關(guān)于計(jì)算機(jī)網(wǎng)絡(luò)防火墻的安全設(shè)計(jì)與應(yīng)用分析

包麗麗

文章編號(hào)：2095-6835（2016）13-0073-01

摘 要：傳統(tǒng)防火墻的設(shè)計(jì)類(lèi)似于關(guān)卡，結(jié)構(gòu)簡(jiǎn)單，維護(hù)方便，它作為一種隔離技術(shù)，允許符合身份的人進(jìn)入。但是，對(duì)于一些安全級(jí)別比較高的數(shù)據(jù)信息而言，采用傳統(tǒng)的防火墻，外來(lái)入侵者很容易獲取到相關(guān)信息。鑒于此，在設(shè)計(jì)Linux系統(tǒng)防火墻時(shí)，要針對(duì)不同級(jí)別的用戶(hù)設(shè)計(jì)不同級(jí)別的防火墻。簡(jiǎn)要分析了計(jì)算機(jī)網(wǎng)絡(luò)防火墻的安全設(shè)計(jì)及其應(yīng)用，以期為日后的相關(guān)工作提供參考。

關(guān)鍵詞：計(jì)算機(jī)網(wǎng)絡(luò)；防火墻；隔離技術(shù)；網(wǎng)絡(luò)安全

中圖分類(lèi)號(hào)：TP393.08 文獻(xiàn)標(biāo)識(shí)碼：A DOI：10.15913/j.cnki.kjycx.2016.13.073

防火墻是一種虛擬的網(wǎng)絡(luò)隔離技術(shù)。目前，防火墻技術(shù)已經(jīng)發(fā)展到第五代，越來(lái)越完善。為了分析計(jì)算機(jī)網(wǎng)絡(luò)防火墻的安全設(shè)計(jì)，基于Linux系統(tǒng)，以小企業(yè)為服務(wù)對(duì)象，特設(shè)計(jì)了相對(duì)簡(jiǎn)約的Linux防火墻。本文重點(diǎn)分析了基于Linux防火墻的設(shè)計(jì)與實(shí)現(xiàn)。

1 基于Linux防火墻系統(tǒng)設(shè)計(jì)

基于Linux防火墻的設(shè)計(jì)提高了系統(tǒng)的安全性、可靠性，使設(shè)計(jì)系統(tǒng)具有基本功能、輔助功能和增強(qiáng)功能。根據(jù)某單位軟硬件的實(shí)際使用環(huán)境，要開(kāi)發(fā)滿(mǎn)足要求的防火墻系統(tǒng)。防火墻功能的實(shí)現(xiàn)需要以主機(jī)安全保護(hù)和良好人際界面為基礎(chǔ)，方便操作和管理?？紤]到現(xiàn)有硬件的顯示，需簡(jiǎn)化試驗(yàn)環(huán)境，基于主機(jī)設(shè)計(jì)，在Linux環(huán)境下采用C語(yǔ)言實(shí)現(xiàn)，界面設(shè)計(jì)和數(shù)據(jù)庫(kù)的聯(lián)接通過(guò)Kylix開(kāi)發(fā)工具實(shí)現(xiàn)。防火墻包括用戶(hù)端、以太網(wǎng)和系統(tǒng)服務(wù)器3個(gè)端口，內(nèi)網(wǎng)能夠?qū)崿F(xiàn)訪(fǎng)問(wèn)功能，但是，外網(wǎng)訪(fǎng)問(wèn)會(huì)受到限制。

防火墻的功能是通過(guò)三端口實(shí)現(xiàn)的，它采用2個(gè)獨(dú)立網(wǎng)卡，一個(gè)主要針對(duì)服務(wù)器的安全，另外一個(gè)實(shí)現(xiàn)數(shù)據(jù)交換。防火墻代理系統(tǒng)的實(shí)現(xiàn)方式能夠保證用戶(hù)信息的安全傳遞。它采用的操作系統(tǒng)為嵌入式的，方便修改和裁剪，而且安全性能比較高。

