摘 要：本文主要介紹了局域網(wǎng)中防火墻的功能特點，重點分析了防火墻的技術(shù)類型，主要有包過濾技術(shù)、代理技術(shù)、狀態(tài)檢測技術(shù)，最后介紹了典型防火墻配置，即三網(wǎng)口透明模式、三網(wǎng)口混合模式。

關(guān)鍵詞：防火墻 局域網(wǎng) 網(wǎng)絡(luò)安全

中圖分類號：TP393.1 文獻(xiàn)標(biāo)識碼：A 文章編號：1672-3791（2013）02（a）-0031-01

隨著網(wǎng)絡(luò)安全重要性日益提升，防火墻作為網(wǎng)絡(luò)防御技術(shù)的重要手段廣泛應(yīng)用于網(wǎng)絡(luò)工程中。防火墻通常部署于網(wǎng)絡(luò)之間，通過訪問控制策略來保護(hù)網(wǎng)絡(luò)通信安全。（圖1）

1 防火墻的主要功能

防火墻配置于信任程度不同的網(wǎng)絡(luò)之間，是軟件或硬件設(shè)備的組合，它對網(wǎng)絡(luò)之間的通信進(jìn)行控制，通過強(qiáng)制實施統(tǒng)一的安全策略，防止對重要信息資源的非法存取和訪問，從而保護(hù)目標(biāo)系統(tǒng)的安全。防火墻的主要功能如下。（1）防御攻擊。防火墻通過設(shè)置過濾規(guī)則，禁止有安全隱患的服務(wù)，防止非授權(quán)用戶進(jìn)入內(nèi)部網(wǎng)絡(luò)，極大提高了內(nèi)網(wǎng)的安全性。（2）強(qiáng)化內(nèi)網(wǎng)安全管理。利用防火墻的網(wǎng)絡(luò)管理功能可對內(nèi)部網(wǎng)絡(luò)進(jìn)行網(wǎng)段劃分，區(qū)分不同的網(wǎng)絡(luò)分組來制定訪問規(guī)則。（3）實現(xiàn)網(wǎng)絡(luò)地址轉(zhuǎn)換。防火墻的NAT技術(shù)，可以將內(nèi)網(wǎng)地址映射到公網(wǎng)地址，實現(xiàn)解決公網(wǎng)地址不足和隱藏內(nèi)網(wǎng)結(jié)構(gòu)的目的，降低來自外網(wǎng)安全威脅，同時主機(jī)IP地址配置不用做大的變動，僅需要配置網(wǎng)關(guān)即可。

2 防火墻技術(shù)的主要類型

目前，防火墻技術(shù)主要包括：包過濾技術(shù)、應(yīng)用代理技術(shù)、狀態(tài)檢測技術(shù)等。

（1）包過濾技術(shù)。包過濾型防火墻工作在OSI網(wǎng)絡(luò)參考模型的網(wǎng)絡(luò)層和傳輸層，它根據(jù)數(shù)據(jù)的包頭源地址、目的地址、端口號和協(xié)議類型來過濾信息。當(dāng)一個數(shù)據(jù)包滿足過濾規(guī)則，則允許此數(shù)據(jù)包通過。（2）應(yīng)用代理技術(shù)。應(yīng)用代理型防火墻工作在OSI網(wǎng)絡(luò)參考模型的最高層，即應(yīng)用層。通過對每種應(yīng)用服務(wù)使用特定的代理程序，實現(xiàn)監(jiān)視和控制應(yīng)用層信息流的作用。（3）狀態(tài)檢測技術(shù)。狀態(tài)檢測技術(shù)采用基于連接的檢測機(jī)制，將屬于同一連接的所有包作為一個整體的數(shù)據(jù)流來對待，構(gòu)成連接狀態(tài)表，通過規(guī)則表與狀態(tài)表的共同配合，對表中的各個連接狀態(tài)加以識別。狀態(tài)檢測技術(shù)是包過濾技術(shù)的延伸，使用各種狀態(tài)表來追蹤活躍的TCP會話。由用戶定義的訪問控制列表決定充許建立哪些會話，只有與活躍會話相關(guān)聯(lián)的數(shù)據(jù)才能通過防火墻。

3 防火墻典型應(yīng)用環(huán)境

3.1 三網(wǎng)口透明模式（圖2）

三網(wǎng)口透明模式中，網(wǎng)絡(luò)IP地址屬于同一網(wǎng)段，劃分為三個區(qū)段。內(nèi)部局域網(wǎng)區(qū)段的地址是 10.10.10.1～50/24；DMZ網(wǎng)絡(luò)區(qū)段的地址是10.10.10.100～150/24；fe2所連網(wǎng)絡(luò)區(qū)段的地址是 10.10.10.200～254/24。DMZ提供WWW、MAIL、FTP等服務(wù)。防火墻fe1、fe2、fe3工作在透明模式。區(qū)段間的安全策略是：允許內(nèi)部網(wǎng)絡(luò)區(qū)段訪問DMZ區(qū)段和外網(wǎng)的http、smtp、pop3、ftp服務(wù)，允許外網(wǎng)區(qū)段訪問DMZ網(wǎng)絡(luò)的http、smtp、pop3、ftp服務(wù)。外網(wǎng)對DMZ的訪問做深度防護(hù)檢測，其他的訪問都不做深度防護(hù)檢測。

3.2 三網(wǎng)口混合模式（圖3）

三網(wǎng)口混合模式中，局域網(wǎng)和DMZ屬于同一網(wǎng)段，其中局域網(wǎng)的IP地址是10.10.10.2～50/24；DMZ網(wǎng)絡(luò)區(qū)段的IP地址是10.10.10.100～150/24。DMZ提供WWW、MAIL、FTP等服務(wù)。外網(wǎng)地址是202.100.100.0/24。防火墻fe1、fe3工作在透明模式，fe2工作在路由模式。區(qū)段間的安全策略是：允許局域網(wǎng)訪問DMZ和外網(wǎng)，允許外網(wǎng)訪問DMZ，其他的訪問都禁止。

4 結(jié)語

防火墻是實現(xiàn)網(wǎng)絡(luò)安全、防御網(wǎng)絡(luò)入侵的重要手段，通過對內(nèi)、外網(wǎng)之間的通信進(jìn)行檢測，從而有效地保護(hù)內(nèi)部網(wǎng)絡(luò)資源，也可以限制內(nèi)部網(wǎng)絡(luò)對某些外部信息的訪問。必須強(qiáng)調(diào)，網(wǎng)絡(luò)安全僅僅依靠防火墻技術(shù)是不夠的，還需結(jié)合其他技術(shù)全面考慮。

參考文獻(xiàn)

[1]許偉，廖明武.網(wǎng)絡(luò)安全基礎(chǔ)教程[M].北京：清華大學(xué)出版社，2009.

[2]吳灝.網(wǎng)絡(luò)攻防技術(shù)[M].北京：機(jī)械工業(yè)出版社，2010.