熊　歡

四川工業(yè)科技學(xué)院建筑工程學(xué)院，四川　德陽　618500

?

基于防火墻的應(yīng)用規(guī)則與設(shè)計(jì)探討

熊歡*

四川工業(yè)科技學(xué)院建筑工程學(xué)院，四川德陽618500

網(wǎng)絡(luò)的安全性已經(jīng)成為當(dāng)今社會(huì)熱衷的話題之一。隨著網(wǎng)絡(luò)的快速發(fā)展，給社會(huì)生活帶來了前所未有的便利，但隨之而來的網(wǎng)絡(luò)中安全問題也日趨嚴(yán)重。而防火墻是網(wǎng)絡(luò)安全的“第一道門”，如何把守好這道門安全，成為人們紛紛探討的問題。筆者根據(jù)防火墻的特點(diǎn)、類別、防火墻的設(shè)計(jì)和防火墻的應(yīng)用規(guī)則等方面對(duì)其進(jìn)行詳細(xì)的探討，以使人們對(duì)防火墻應(yīng)用規(guī)則和設(shè)計(jì)有進(jìn)一步的認(rèn)識(shí)和熟悉，以達(dá)到正確使用和設(shè)計(jì)防火墻。

防火墻；防火墻設(shè)計(jì)；防火墻應(yīng)用規(guī)則

由于因特網(wǎng)在全世界的迅速發(fā)展及其廣泛應(yīng)用，因特網(wǎng)中隨之出現(xiàn)的信息泄露、數(shù)據(jù)篡改和拒絕服務(wù)等網(wǎng)絡(luò)安全事件頻繁的發(fā)生，使網(wǎng)絡(luò)安全問題變得越來越受到公眾的重視。為解決這些問題，出現(xiàn)了很多網(wǎng)絡(luò)安全技術(shù)和方法，防火墻就是其中最成功的一種。

一、防火墻概述

(一)防火墻的概念

防火墻是一個(gè)軟件與硬件結(jié)合的系統(tǒng)，其位于內(nèi)部網(wǎng)絡(luò)(可信任區(qū))和外部網(wǎng)絡(luò)(非信任區(qū))之間，能有效的控制內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間大的訪問及其數(shù)據(jù)的傳輸，其主要目的是保護(hù)內(nèi)部網(wǎng)絡(luò)用戶免受非法用戶的訪問或者入侵；

(二)防火墻的特點(diǎn)

1.不管是來自外部網(wǎng)絡(luò)還是內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)都必須用通過防火墻的過濾。

2.對(duì)于要通過防火墻的數(shù)據(jù)都需符合防火墻設(shè)置的安全訪問策略。

3.防火墻一般位于內(nèi)部網(wǎng)絡(luò)的邊緣，會(huì)收到來自外部網(wǎng)絡(luò)的攻擊，因此，防火墻本身應(yīng)該具備抗攻擊的能力。

(三)防火墻按照技術(shù)分類

1.包過濾型防火墻：由于包過濾是路由器都具備的能力，我們可以將防火墻看成具有包過濾的路由器，用其端口去區(qū)分包和限制包，以完成對(duì)傳輸?shù)臄?shù)據(jù)包進(jìn)行一一排查，判斷其是否與其設(shè)置的包過濾規(guī)則相匹配，如果判定相匹配就允許數(shù)據(jù)包通過，否則就拒絕訪問，以達(dá)到拒絕可疑或者非法用戶的訪問。

2.應(yīng)用網(wǎng)關(guān)防火墻：工作在應(yīng)用層，主要是針對(duì)應(yīng)用層的數(shù)據(jù)包進(jìn)行篩查，能對(duì)不同協(xié)議進(jìn)行分析，如果與訪問規(guī)則匹配就允許包通過并且轉(zhuǎn)發(fā)，否則就拒絕。針對(duì)應(yīng)用層的入侵安全性高，防攻擊效果好。

二、防火墻體應(yīng)用規(guī)則

(一)設(shè)置Internet用戶對(duì)內(nèi)部網(wǎng)絡(luò)的訪問

防火墻部署在內(nèi)部局域網(wǎng)與Internet之間，其主要目的是為了保護(hù)內(nèi)部網(wǎng)絡(luò)不被外部網(wǎng)絡(luò)用戶的非法入侵和攻擊。

1.對(duì)于內(nèi)部網(wǎng)絡(luò)是防火墻重點(diǎn)保護(hù)的區(qū)域，是防火墻的可信任區(qū)域，針對(duì)內(nèi)部網(wǎng)絡(luò)用戶而言，發(fā)出的所有通信在默認(rèn)情況下是不需要過濾和審計(jì)的，為了網(wǎng)絡(luò)安全性，我們對(duì)內(nèi)網(wǎng)網(wǎng)路要設(shè)置相關(guān)的訪問規(guī)則以及安裝殺毒軟件，我們的防火墻不能防來自內(nèi)部網(wǎng)絡(luò)的攻擊，但防火墻需禁止來自外網(wǎng)的一切攻擊；

2.對(duì)于外部網(wǎng)絡(luò)，這個(gè)區(qū)域被稱為防火墻的非可信任網(wǎng)絡(luò)區(qū)域，外部用戶的通信或者連接必須按照防火墻的安全規(guī)則進(jìn)行過濾和審計(jì)，對(duì)于不符合訪問規(guī)則的用戶，禁止連接通信，以保護(hù)我們的內(nèi)部網(wǎng)絡(luò)；

