孟范立

摘要：在網(wǎng)絡(luò)中防火墻是主要的安全設(shè)備之一，它以其強大的功能保障網(wǎng)絡(luò)安全，由于防火墻所處的位置不同，其所發(fā)揮的作用不盡相同，因此根據(jù)不同的網(wǎng)絡(luò)安全需要，以及路由器、交換機的端口類型，如何選擇防火墻的端口連接方式變得尤為重要，本文詳細闡述了在網(wǎng)絡(luò)安全與連接中防火墻的部署與連接方式。

關(guān)鍵詞：網(wǎng)絡(luò)安全；防火墻；服務(wù)器；設(shè)計；連接

中圖分類號：TP393 文獻標(biāo)識碼：A 文章編號：1009-3044（2015）12-0037-02

Based on The Deployment of The Network Firewall Security Design and Connection

MENG Fan-li

（Jilin Vocational College of Industry and Technology， Jilin 132013， China）

Abstract： In the network firewall is one of the major safety equipment， it with its powerful functions of security network security， because the location of the firewall is different， its role is not the same， so according to the different network security needs， as well as routers， switches， port type， how to select firewall port connection is particularly important， this paper expounds on the deployment of firewall in the network security and connected with the connection.

Key words： network security； firewall； server； design； connection

網(wǎng)絡(luò)安全規(guī)劃與設(shè)計主要是針對網(wǎng)絡(luò)安全設(shè)備而言，而網(wǎng)絡(luò)設(shè)備種類非常多，不同安全設(shè)備的應(yīng)用位置也有所不同，如果部署不正確不僅起不到任何保護作用，而且可能造成網(wǎng)絡(luò)瓶頸，影響網(wǎng)絡(luò)傳輸效率。另外，如果根據(jù)安全需要選擇合適的安全產(chǎn)品也是非常重要的問題。防火墻通常部署與網(wǎng)絡(luò)的邊界。當(dāng)然，邊界可以是局域網(wǎng)與廣域的、局域網(wǎng)與Internet 的、不同子網(wǎng)之間，以及子網(wǎng)與服務(wù)器之間的邊界等。

1 內(nèi)部網(wǎng)絡(luò)與Internet的連接之間

這是一種應(yīng)用最廣，也是最重要的防火墻應(yīng)用環(huán)境。在這種應(yīng)用環(huán)境下，防火墻主要保護內(nèi)部網(wǎng)絡(luò)不遭受非法用戶的攻擊。目前絕大多數(shù)企業(yè)網(wǎng)絡(luò)，安裝防火墻的主要目的就在于此。在這種應(yīng)用環(huán)境中，一般情況下，防火墻網(wǎng)絡(luò)可劃分為3個不同級別的安全區(qū)域，如表1和圖1所示。

在這三個區(qū)域中，用戶需要對不同的安全區(qū)域給予不同的安全策略。雖然內(nèi)部網(wǎng)絡(luò)和DMZ區(qū)域都屬于企業(yè)內(nèi)部網(wǎng)絡(luò)的一部分，單它們的安全級別（策略）是不同的。對于要保護的大部分區(qū)域，因需為互聯(lián)網(wǎng)應(yīng)用提供相關(guān)的服務(wù)，所以在一定程度上，沒有內(nèi)部網(wǎng)絡(luò)限制那么嚴(yán)格，如Web服務(wù)器通常是允許任何人進行正常訪問的。那么，這些服務(wù)器是很容易被攻擊的。由于在這些服務(wù)器上所安裝的服務(wù)非常少，所允許的權(quán)限非常低，真正的服務(wù)器數(shù)據(jù)的是在受保護的內(nèi)部網(wǎng)絡(luò)主機上。所以，黑客攻擊這些服務(wù)器沒有任何意義，即不能獲取什么有用的信息，也不能通過攻擊它而獲得過高的網(wǎng)絡(luò)訪問權(quán)限。可以通過NAT（網(wǎng)絡(luò)地址裝換）技術(shù)將受保護的內(nèi)部網(wǎng)絡(luò)得全部主機地址映射成防火墻上設(shè)置的少數(shù)幾個有效公網(wǎng)IP地址，這樣有兩個好處，一是可以對外屏蔽內(nèi)部網(wǎng)絡(luò)和IP地址，保護內(nèi)部網(wǎng)絡(luò)的安全；二是因為公網(wǎng)IP地址共用所以可以大大節(jié)省公網(wǎng)IP地址的使用，節(jié)省了企業(yè)投資成本。

