【摘 要】隨著計(jì)算機(jī)技術(shù)和互聯(lián)網(wǎng)絡(luò)技術(shù)的進(jìn)一步發(fā)展，人們對網(wǎng)絡(luò)安全的要求也是越來越多，在我們現(xiàn)實(shí)生活中，也的確存在很多安全隱患。因此，我們在不斷增加網(wǎng)絡(luò)信息安全意識的前提下，就要進(jìn)一步加強(qiáng)安全技術(shù)要求，如加強(qiáng)防火墻、入侵檢測技術(shù)等。而在加強(qiáng)防火墻安全的過程中，防火墻的安全策略的相關(guān)配置就變得猶然重要。本論文就在防火墻的安全策略原理、分類、配置思路以及具體的安全配置策略等方面進(jìn)行描述，期望可以進(jìn)一步加強(qiáng)我們的互聯(lián)網(wǎng)絡(luò)安全建設(shè)，增加安全防范策略。

【關(guān)鍵詞】防火墻；安全策略；安全意識

1、防火墻安全策略的原理

防火墻又稱為防護(hù)墻，是一種介于內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的網(wǎng)絡(luò)安全系統(tǒng)。其基本作用是保護(hù)特定的網(wǎng)絡(luò)不受非法網(wǎng)絡(luò)或入侵者的攻擊，但同時(shí)還得允許兩個(gè)正常網(wǎng)絡(luò)之間可以進(jìn)行合法的通信。安全策略就是對通過防護(hù)墻的信息數(shù)據(jù)進(jìn)行檢驗(yàn)，只有符合規(guī)則或符合安全策略的合法數(shù)據(jù)才能通過防火墻的檢驗(yàn)，進(jìn)行數(shù)據(jù)通信和資源共享。

通過防火墻安全策略可以有效地控制內(nèi)網(wǎng)用戶訪問外網(wǎng)的權(quán)限，控制內(nèi)網(wǎng)不同安全級別的子網(wǎng)之間的訪問權(quán)限等。同時(shí)也能夠?qū)W(wǎng)絡(luò)設(shè)備本身進(jìn)行控制，如限制哪些IP地址不能使用設(shè)備，控制網(wǎng)管服務(wù)器與其他設(shè)備間的互相訪問等。

在具體防火墻的應(yīng)用中，防火墻安全策略是對防火墻的數(shù)據(jù)流進(jìn)行網(wǎng)絡(luò)安全訪問的基本手段，其決定了后續(xù)的應(yīng)用數(shù)據(jù)流是否被處理。NGFW會對收到的流量進(jìn)行檢測，檢測對象包括源＼目的安全區(qū)域、源＼目的地址、用戶、服務(wù)和時(shí)間段等。具體步驟如下：

（1）首先是數(shù)據(jù)流先要經(jīng)過防火墻；

（2）然后查找防火墻配置的安全策略，判斷是否允許下一步的操作；

（3）防火墻根據(jù)安全策略定義規(guī)則對數(shù)據(jù)包進(jìn)行處理。

2、安全策略的分類

安全策略大體可分為三大類：域間安全策略、域內(nèi)安全策略和接口包過濾。

域間安全策略用于控制域間流量的轉(zhuǎn)發(fā)，適用于接口加入不同安全區(qū)域的場景。域間安全策略按IP地址、時(shí)間段和服務(wù)、用戶等多種方式匹配流量，并對符合條件的流量進(jìn)行包過濾控制。其也用于控制外界與設(shè)備本身的互訪，允許或拒絕與設(shè)備本身的互訪。

域內(nèi)安全策略與域間安全策略一樣，也可以按IP地址、時(shí)間段和服務(wù)、用戶等多種方式匹配流量，并對符合條件的流量進(jìn)行包過濾控制。但是在企業(yè)中某些部門如財(cái)務(wù)部等重要數(shù)據(jù)所在的部門，需要防止內(nèi)部員工對服務(wù)器、PC機(jī)等的惡意攻擊。所以在域內(nèi)應(yīng)用安全策略進(jìn)行IPS檢測，阻斷惡意員工的非法訪問。

當(dāng)接口未加入安全區(qū)域的情況下，通過接口包過濾控制接口接收和發(fā)送的IP報(bào)文，可以按IP地址、時(shí)間段和服務(wù)、用戶等多種方式匹配流量并執(zhí)行相應(yīng)動作。硬件包過濾是在特定的二層硬件接口卡上實(shí)現(xiàn)的，用來控制接口卡上的接口可以接收哪些流量。硬件包過濾直接通過硬件實(shí)現(xiàn)，所以過濾速度較快。

3、安全策略的配置思路

（1）管理員應(yīng)該首先明確需要?jiǎng)澐帜膸讉€(gè)安全區(qū)域，接口如何來連接，分別加入哪些安全區(qū)域。

（2）管理員選擇根據(jù)源地址或用戶來區(qū)分企業(yè)員工。

（3）先確定每個(gè)用戶組的權(quán)限，然后再確定特殊用戶的權(quán)限。包括用戶所處的源安全區(qū)域和地址，用戶需要訪問的目的安全區(qū)域和地址，用戶能夠使用哪些服務(wù)和應(yīng)用，用戶的網(wǎng)絡(luò)訪問權(quán)限在哪些時(shí)間段生效等。如果想允許某種網(wǎng)絡(luò)訪問，則配置安全策略的動作為“允許”，否則為“禁止”。

