1、淺談辦公網(wǎng)絡(luò)中防火墻的應(yīng)用摘要：隨著時(shí)代的開(kāi)展，Internet日益普及，網(wǎng)絡(luò)已經(jīng)成為信息資源的海洋，給人們帶來(lái)了極大的方便。但由于Internet是一個(gè)開(kāi)放的，無(wú)控制機(jī)構(gòu)的網(wǎng)絡(luò)，經(jīng)常會(huì)受到計(jì)算機(jī)病毒、黑客的侵襲。它可使計(jì)算機(jī)和計(jì)算機(jī)網(wǎng)絡(luò)數(shù)據(jù)和文件喪失，系統(tǒng)癱瘓。因此，計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)平安問(wèn)題必須放在首位。本文就辦公網(wǎng)絡(luò)中應(yīng)用最多的防火墻技術(shù)做了討論。關(guān)鍵字：計(jì)算機(jī)網(wǎng)絡(luò)；網(wǎng)絡(luò)平安；防火墻技術(shù)一、前言企業(yè)內(nèi)部辦公自動(dòng)化網(wǎng)絡(luò)一般是基于TP/IP協(xié)議并采用了Internet的通信標(biāo)準(zhǔn)和eb信息流通形式的Intranet，它具有開(kāi)放性，因此使用極其方便。但開(kāi)放性卻帶來(lái)了系統(tǒng)入侵、病毒入侵等平安性問(wèn)題。一

2、旦平安問(wèn)題得不到很好地解決，就可能出現(xiàn)商業(yè)機(jī)密泄漏、設(shè)備損壞、數(shù)據(jù)喪失、系統(tǒng)癱瘓等嚴(yán)重后果，給正常的企業(yè)經(jīng)營(yíng)活動(dòng)造成極大的負(fù)面影響。因此企業(yè)需要一個(gè)更平安的辦公自動(dòng)化網(wǎng)絡(luò)系統(tǒng)。目前企業(yè)內(nèi)部辦公網(wǎng)絡(luò)存在的平安隱患主要有黑客惡意攻擊、病毒感染、口令攻擊、數(shù)據(jù)監(jiān)聽(tīng)等，在這眾多的平安隱患中要數(shù)黑客惡意攻擊和病毒感染的威脅最大，造成的破壞也最大。所以企業(yè)網(wǎng)絡(luò)中應(yīng)該以防范黑客和病毒為首。針對(duì)企業(yè)辦公網(wǎng)絡(luò)存在的眾多隱患，各個(gè)企業(yè)也施行了平安防御措施，其中包括防火墻技術(shù)、數(shù)據(jù)加密技術(shù)、認(rèn)證技術(shù)、PKI技術(shù)等，但其中應(yīng)用最為廣泛、實(shí)用性最強(qiáng)、效果最好的就是防火墻技術(shù)。本文將就放火墻技術(shù)在企業(yè)辦公中的應(yīng)用給予討論

3、，希望能給廣闊企業(yè)辦公網(wǎng)絡(luò)平安建立帶來(lái)一定幫助。二、防火墻技術(shù)概述1.防火墻的根本概念防火墻原是建筑物大廈里用來(lái)防止火災(zāi)蔓延的隔斷墻，在這里引申為保護(hù)內(nèi)部網(wǎng)絡(luò)平安的一道防護(hù)墻。從理論上講，網(wǎng)絡(luò)防火墻效勞的原理與其類似，它用來(lái)防止外部網(wǎng)上的各類危險(xiǎn)傳播到某個(gè)受保護(hù)網(wǎng)內(nèi)。從邏輯上講，防火墻是別離器、限制器和分析器；從物理角度看，各個(gè)防火墻的物理實(shí)現(xiàn)方式可以有所不同，但它通常是一組硬件設(shè)備(路由器、主機(jī))和軟件的多種組合；而從本質(zhì)上來(lái)說(shuō)防火墻是一種保護(hù)裝置，用來(lái)保護(hù)網(wǎng)絡(luò)數(shù)據(jù)、資源和用戶的聲譽(yù)；從技術(shù)上來(lái)說(shuō)，網(wǎng)絡(luò)防火墻是一種訪問(wèn)控制技術(shù)，在某個(gè)機(jī)構(gòu)的網(wǎng)絡(luò)和不平安的網(wǎng)絡(luò)之間設(shè)置障礙，阻止對(duì)信息資源的非法