2 連接局域網(wǎng)和廣域網(wǎng)

局域網(wǎng)和廣域網(wǎng)之間的連接是應(yīng)用防火墻最多的網(wǎng)絡(luò)，不過網(wǎng)絡(luò)用戶根據(jù)自己具體需要的不同，有兩種連接方式可供選擇。

如果用戶網(wǎng)絡(luò)原來已存在邊界路由器，則可充分利用原有設(shè)備，利用邊界路由器的包過濾功能，添加相應(yīng)的防火墻配置，這樣原來的路由器也就具有防火墻功能了。然后在利用防火墻與需要保護的內(nèi)部網(wǎng)絡(luò)相連接。對于DMZ區(qū)域中的公用服務(wù)器，則可直接與邊界路由器相連，不用經(jīng)過防火墻，它可以只經(jīng)過路由器的簡單防護。在這種網(wǎng)絡(luò)環(huán)境中，邊界路由器與防火墻一起組成了兩道安全防線，如圖2所示，并且在這兩者之間可以設(shè)置一個DMZ區(qū)域，用來放置那些允許外部用戶訪問的公用服務(wù)器設(shè)施。

如果用戶網(wǎng)絡(luò)中不存在邊界路由器，則此時直接由防火墻來保護內(nèi)部網(wǎng)絡(luò)，如圖3所示。此時DMZ區(qū)域和需要保護的內(nèi)部網(wǎng)絡(luò)分別連接防火墻的不同LAN網(wǎng)絡(luò)接口，因此，需要對這兩部分網(wǎng)絡(luò)設(shè)置不同的安全策略。這種網(wǎng)絡(luò)中雖然只有一道安全防線，但對于大多數(shù)中小企業(yè)來說是完全可以滿足的。不過在選購防火墻時就需要注意，防火墻一定要有兩個及以上的LAN網(wǎng)絡(luò)接口。

3 內(nèi)部網(wǎng)絡(luò)不同部門之間的連接

這種應(yīng)用環(huán)境就是在一個企業(yè)內(nèi)部網(wǎng)絡(luò)之間，對一些安全性要求較高的部門（如人事管理或財務(wù)管理等）進行隔離保護，通過防火墻保護內(nèi)部網(wǎng)絡(luò)中敏感部門的資源不被非法訪問，在這些部門網(wǎng)絡(luò)主機中的數(shù)據(jù)對于企業(yè)來說是非常重要的，因為它不能完全脫離企業(yè)網(wǎng)絡(luò)，但其中的數(shù)據(jù)又不能隨便提供給企業(yè)網(wǎng)絡(luò)中的用戶訪問。這時有幾種解決方案通常是采用VLAN配置，但這種方法需要配置三層及以上交換機，同時配置方法較為復(fù)雜。另一種有效的方法就是采用防火墻進行隔離，在防火墻上進行相關(guān)的配置（比起劃分VLAN來簡單許多）。

