外部Internet連接必須通過的安全節(jié)點的時候，那么，防火墻還可以發(fā)揮出日志記錄的作用，及時對各種網(wǎng)絡請求進行真實的記錄.而這些日志記錄，則成為寶貴的原始資料，可以用來對各種可能出現(xiàn)的攻擊行為進行分析，為系統(tǒng)防御提供重要的參考依據(jù).近年來，中國積極開發(fā)各種防火墻系統(tǒng)，以更好地提高計算機網(wǎng)絡安全防御水平.

2 計算機網(wǎng)絡安全中的防火墻技術分類

2.1 數(shù)據(jù)包過濾型

數(shù)據(jù)包過濾型防火墻技術則是在對數(shù)據(jù)包讀取過程中，通過其相關信息判定這些數(shù)據(jù)的可信度以及安全性，以此作為結果判斷依據(jù)實施數(shù)據(jù)處理.一旦數(shù)據(jù)包沒有得到防火墻的信息，那么也就無法進入到計算機操作系統(tǒng)之中.相對來講這種防火墻技術具有較高實用性，通常在網(wǎng)路環(huán)境中均能夠有效地對計算機網(wǎng)絡安全提供保護，同時也能夠在實際應用中對其推廣應用.但是因為這一技術是依照基本信息對其安全性實施判定，因此也就不能有效地過濾一些應用程序和郵件病毒[2].另外一些數(shù)據(jù)如果對IP地址偽造，也能夠成功騙過防火墻數(shù)據(jù)包過濾，之后進入網(wǎng)絡系統(tǒng)實施攻擊和破壞，那么也就會對計算機網(wǎng)路安全產(chǎn)生嚴重影響.其中過濾系統(tǒng)工作流程如圖 2所示.

2.2 代理型

這一類型防火墻技術也就是代理服務器，其能夠回應輸入封包，阻斷內部網(wǎng)和外部網(wǎng)之間的信息交流.代理型防火墻技術是在客戶和服務器之間，因此對于客戶機來講，技術本身也就被認為是一臺服務機器，不但能夠對外部網(wǎng)絡篡改內部網(wǎng)絡阻力加強，同時就算是誤用計算機內部系統(tǒng)，也不會出現(xiàn)從防火墻之外入侵計算機，而致計算機出現(xiàn)安全漏洞，能夠顯著提升計算機網(wǎng)絡安全性.目前這一技術已經(jīng)在逐漸向應用層面發(fā)展，專門針對入侵計算機應用層病毒實施相應的防護[3].但是這一技術也有缺點，會提高計算機網(wǎng)絡安全防護成本，并且對計算機管理人員專業(yè)水平和綜合素質的要求也較高，也就會進一步增加網(wǎng)絡管理壓力.

2.3 監(jiān)測型

這一防火墻技術能夠對網(wǎng)絡通信數(shù)據(jù)監(jiān)測任務主動完成，從而提高計算機網(wǎng)絡安全性.一開始關于計算機防火墻的設計理念是過濾計算機網(wǎng)絡安全造成影響的信息和數(shù)據(jù)，那么這也就需要首先將監(jiān)測型防火墻技術成功應用，其在相關信息監(jiān)測工作中有著十分重要的優(yōu)勢條件，可以顯著提升計算機安全性保障能力.但是同時這一技術的管理和成本投入也比較高，因此到目前為止這一技術也沒有得到普及應用.在實際網(wǎng)絡環(huán)境下，可以依照實際情況選擇合適的監(jiān)測技術，從而降低在計算機網(wǎng)絡安全基礎上的投入成本.

3 一種計算機網(wǎng)絡的防火墻安全設計

3.1 開發(fā)環(huán)境

計算機操作系統(tǒng)：Windows XP Professional

運行環(huán)境：JAVA語言運行環(huán)境 JDK 1.7

程序編輯：UltraEdit-32

3.2 設計思路

采用代理的防火墻對之前用戶和互聯(lián)網(wǎng)之間的連接替代.代理服務器作為服務器的中轉站，關于其設計一定要對以下要求滿足：確保可以及時接收客戶端發(fā)送的請求，并解釋；能夠成功創(chuàng)建和服務器的連接；能夠在接收和相應服務器發(fā)來的信號之后，再將其成功發(fā)送，傳輸?shù)娇蛻舳?依照這些要求那么服務器的工作模型設計則如圖3所示.

3.3 防火墻安全控制程序的配置

圖2 過濾系統(tǒng)工作流程

圖3 服務器工作模型

在防火墻安全設計中，其主要是合理配置防火墻安全控制程序，在其內部網(wǎng)絡中有效連接PC2，Edge以及Core，之后對超級終端軟件應用，合理配置相關設備.其具體步驟為：（1）在PC2計算機中配置網(wǎng)絡地址，相關設計為：IP地址設置為10.10.10.15，子網(wǎng)掩碼為255.255.255.0；（2）合理配置交換機2626B，并將其分成多個局域網(wǎng)，這一步驟只需要對Vlan 1分配，其中相關設計為：IP地址設置為10.1.1.3/24，終端上的命令則分別是2626B(Vlan-1)#Vlan 110 tagged?25、2626B(Vlan-1)#ip address 10.1.1.3/24以及2626B(config)#Vlan 1.