（4）確定對哪些通過防火墻的流量進(jìn)行內(nèi)容安全監(jiān)測，進(jìn)行哪些內(nèi)容安全檢測。

（5）將上述步驟規(guī)劃出的安全策略的相關(guān)參數(shù)一一列出，并將所有安全策略按照先精確，再寬泛的順序進(jìn)行排序。在配置安全策略時(shí)需要按照此順序進(jìn)行配置。

4、安全策略的具體配置

針對具體的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)以及對防火墻的相關(guān)要求，我們在這里對防火墻的安全策略相關(guān)配置大體如下：

（1）配置安全區(qū)域。

系統(tǒng)缺省已經(jīng)創(chuàng)建了四個(gè)安全區(qū)域。如果用戶還需要?jiǎng)澐指嗟陌踩燃?，就可以自行?chuàng)建新的安全區(qū)域并定義其安全級別。具體新建安全區(qū)域步驟為：選擇網(wǎng)絡(luò)/安全區(qū)域，然后單擊“新建”，直接配置安全區(qū)域的相關(guān)參數(shù)即可。

（2）配置地址和地址組。

地址是IPV4地址或MAC地址的集合，地址組是地址的集合。地址包含一個(gè)或若干個(gè)IPV4地址或MAC地址，類似于一個(gè)基礎(chǔ)組件，只需定義一次，就可以被各種策略多次引用。

（3）配置地區(qū)和地區(qū)組。

地區(qū)是以地區(qū)為單位的IP地址對象，每個(gè)地區(qū)是當(dāng)前地區(qū)的公網(wǎng)IP地址的集合。為了進(jìn)一步方便擴(kuò)展和復(fù)用，設(shè)備還支持配置地區(qū)組供策略引用。配置較為靈活。

（4）配置服務(wù)和服務(wù)組。

服務(wù)是通過協(xié)議類型和端口號來確定的應(yīng)用協(xié)議類型，服務(wù)組是服務(wù)和服務(wù)組的集合。其中，預(yù)定義服務(wù)是指系統(tǒng)缺省已經(jīng)存在，可以直接選擇的服務(wù)類型；自定義服務(wù)是通過指定協(xié)議類型和端口號等信息來定義的一些應(yīng)用協(xié)議類型。

（5）配置應(yīng)用和應(yīng)用組。

應(yīng)用是指用來執(zhí)行某一特殊任務(wù)或用途的計(jì)算機(jī)程序。應(yīng)用組是指多個(gè)應(yīng)用的集合。具體通過WEB界面配置相應(yīng)的服務(wù)。

（6）配置時(shí)間段。

時(shí)間段定義了時(shí)間范圍，定義好的時(shí)間段被策略引用侯，可以對某一時(shí)間段內(nèi)流經(jīng)NGFW的流量進(jìn)行匹配和控制。具體通過WEB界面進(jìn)行配置相關(guān)時(shí)間段。

綜上所述，我們在進(jìn)一步加強(qiáng)網(wǎng)絡(luò)安全的今天，就必須在增強(qiáng)網(wǎng)絡(luò)安全意識的前提下，不斷地加強(qiáng)網(wǎng)絡(luò)安全技術(shù)。而在防火墻安全技術(shù)中，防火墻的安全配置策略就是重中之重。在實(shí)際應(yīng)用過程中，要不斷地進(jìn)行優(yōu)化處理。只有不斷地的豐富和完善，我們的網(wǎng)絡(luò)世界才會安全通暢！

參考文獻(xiàn)：

[1] 宿潔， 袁軍鵬. 防火墻技術(shù)及其進(jìn)展[J]. 計(jì)算機(jī)工程與應(yīng)用， 2004， 40（9）：147-149.

[2] 劉克龍， 蒙楊， 卿斯?jié)h. 一種新型的防火墻系統(tǒng)[J]. 計(jì)算機(jī)學(xué)報(bào)， 2000， 23（3）：231-236.

[3] 翟鈺， 武舒凡， 胡建武. 防火墻包過濾技術(shù)發(fā)展研究[J]. 計(jì)算機(jī)應(yīng)用研究， 2004， 21（9）：144-146.

[4] 林曉東， 楊義先. 網(wǎng)絡(luò)防火墻技術(shù)[J]. 電信科學(xué)， 1997（3）：41-43.

[5] 楊瓊， 楊建華， 王習(xí)平，等. 基于防火墻與入侵檢測聯(lián)動技術(shù)的系統(tǒng)設(shè)計(jì)[J]. 武漢理工大學(xué)學(xué)報(bào)， 2005， 27（7）：112-115.

[6] 錢偉中， 王蔚然， 袁宏春. 分布式防火墻環(huán)境的邊界防御系統(tǒng)[J]. 電子科技大學(xué)學(xué)報(bào)， 2005， 34（4）：513-516.

作者簡介：張志華（1983—），女，本科，河南南陽人，長期主要從事計(jì)算機(jī)網(wǎng)絡(luò)安全和管理等和網(wǎng)絡(luò)相關(guān)的教學(xué)工作研究?，F(xiàn)工作于鄭州工業(yè)應(yīng)用技術(shù)學(xué)院信息工程學(xué)院