4、訪問(wèn)，換句話說(shuō)，防火墻是一道門檻，控制進(jìn)/出兩個(gè)方向的通信，防火墻主要用來(lái)保護(hù)平安網(wǎng)絡(luò)免受來(lái)自不平安網(wǎng)絡(luò)的入侵，如平安網(wǎng)絡(luò)可能是企業(yè)的內(nèi)部網(wǎng)絡(luò)，不平安網(wǎng)絡(luò)是因特網(wǎng)，當(dāng)然，防火墻不只是用于某個(gè)網(wǎng)絡(luò)與因特網(wǎng)的隔離，也可用于企業(yè)內(nèi)部網(wǎng)絡(luò)中的部門網(wǎng)絡(luò)之間的隔離。2.防火墻的工作原理防火墻的工作原理是按照事先規(guī)定好的配置和規(guī)那么，監(jiān)控所有通過(guò)防火墻的數(shù)據(jù)流，只允許受權(quán)的數(shù)據(jù)通過(guò)，同時(shí)記錄有關(guān)的聯(lián)接來(lái)源、效勞器提供的通信量以及試圖闖入者的任何企圖，以方便管理員的監(jiān)測(cè)和跟蹤，并且防火墻本身也必須可以免于浸透。3.防火墻的功能一般來(lái)說(shuō)，防火墻具有以下幾種功能：可以防止非法用戶進(jìn)入內(nèi)部網(wǎng)絡(luò)?？梢院芊奖愕乇O(jiān)視網(wǎng)絡(luò)

5、的平安性，并報(bào)警?？梢宰鳛椴渴餘ATNetrkAddressTranslatin，網(wǎng)絡(luò)地址變換的地點(diǎn)，利用NAT技術(shù)，將有限的IP地址動(dòng)態(tài)或靜態(tài)地與內(nèi)部的IP地址對(duì)應(yīng)起來(lái)，用來(lái)緩解地址空間短缺的問(wèn)題。可以連接到一個(gè)單獨(dú)的網(wǎng)段上，從物理上和內(nèi)部網(wǎng)段隔開(kāi)，并在此部署效勞器和FTP效勞器，將其作為向外部發(fā)布內(nèi)部信息的地點(diǎn)。從技術(shù)角度來(lái)講，就是所謂的停火區(qū)DZ。4.防火墻的分類包過(guò)濾型防火墻，又稱挑選路由器(Sreeningruter)或網(wǎng)絡(luò)層防火墻(Netrklevelfireall)，它工作在網(wǎng)絡(luò)層和傳輸層。它基于單個(gè)數(shù)據(jù)包施行網(wǎng)絡(luò)控制，根據(jù)所收到的數(shù)據(jù)包的源IP地址、目的IP地址、TP/UDP源

6、端口號(hào)及目的端口號(hào)、IP消息類型、包出入接口、協(xié)議類型和數(shù)據(jù)包中的各種標(biāo)志等為參數(shù)，與用戶預(yù)定的訪問(wèn)控制表進(jìn)展比擬，決定數(shù)據(jù)是否符合預(yù)先制定的平安策略，決定數(shù)據(jù)包的轉(zhuǎn)發(fā)或丟棄，即施行過(guò)濾。代理效勞器型防火墻代理效勞器型防火墻通過(guò)在主機(jī)上運(yùn)行代理的效勞程序，直接對(duì)特定的應(yīng)用層進(jìn)展效勞，因此也稱為應(yīng)用型防火墻。其核心是運(yùn)行于防火墻主機(jī)上的代理效勞器進(jìn)程，它代替網(wǎng)絡(luò)用戶完成特定的TP/IP功能。一個(gè)代理效勞器實(shí)際上是一個(gè)為特定網(wǎng)絡(luò)應(yīng)用而連接兩個(gè)網(wǎng)絡(luò)的網(wǎng)關(guān)。復(fù)合型防火墻由于對(duì)更高平安性的要求，通常把數(shù)據(jù)包過(guò)濾和代理效勞系統(tǒng)的功能和特點(diǎn)綜合起來(lái)，構(gòu)成復(fù)合型防火墻系統(tǒng)。所用主機(jī)稱為堡壘主機(jī)，負(fù)責(zé)代理效勞。