3.防火墻有DMZ區(qū)域，它是從內(nèi)網(wǎng)中劃分出的一部分區(qū)域，該區(qū)域在網(wǎng)絡(luò)受保護(hù)的級(jí)別較低，設(shè)置訪問規(guī)則時(shí)，允許網(wǎng)絡(luò)用戶訪問DMZ安全區(qū)域?qū)ν忾_放的某些特定服務(wù)和應(yīng)用；

(二)設(shè)置局域網(wǎng)內(nèi)部不同部門網(wǎng)絡(luò)之間的訪問

防火墻應(yīng)用于內(nèi)部網(wǎng)絡(luò)之間，是對(duì)一些比較敏感的部門或者主機(jī)的隔離，比如：財(cái)務(wù)部門，其數(shù)據(jù)對(duì)于企業(yè)或者個(gè)人來說很重要，這些數(shù)據(jù)是不能隨便被非授權(quán)的用戶訪問。

1.采用vlan劃分，將位于不同物理網(wǎng)段上的用戶在邏輯上劃分在一個(gè)局域網(wǎng)。

a、基于端口的vlan劃分、基于MAC地址的vlan劃分、基于子網(wǎng)的vlan劃分、基于協(xié)議的vlan劃分

2.防火墻設(shè)置隔離

a、基于靜態(tài)配置的訪問控制規(guī)則ACL.

b、監(jiān)聽與記錄協(xié)議，能根據(jù)應(yīng)用協(xié)議的特定需求動(dòng)態(tài)創(chuàng)建訪問控制列表的ASPF.

三、防火墻系統(tǒng)的設(shè)計(jì)

防火墻的作用是保護(hù)內(nèi)網(wǎng)主機(jī)免于被來自外網(wǎng)的非法的入侵和破壞，其功能能否完美的實(shí)現(xiàn)，因此在設(shè)計(jì)防火墻系統(tǒng)時(shí)，需注意以下事項(xiàng)。

(一)需考慮采用單一的防火墻體系結(jié)構(gòu)：雙重宿主主機(jī)體系結(jié)構(gòu)、被屏蔽主機(jī)體系結(jié)構(gòu)、被屏蔽子網(wǎng)體系結(jié)構(gòu)。針對(duì)存在不同的問題和內(nèi)部網(wǎng)絡(luò)系統(tǒng)向用戶提供何種服務(wù)以及承擔(dān)什么等級(jí)的風(fēng)險(xiǎn)，采取合并內(nèi)部和外部路由器、合并堡壘主機(jī)和外部路由器、合并堡壘主機(jī)和內(nèi)部路由器、使用兩個(gè)以上的多堡壘主機(jī)、使用多臺(tái)內(nèi)部路由器、使用多臺(tái)外部路由器、使用多個(gè)周邊網(wǎng)絡(luò)等多種合并技術(shù)。一般情況下很少采用單一的技術(shù)和結(jié)構(gòu)。

(二)采用何種技術(shù)或者組合，與防火墻的投資資金、技術(shù)人員的技術(shù)水平高低和時(shí)間的長短有關(guān)；

(三)考慮位于局域網(wǎng)以外的托管主機(jī)、遠(yuǎn)程辦公主機(jī)的保護(hù)、來自內(nèi)網(wǎng)的攻擊。

(四)設(shè)計(jì)防火墻時(shí)，對(duì)于網(wǎng)絡(luò)的信任用戶、非信任用戶、部分信任用戶區(qū)分，以便控制用戶對(duì)網(wǎng)絡(luò)資源的訪問。

(五)針對(duì)防火墻的功能、不同的廠家，不同的價(jià)格，選擇一款適合自己需要的性價(jià)比最有的防火墻。

(六)選擇防火墻還要考慮到防火墻的安全性、可伸縮性、標(biāo)準(zhǔn)的支持。

(七)對(duì)防火墻設(shè)置訪問規(guī)則，設(shè)置安全過濾規(guī)則時(shí)，一定要注意此規(guī)則是對(duì)于外部網(wǎng)絡(luò)還是內(nèi)部網(wǎng)絡(luò)，不要將過濾規(guī)則設(shè)置沖突或者重疊，以避免網(wǎng)絡(luò)出現(xiàn)訪問漏洞，影響用戶的正常訪問。

四、總結(jié)

作者圍繞“防火墻的概述”而展開,從防火墻的類別到防火墻設(shè)計(jì)原則,從防火墻應(yīng)用規(guī)則到防火墻系統(tǒng)設(shè)計(jì)事項(xiàng)進(jìn)行了詳細(xì)的討論。使讀者不但能清晰防火墻的概述,更能清楚的知道防火墻應(yīng)用規(guī)則和設(shè)計(jì)的注意事項(xiàng)，防火墻的良好的設(shè)計(jì)應(yīng)用，對(duì)于網(wǎng)絡(luò)的安全性提供了保障。

[1]謝希仁編著.計(jì)算機(jī)網(wǎng)絡(luò)教程.北京:人民郵電出版社,2006.

[2]黃傳河編著. 網(wǎng)絡(luò)規(guī)劃設(shè)計(jì)師教程.北京:清華大學(xué)出版社,2009.

[3]雷震甲編著.網(wǎng)絡(luò)工程師教程.北京:清華大學(xué)出版社,2011.

[4]華為3Com技術(shù)有限公司編著.華為3Com網(wǎng)絡(luò)學(xué)院教材(1，2學(xué)期)下冊(cè),2006.

熊歡(1985-)，女，四川德陽人，四川工業(yè)科技學(xué)院建筑工程學(xué)院，助教，從事網(wǎng)絡(luò)的組建與維護(hù)和服務(wù)器技術(shù)研究。

TP393.08

A

1006-0049-(2016)15-0195-01