2 基本構(gòu)成

傳統(tǒng)防火墻主要有包過(guò)濾防火墻、應(yīng)用代理防火墻和監(jiān)測(cè)模塊。Linux系統(tǒng)同樣采用的是模塊化設(shè)計(jì)，以方便其日后擴(kuò)展。包過(guò)濾檢測(cè)數(shù)據(jù)包主要包括數(shù)據(jù)部分和端頭，它不理會(huì)包內(nèi)的信息內(nèi)容。其中，包頭信息包括地址、目的地址、封裝協(xié)議、輸出端接口。包過(guò)濾防火墻將根據(jù)匹配規(guī)則對(duì)每一個(gè)包作出允許或不允許的決定。地址轉(zhuǎn)換模塊功能能夠?qū)崿F(xiàn)靜態(tài)網(wǎng)絡(luò)地址轉(zhuǎn)換、端口重定向轉(zhuǎn)換等。防火墻系統(tǒng)分為Web管理、轉(zhuǎn)換、內(nèi)核模塊等部分。在硬件設(shè)計(jì)中，考慮到系統(tǒng)成分，需要減少硬件凸級(jí)。在設(shè)計(jì)系統(tǒng)中，將Linux核心和文件系統(tǒng)寫(xiě)入Flash中，避免硬件信息的調(diào)入，提高執(zhí)行效率。身份認(rèn)證模塊主要服務(wù)于內(nèi)部網(wǎng)絡(luò)客戶(hù)端，用戶(hù)通過(guò)認(rèn)證可以實(shí)現(xiàn)數(shù)據(jù)通信，否則客戶(hù)端需要重新發(fā)送請(qǐng)求。在網(wǎng)絡(luò)地址轉(zhuǎn)換模塊設(shè)計(jì)中，要建立映射關(guān)系，查詢(xún)轉(zhuǎn)換階段，待完成操作后解除映射關(guān)系。

3 網(wǎng)絡(luò)安全實(shí)現(xiàn)

防火墻設(shè)計(jì)模塊分為數(shù)據(jù)路、包過(guò)濾、身份認(rèn)證等。鏈路層建立在物理層傳輸能力的基礎(chǔ)上，位于內(nèi)外網(wǎng)之間，包括IP協(xié)議、ARP協(xié)議和RARP協(xié)議。其中，IP協(xié)議能夠?qū)崿F(xiàn)數(shù)據(jù)傳輸，ARP協(xié)議和RARP協(xié)議主要用于地址信息的接收。在防火墻系統(tǒng)實(shí)現(xiàn)的過(guò)程中，需要配置硬件，設(shè)置Intranet內(nèi)部網(wǎng)址，同時(shí)，配置相應(yīng)的軟件地址。

身份認(rèn)證模塊并不具有靈活性。該設(shè)計(jì)系統(tǒng)比較適合小型單位，因此，在設(shè)計(jì)中，需要設(shè)計(jì)用戶(hù)自制，并錄入用戶(hù)資源信息，對(duì)內(nèi)部成員實(shí)現(xiàn)用戶(hù)認(rèn)證，解決身份認(rèn)證和記錄問(wèn)題。在用戶(hù)認(rèn)證模塊的設(shè)計(jì)中，如果用戶(hù)進(jìn)圖模塊判斷用戶(hù)信息符合要求，則進(jìn)入數(shù)據(jù)庫(kù)，生成配置文件，進(jìn)入系統(tǒng)主控程序。

當(dāng)主機(jī)發(fā)起訪(fǎng)問(wèn)時(shí)，需要在數(shù)據(jù)包報(bào)頭中指明IP地址。當(dāng)數(shù)據(jù)包被處理時(shí)，可將源地址替換為防火墻出口段IP地址，同時(shí)，防火墻可能會(huì)出現(xiàn)臨時(shí)端口，以回應(yīng)數(shù)據(jù)到來(lái)時(shí)外部制劑能夠看到的端口號(hào)。

