計算機網(wǎng)絡(luò)防火墻的安全設(shè)計及應(yīng)用

胡偉強 胡麗芳

【摘要】 防火墻是一種虛擬的網(wǎng)絡(luò)隔離技術(shù)，當前防火墻技術(shù)已經(jīng)發(fā)展到第五代，更加完善，對于提高計算機網(wǎng)絡(luò)應(yīng)用安全性具有重要作用。

【關(guān)鍵詞】 防火墻 計算機網(wǎng)絡(luò)

一、計算機網(wǎng)絡(luò)防火墻安全結(jié)構(gòu)設(shè)計

基于LINUX防火墻方案愛設(shè)計提高系統(tǒng)安全性、可靠性，設(shè)計系統(tǒng)分為基本功能、輔助功能以及增強功能。根據(jù)某單位實際軟硬件環(huán)境，開發(fā)滿足要求的防火墻系統(tǒng)。防火墻實現(xiàn)需要滿足主機安全保護和良好人際界面基礎(chǔ)，方便操作和管理。

考慮到現(xiàn)有硬件的顯示，簡化試驗環(huán)境，基于主機設(shè)計，在Linux環(huán)境下采用C語言實現(xiàn)，界面設(shè)計和數(shù)據(jù)庫的聯(lián)接通過Kylix開發(fā)工具實現(xiàn)。防火墻包括用戶端、以太網(wǎng)和系統(tǒng)服務(wù)器三個端口，內(nèi)網(wǎng)同時能夠?qū)崿F(xiàn)訪問功能，但是外網(wǎng)訪問會受到限制。

防火墻通過三端口實現(xiàn)，采用兩個獨立網(wǎng)卡，一個主要針對服務(wù)器安全，另外一個實現(xiàn)數(shù)據(jù)交換。防火墻代理系統(tǒng)的實現(xiàn)方式能夠保證用戶信息的安全傳遞。所采用的操作系統(tǒng)為嵌入式操作系統(tǒng)，方便修改和裁剪，而且安全性能較高，是比較理想的軟件設(shè)計平臺。

二、計算機網(wǎng)絡(luò)的安全保障實現(xiàn)路徑

防火墻設(shè)計模塊分為數(shù)據(jù)路、包過濾、身份認證等模塊。鏈路層建立在物理層傳輸能力基礎(chǔ)上，位于內(nèi)外網(wǎng)之間，包括IP、ARP和RARP協(xié)議，其中IP協(xié)議實現(xiàn)數(shù)據(jù)傳輸，ARP和RARP模塊實現(xiàn)地址信息的接受。在防火墻系統(tǒng)實現(xiàn)中，需要配置硬件，設(shè)置intranet內(nèi)部網(wǎng)址，同時配置相應(yīng)的軟件地址。主要復(fù)制內(nèi)核文件，busybox-1.18.5 linux linux-3.0.1.tar.bz。復(fù)制到源代碼目錄并命名為.config，root@server56 src]# cd linux-3.0.1；/boot/config-2.6.18-164.el5. /.config。進入編譯配置界面，使用make命令編譯內(nèi)核，[root@ server56 linux-3.0.1] # make，makemake modules_install。將內(nèi)核信息寫入grub中，重新啟動系統(tǒng)。命令brcfg_era 調(diào)用： br_forward 模塊。

身份認證模塊并不具有靈活性，該設(shè)計系統(tǒng)比較適合小型單位，因此在設(shè)計中，需要設(shè)計用戶自制，錄入用戶資源信息，對內(nèi)部成員實現(xiàn)用戶認證，需要解決身份認證和記錄問題。

用戶認證模塊設(shè)計中， 用戶進圖模塊，判斷用戶信息，符合則進入數(shù)據(jù)庫，茍澤生成配置文件，進圖系統(tǒng)主控程序。

主機發(fā)起訪問，需要在數(shù)據(jù)包報頭中指明IP地址，數(shù)據(jù)包被處理時，源地址替換為防火墻出口段IP地址，同時防火墻可會出現(xiàn)臨時端口，回應(yīng)數(shù)據(jù)到來時，外部制劑能夠看到端口號。該模塊充分利用內(nèi)核模塊設(shè)計優(yōu)勢，模塊初始化有con-lter實現(xiàn)。

在防火墻配置中，NAT和ACL是重點，ACL實現(xiàn)訪問控制，NAT則實現(xiàn)計算機訪問地址轉(zhuǎn)換。建立內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)，將PC2、Core連接起到，利用軟件進行配置。

Linux網(wǎng)絡(luò)協(xié)議棧按照分層設(shè)計思想，分為系統(tǒng)判斷、協(xié)議無關(guān)、協(xié)議實現(xiàn)、驅(qū)動以及無關(guān)設(shè)備驅(qū)動層。模塊驅(qū)動中，先判斷insmod，登記成功則成功插入，否則返回。檢測網(wǎng)絡(luò)設(shè)備名字，確定進入init-function函數(shù)，確定網(wǎng)卡設(shè)備是否存在，存在則進行初始化工作，存在則初始化成功。以上模塊驅(qū)動中，需要監(jiān)測和初始化網(wǎng)絡(luò)設(shè)備，啟動時，系統(tǒng)能夠檢測可能存在的設(shè)備。

主要過程為啟動時，在dec-base列表上檢測網(wǎng)絡(luò)設(shè)備結(jié)構(gòu)，采用net-dev-init函數(shù)對節(jié)點進行init函數(shù)指針，說明設(shè)備存在，設(shè)備不存在則刪除，保存信息完成初始化，系統(tǒng)完成內(nèi)核啟動后，產(chǎn)生init進程，刁穎sys-setup初始化設(shè)備，啟動檢測程度，實現(xiàn)設(shè)備檢測。

網(wǎng)卡初始化函數(shù)任務(wù)為判斷該設(shè)備是夠存在，完成網(wǎng)卡驅(qū)動后，傳輸網(wǎng)絡(luò)數(shù)據(jù)，注冊ei-interrupt（）后處理服務(wù)程序結(jié)構(gòu)數(shù)據(jù)。

三、安全測試

以某單位實際工作環(huán)境為背景，從外層防火墻進行分析，在測試中判斷性能質(zhì)量。預(yù)期結(jié)構(gòu)正向ping成功，訪問被禁止，規(guī)則不允許，實測結(jié)果征象成功，反向不同，訪問被禁止，與預(yù)測結(jié)果相一致。IP過濾規(guī)則對數(shù)據(jù)包測試，預(yù)測正向成功，反向禁止，訪問被禁止，實測結(jié)果與預(yù)期結(jié)果一致。將IP包過濾應(yīng)用于FTP服務(wù)，實測結(jié)果禁止telnet訪問，允許PTP訪問，與預(yù)期結(jié)果一致。對防火墻進行攻擊測試，測試結(jié)果顯示防火墻能夠抵御絕大多數(shù)網(wǎng)絡(luò)攻擊，與預(yù)期結(jié)果相一致。

四、總結(jié)

總之，本文主要分析基于LINUX防火墻網(wǎng)絡(luò)安全設(shè)計，經(jīng)過測試，防火墻能夠?qū)崿F(xiàn)與測試工作的雙重性能，包過濾技術(shù)能夠綜合性分析數(shù)據(jù)包和應(yīng)用層規(guī)則，在未來整合中能夠整合更多范疇，采用分布式設(shè)計結(jié)構(gòu)，安全防護強度大大提高，管理員能夠第一事件處理相關(guān)事務(wù)。