3.4 雙防火墻的設計

關于雙防火墻方案的設計如圖4所示.為了能夠顯著降低公共服務器安全風險，那么在計算機網(wǎng)絡防火墻設計中可以設計兩個防火墻，其中第1個防火墻可以在internet連接處進行設計，以對服務器提供保護，確保計算機網(wǎng)絡的安全運行[4].第2個防火墻可以設計在公共服務器和內部網(wǎng)絡之間，其主要目的是對內部網(wǎng)絡實施保護.在計算機網(wǎng)絡安全防護中對這種保護技術進行應用，同時在其之間設計DMZ網(wǎng)絡可以顯著提高計算機網(wǎng)絡的安全性.

圖4 計算機雙防火墻設計方案

4 計算機網(wǎng)絡安全的防火墻體系結構

4.1 屏蔽路由器

屏蔽路由器是一個防侵擾安全結構，其能夠有效避免內部網(wǎng)絡受到外部網(wǎng)絡以及參數(shù)網(wǎng)絡侵擾，因為其是實現(xiàn)內部網(wǎng)絡和外部網(wǎng)絡的唯一通道，所以也就能夠有效對相關數(shù)據(jù)實施過濾.但是因為是在IP層對報文過濾軟件安裝，這一軟件本身也就有報文過濾設置選項，所以也就能夠過濾一些簡單的報文，但是如果其被成功攻陷，就會出現(xiàn)用戶識別問題.

4.2 雙穴主機網(wǎng)關

雙穴主機網(wǎng)關是采用一臺堡壘主機作為防火墻，并且要在這臺主機上安裝兩塊網(wǎng)卡，這樣就能夠實現(xiàn)防火墻的作用.堡壘主機系統(tǒng)軟件能夠維護系統(tǒng)日志，同時也能夠實施硬件拷貝日志以及遠程日志功能，這一功能為計算機網(wǎng)絡檢查和管理工作提供了便利.其缺點是在計算機受到攻擊的時候，其攻擊對象則很難被網(wǎng)管員確認，一旦堡壘主機受到攻擊，那么之前的雙穴主機網(wǎng)關也就退化成為最簡單的路由器.雙穴主機網(wǎng)關結構如圖5所示.

圖5 雙穴主機網(wǎng)關結構設計

4.3 被屏蔽主機網(wǎng)關

在堡壘主機中只設置了1個網(wǎng)卡，以此對內部網(wǎng)絡和被屏蔽主機網(wǎng)關連接，在路由器上將過濾規(guī)則設立出來，同時單宿堡壘主機也要被設置成為唯一1個能夠訪問Internet的主機，以此控制未授權外部用戶攻擊內部網(wǎng)絡.如果其保護的是一個虛擬擴展的本地網(wǎng)，并沒有對子網(wǎng)以及路由器設置，那么堡壘主機以及屏蔽路由器的配置也就不會受到內部網(wǎng)絡變化的影響.有效限制堡壘主機以及屏蔽路由器中的危險帶.網(wǎng)關的基本控制作用的實現(xiàn)決定因素是安裝在之上的軟件.如果網(wǎng)絡安全的攻擊者一旦設法登陸上去，那么也就會對內部網(wǎng)絡的其余主機安全造成嚴重威脅.這一情況和雙穴主機網(wǎng)關受到攻擊的影響作用差不多.這一技術具有較高安全性，并且操作也非常容易，具有較高實用價值，所以在實際應用中得到了廣泛推廣.

5 結語

綜上所述，目前計算機網(wǎng)絡安全的防火墻技術包括有數(shù)據(jù)包過濾型、代理型以及監(jiān)測型，這些防火墻技術均能有效的提高計算機網(wǎng)絡安全.其中防火墻能夠借助于對網(wǎng)絡上的活動記錄，從而進一步提升其對安全防護的作用，同時也能夠有效地隔離各個網(wǎng)段，從而控制其對整個網(wǎng)絡安全的影響作用.在對防火墻技術實施管理中，也不必對一些實驗數(shù)據(jù)過分的相信，重點應該放在對各類防火墻技術實用性的考慮上，這些均需要通過實際應用得出結論?？傊?，在網(wǎng)絡技術不斷發(fā)展背景之下，積極探索和完善計算機網(wǎng)絡防火墻技術設計，是提高計算機安全性的一個重要研究方向，筆者基于相關研究為計算機防火墻技術設計提供相應的技術指導，以有助于計算機網(wǎng)絡環(huán)境安全性的提高.

[1]李文杰.淺析防火墻安全技術及發(fā)展[J].科技信息（科學·教研），2008，（10）：67-68.

[2]劉斌.淺談防火墻技術[J].科海故事博覽·科教論壇，2013，（3）：107-109.

[3]杜淑光，陳永浩.網(wǎng)絡安全與防火墻技術[J].制造業(yè)自動化，2007，29（12）：74-76.

[4]李筱茜.防火墻系統(tǒng)安全技術探索[J].現(xiàn)代計算機（專業(yè)版），2010，（8）：118-120.

（責任編輯 李健飛）

Construction of Network Security System of A Kind of Firewall Technology

WANG Nan，ZHANG Hao
（Department of Electronic Information，Anqing Vocational College of Technology，Anqing，Anhui 246003，China）

Through an analysis of computer network security and firewall technology，a design of computer network security firewall and its system are worked out.In the computer network security protection，a double firewall cascade way is applied，and DMZ network is constructed among them so as to strengthen the protection of computer network security.

technology of firewall；network security；system construction

TP309.1

A

1673-1972（2015）03-0044-05

2014-08-26

汪楠（1980-），女，安徽安慶人，講師，主要從事數(shù)據(jù)挖掘、數(shù)據(jù)庫、網(wǎng)絡安全研究.