通過防火墻隔離后，盡管同屬于一個內(nèi)部局域網(wǎng)，但是其他用戶的訪問都需要經(jīng)過防火墻的過濾，符合條件的用戶才能訪問。這類防火墻通常不僅通過過濾來篩選數(shù)據(jù)包，而且還要對用戶身份的合法性（在防火墻中可以設(shè)置允許哪些用戶訪問）進行識別。通常為自適應(yīng)代理服務(wù)器型防火墻，這種防火墻方案還可以有日志記錄功能，對網(wǎng)絡(luò)管理員了解網(wǎng)絡(luò)安全現(xiàn)狀及改進非常重要。在如圖4所示的網(wǎng)絡(luò)中，同是一個企業(yè)的內(nèi)部網(wǎng)絡(luò)，可以將需要受到保護的重要部門和一些服務(wù)器通過防火墻連接至其他網(wǎng)絡(luò)。

4 用戶與中心服務(wù)器之間的連接

對于一個服務(wù)器中心而言，大多數(shù)服務(wù)器都需要對第三方（合作伙伴或互聯(lián)網(wǎng)用戶等）開放，但是所有這些服務(wù)器分別屬于不同用戶所有，其安全策略也各有不同，如果把它們都定義在同一個安全區(qū)域中，顯然不能滿足各用戶的不同需求。這時，就可以按不同安全策略保護這些服務(wù)器，根據(jù)實施方式的不同又可以分為以下兩種網(wǎng)絡(luò)環(huán)境。

1）每臺服務(wù)器單獨配置獨立防火墻

此種方法是最容易實現(xiàn)也是最直觀的，但這種方案無論從經(jīng)濟上，還是從使用和管理的靈活可靠性上都不是最好的。它需要購買與托管代理服務(wù)器數(shù)據(jù)一樣多的防火墻，對托管中心來說投資非常大，而且托管中心管理員面對這么多防火墻，其管理難度比較高。

2）配置虛擬網(wǎng)絡(luò)防火墻

這主要是利用三層交換機的VLAN功能，先在三層交換機上將有不同安全要求的服務(wù)器劃分至不同的VLAN。然后，借助對高性能防火墻模塊的VLAN子網(wǎng)配置，將防火墻劃分為多個虛擬防火墻，如圖5所示。這種方案雖然配置較為復(fù)雜，但是，一旦配置完成，以后的使用和管理將相當(dāng)方便，就像用交換機管理多個VLAN子網(wǎng)一樣來管理每個用戶服務(wù)器，而且該方案在現(xiàn)實中比較經(jīng)濟可行。

借助三層交換機或路由器內(nèi)置的防火墻模塊，也可以為不同的用戶VLAN配置不同的安全策略，從而將網(wǎng)絡(luò)攻擊限制在不同的VLAN中，從而保證整個企業(yè)網(wǎng)絡(luò)的安全。

參考文獻：

[1] 石炎生，等.計算機網(wǎng)絡(luò)工程實用教程[M]. 2版.北京：電子工業(yè)出版社，2011.

[2] 戴蓮芬.基于智能防火墻的網(wǎng)絡(luò)安全設(shè)計[J].信息安全與技術(shù)，2011（4）.

[3] 許諾全.基于防火墻技術(shù)的網(wǎng)絡(luò)系統(tǒng)安全設(shè)計[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2014（5）.

[4] 王博立.計算機網(wǎng)絡(luò)的安全設(shè)計與系統(tǒng)化管理[J].信息技術(shù)與信息化，2014（10）.

[5] 孫亞志.基于防火墻的網(wǎng)絡(luò)邊界安全的設(shè)計與實現(xiàn)[J].科技資訊，2010（7）.

[6] 賈志高. 基于防火墻和網(wǎng)絡(luò)入侵檢測技術(shù)的網(wǎng)絡(luò)安全研究與設(shè)計[J].甘肅科技，2009（18）.

[7] 趙平. 基于防火墻日志的網(wǎng)絡(luò)隔離安全審計系統(tǒng)設(shè)計與實現(xiàn)[J].計算機應(yīng)用研究，2007（7）.

[8] 石淑華，池瑞楠.編計算機網(wǎng)絡(luò)安全技術(shù)[M]. 3版.北京：人民郵電出版社，2012.