在防火墻配置中，NAT和ACL是重點(diǎn)，ACL實(shí)現(xiàn)訪(fǎng)問(wèn)控制，NAT則實(shí)現(xiàn)計(jì)算機(jī)訪(fǎng)問(wèn)地址轉(zhuǎn)換。建立內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)，將PC2、Core連接起來(lái)，利用軟件進(jìn)行配置。由2626A創(chuàng)建2個(gè)Vlan分配端口，并配置中斷端口，采用三層轉(zhuǎn)發(fā)的方式。同時(shí)，給7102A寫(xiě)指向2626A靜態(tài)路由，NAT設(shè)置外部接口IP和內(nèi)部接口IP。建立映射時(shí)，要建立 IP 10.1.1.2 端口映設(shè)，在接口上啟動(dòng)NAT，#ip NAT outside //設(shè)定 NAT，做nat轉(zhuǎn)換，從pc2ping PCi截圖。另外，要為三層交換機(jī)增加配置，#vlan 10 untagged D1-D4 // vlan10 分配 D1-D4，vlan11 分配 E1-E4，#vlan 11 ip access-group 10 out.

按照分層設(shè)計(jì)的思想，可將Linux網(wǎng)絡(luò)協(xié)議分為系統(tǒng)判斷、協(xié)議無(wú)關(guān)、協(xié)議實(shí)現(xiàn)、驅(qū)動(dòng)和無(wú)關(guān)設(shè)備驅(qū)動(dòng)層。在模塊驅(qū)動(dòng)中，可先判斷insmod，登記成功則成功插入，否則返回。檢測(cè)網(wǎng)絡(luò)設(shè)備名字，確定進(jìn)入init-function函數(shù)，確定網(wǎng)卡設(shè)備是否存在，存在則進(jìn)行初始化工作。在以上模塊驅(qū)動(dòng)中，需要監(jiān)測(cè)和初始化網(wǎng)絡(luò)設(shè)備，啟動(dòng)時(shí)，系統(tǒng)要檢測(cè)可能存在的設(shè)備——要在dec-base列表上檢測(cè)網(wǎng)絡(luò)設(shè)備結(jié)構(gòu)，采用net-dev-init函數(shù)對(duì)節(jié)點(diǎn)進(jìn)行init函數(shù)指針，以說(shuō)明設(shè)備的存在。如果設(shè)備不存在，則需刪除，保存信息，完成初始化工作。系統(tǒng)完成內(nèi)核啟動(dòng)后，產(chǎn)生init進(jìn)程，帶動(dòng)sys-setup初始化設(shè)備，從而啟動(dòng)檢測(cè)程序?qū)崿F(xiàn)設(shè)備檢測(cè)。

4 結(jié)束語(yǔ)

總之，本文主要分析了基于Linux防火墻的網(wǎng)絡(luò)安全設(shè)計(jì)。經(jīng)過(guò)測(cè)試，防火墻具有測(cè)試、工作的雙重性能，而且包過(guò)濾技術(shù)能夠綜合性分析數(shù)據(jù)包和應(yīng)用層規(guī)則。在未來(lái)的整合過(guò)程中，能夠擴(kuò)大其應(yīng)用范疇。另外，采用分布式設(shè)計(jì)結(jié)構(gòu)大大提高了防火墻的安全防護(hù)強(qiáng)度，管理員能夠在第一時(shí)間處理相關(guān)事務(wù)。

參考文獻(xiàn)

[1]朱詩(shī)生，陳曉強(qiáng)，肖海濤，等.ERP系統(tǒng)IAM的網(wǎng)絡(luò)安全設(shè)計(jì)[J].電子設(shè)計(jì)工程，2014（22）：166-169.

[2]趙海峰.淺談?dòng)?jì)算機(jī)網(wǎng)絡(luò)防火墻的安全技術(shù)[J].電腦開(kāi)發(fā)與應(yīng)用，2013（10）：24-26.

[3]陳建強(qiáng).基于計(jì)算機(jī)網(wǎng)絡(luò)防火墻的安全設(shè)計(jì)分析[J].電子技術(shù)與軟件工程，2013（16）：241.

〔編輯：白潔〕