7、各種類型的防火墻都有其各自的優(yōu)缺點(diǎn)。當(dāng)前的防火墻產(chǎn)品己不再是單一的包過(guò)濾型或代理效勞器型防火墻，而是將各種平安技術(shù)結(jié)合起來(lái)，形成一個(gè)混合的多級(jí)防火墻，以進(jìn)步防火墻的靈敏性和平安性?；旌闲头阑饓σ话悴捎靡韵聨追N技術(shù):動(dòng)態(tài)包過(guò)濾；內(nèi)核透明技術(shù)；用戶認(rèn)證機(jī)制；內(nèi)容和策略感知才能:內(nèi)部信息隱藏；智能日志、審計(jì)和實(shí)時(shí)報(bào)警；防火墻的交互操作性等。三、辦公網(wǎng)絡(luò)防火墻的設(shè)計(jì)1.防火墻的系統(tǒng)總體設(shè)計(jì)思想1.1設(shè)計(jì)防火墻系統(tǒng)的拓?fù)錁?gòu)造在確定防火墻系統(tǒng)的拓?fù)錁?gòu)造時(shí)，首先必須確定被保護(hù)網(wǎng)絡(luò)的平安級(jí)別。從整個(gè)系統(tǒng)的本錢、平安保護(hù)的實(shí)現(xiàn)、維護(hù)、晉級(jí)、改造以及重要的資源的保護(hù)等方面進(jìn)展考慮，以決定防火墻系統(tǒng)的拓?fù)錁?gòu)造。1.

8、2制定網(wǎng)絡(luò)平安策略.lunenang.論文網(wǎng)在線在實(shí)現(xiàn)過(guò)程中，沒(méi)有允許的效勞是被制止的，沒(méi)有被制止的效勞都是允許的，因此網(wǎng)絡(luò)平安的第一條策略是回絕一切未答應(yīng)的效勞。防火墻封鎖所有信息流，逐一完成每一項(xiàng)答應(yīng)的效勞；第二條策略是允許一切沒(méi)有被制止的效勞，防火墻轉(zhuǎn)發(fā)所有的信息，逐項(xiàng)刪除被制止的效勞。1.3確定包過(guò)濾規(guī)那么包過(guò)濾規(guī)那么是以處理IP包頭信息為根底，設(shè)計(jì)在包過(guò)濾規(guī)那么時(shí)，一般先組織好包過(guò)濾規(guī)那么，然后再進(jìn)展詳細(xì)設(shè)置。1.4設(shè)計(jì)代理效勞代理效勞器承受外部網(wǎng)絡(luò)節(jié)點(diǎn)提出的效勞懇求，假如此懇求被承受，代理效勞器再建立與實(shí)效勞器的連接。由于它作用于應(yīng)用層，故可利用各種平安技術(shù)，如身份驗(yàn)證、日志登錄、

9、審計(jì)跟蹤、密碼技術(shù)等，來(lái)加強(qiáng)網(wǎng)絡(luò)平安性，解決包過(guò)濾所不能解決的問(wèn)題。1.5嚴(yán)格定義功能模塊，分散實(shí)現(xiàn)防火墻由各種功能模塊組成，如包過(guò)濾器、代理效勞器、認(rèn)證效勞器、域名效勞器、通信監(jiān)控器等。這些功能模塊最好由路由器和單獨(dú)的主機(jī)實(shí)現(xiàn)，功能分散減少了實(shí)現(xiàn)的難度，增加了可靠程度。1.6防火墻維護(hù)和管理方案的考慮防火墻的日常維護(hù)是對(duì)訪問(wèn)記錄進(jìn)展審計(jì)，發(fā)現(xiàn)入侵和非法訪問(wèn)情況。據(jù)此對(duì)防火墻的平安性進(jìn)展評(píng)價(jià)，需要時(shí)進(jìn)展適當(dāng)改良，管理工作要根據(jù)網(wǎng)絡(luò)拓?fù)錁?gòu)造的改變或平安策略的變化，對(duì)防火墻進(jìn)展硬件和軟件的修改和晉級(jí)。通過(guò)維護(hù)和管理進(jìn)一步優(yōu)化其性能，以保證網(wǎng)絡(luò)極其信息的平安性。2.一種典型防火墻設(shè)計(jì)實(shí)例數(shù)據(jù)包防火墻

10、設(shè)計(jì)數(shù)據(jù)包過(guò)濾防火墻工作于DD(DepartentfDefense)模型的網(wǎng)絡(luò)層，其技術(shù)核心是對(duì)是流經(jīng)防火墻每個(gè)數(shù)據(jù)包進(jìn)展行審查，分析其包頭中所包含的源地址、目的地址、封裝協(xié)議(TP，UDP、IP，IPTunnel等)、TP/UDP源端口號(hào)和目的端口號(hào)、輸人輸出接口等信息，確定其是否與系統(tǒng)預(yù)先設(shè)定的平安策略相匹配，以決定允許或回絕該數(shù)據(jù)包的通過(guò)。從而起到保護(hù)內(nèi)部網(wǎng)絡(luò)的作用，這一過(guò)程就稱為數(shù)據(jù)包過(guò)濾。本例中網(wǎng)絡(luò)環(huán)境為：內(nèi)部網(wǎng)絡(luò)使用的網(wǎng)段為，eth0為防火墻與Internet接口的網(wǎng)卡，eth1為防火墻與內(nèi)部網(wǎng)絡(luò)接口的網(wǎng)卡。數(shù)據(jù)包過(guò)濾規(guī)那么的設(shè)計(jì)如下：2.1與效勞有關(guān)的平安檢查規(guī)那么這類平安檢查是

11、根據(jù)特定效勞的需要來(lái)決定是否允許相關(guān)的數(shù)據(jù)包被傳輸.這類效勞包括，F(xiàn)TP，Telnet，STP等.我們以包過(guò)濾為例，來(lái)分析這類數(shù)據(jù)包過(guò)濾的實(shí)現(xiàn).數(shù)據(jù)包采用TP或UDP協(xié)議，其端口為80，設(shè)置平安規(guī)那么為允許內(nèi)部網(wǎng)絡(luò)用戶對(duì)Internet的訪問(wèn)，而限制Internet用戶僅能訪問(wèn)內(nèi)部網(wǎng)部的效勞器，(假定其IP地址為1)。要實(shí)現(xiàn)上述平安規(guī)那么，設(shè)置數(shù)據(jù)包過(guò)濾為，在防火eth0端僅允許目的地址為內(nèi)部網(wǎng)絡(luò)效勞器地址數(shù)據(jù)包通過(guò)，而在防火墻eth1端允許所有來(lái)自內(nèi)部網(wǎng)絡(luò)數(shù)據(jù)包通過(guò)。#DefineHTTPpakets#允許Internet客戶的包訪問(wèn)效勞器/sbin/iphains-Ainput-ptp-s

12、/01024:-d1/32-ieth0jAEPT/sbin/iphains-Ainput-ptp-s/fl1024:-d1132-ieth0jAEPT#允許效勞器回應(yīng)Internet客戶的訪問(wèn)懇求/sbin/iphains-Ainput-ptp-s1/32:-d/01024:-iethljAEPT/sbin/iphains-Ainput-pudp-s1/32:-d/01024:-ieth1jAEPT顯然，設(shè)置此類數(shù)據(jù)過(guò)濾的關(guān)鍵是限制與效勞相應(yīng)的目地地址和效勞端口。與此相似，我們可以建立起與FTP，Telnet，STP等效勞有關(guān)的數(shù)據(jù)包檢查規(guī)那么；2.2與效勞無(wú)關(guān)的平安檢查規(guī)那么.lunenan

13、g.論文網(wǎng)在線這類平安規(guī)那么是通過(guò)對(duì)路由表、數(shù)據(jù)包的特定IP選項(xiàng)和特定段等內(nèi)容的檢查來(lái)實(shí)現(xiàn)的，主要有以下幾點(diǎn)：數(shù)據(jù)包完好性檢查(TinyFragent):平安規(guī)那么為回絕不完好數(shù)據(jù)包進(jìn)人Iphains本身并不具備碎片過(guò)濾功能，實(shí)現(xiàn)完好性檢查的方法是利用REDHAT，在編譯其內(nèi)核時(shí)設(shè)定IP；alaysdefrayentssetty。REDHAT檢查進(jìn)人的數(shù)據(jù)包的完好性，合并片段而拋棄碎片。源地址IP(SureIPAddressSpfing)欺騙:平安規(guī)那么為回絕從外部傳輸來(lái)的數(shù)據(jù)包假裝成來(lái)自某一內(nèi)部網(wǎng)絡(luò)主機(jī)，以期能浸透到內(nèi)部網(wǎng)絡(luò)中.要實(shí)現(xiàn)這一平安規(guī)那么，設(shè)置回絕數(shù)據(jù)包過(guò)濾規(guī)那么為，在防火墻eth0端回絕1P源地址為內(nèi)部網(wǎng)絡(luò)地址的數(shù)據(jù)包通過(guò)。源路由(SureRuting)欺騙:平安規(guī)那么為回絕從外部傳輸來(lái)的數(shù)據(jù)包包含自行指定的路由信息，實(shí)現(xiàn)的方法也是借助REDHAT的路由功能，回絕來(lái)自外部的包含源路由選項(xiàng)的數(shù)據(jù)包。總之，放火墻優(yōu)點(diǎn)眾多，但也并非萬(wàn)無(wú)一失。所以，平安人員在設(shè)定防火墻后千萬(wàn)不可麻木大意，而應(yīng)居安思危，將防火墻與其他平安防御技術(shù)配合使用，才能到達(dá)應(yīng)有的效果。參考文獻(xiàn)：1張曄,劉玉莎.防火墻技術(shù)的研究與討