浅谈办公网络中防火墙的应用

、安全保护的实现、维护、升级、改造以及重要的资源的保护等方面进行考虑，以决定防火墙系统的拓扑结构。
1.2制定网络安全策略 www.qiqi8.cn 778论文在线
在实现过程中，没有允许的服务是被禁止的，没有被禁止的服务都是允许的，因此网络安全的第一条策略是拒绝一切未许可的服务。防火墙封锁所有信息流，逐一完成每一项许可的服务；第二条策略是允许一切没有被禁止的服务，防火墙转发所有的信息，逐项删除被禁止的服务。
1.3确定包过滤规则
包过滤规则是以处理IP包头信息为基础，设计在包过滤规则时，一般先组织好包过滤规则，然后再进行具体设置。
1.4设计代理服务
代理服务器接受外部网络节点提出的服务请求，如果此请求被接受，代理服务器再建立与实服务器的连接。由于它作用于应用层，故可利用各种安全技术，如身份验证、日志登录、审计跟踪、密码技术等，来加强网络安全性，解决包过滤所不能解决的问题。

1.5 严格定义功能模块，分散实现
防火墙由各种功能模块组成，如包过滤器、代理服务器、认证服务器、域名服务器、通信监控器等。这些功能模块最好由路由器和单独的主机实现，功能分散减少了实现的难度，增加了可靠程度。
1.6防火墙维护和管理方案的考虑
防火墙的日常维护是对访问记录进行审计，发现入侵和非法访问情况。据此对防火墙的安全性进行评价，需要时进行适当改进，管理工作要根据网络拓扑结构的改变或安全策略的变化，对防火墙进行硬件和软件的修改和升级。通过维护和管理进一步优化其性能，以保证网络极其信息的安全性。
2.一种典型防火墙设计实例——数据包防火墙设计
数据包过滤防火墙工作于DOD ( Department of Defense)模型的网络层，其技术核心是对是流经防火墙每个数据包进行行审查，分析其包头中所包含的源地址、目的地址、封装协议(TCP， UDP、ICMP， IP Tunnel等)、TCP/UDP源端口号和目的端口号、输人输出接口等信息，确定其是否与系统预先设定的安全策略相匹配，以决定允许或拒绝该数据包的通过。从而起到保护内部网络的作用，这一过程就称为数据包过滤。
本例中网络环境为：内部网络使用的网段为192.168.1.0， eth0为防火墙与Internet接口的网卡，eth1为防火墙与内部网络接口的网卡。
数据包过滤规则的设计如下：
2.1与服务有关的安全检查规则
这类安全检查是根据特定服务的需要来决定是否允许相关的数据包被传输.这类服务包括WWW， FTP， Telnet， SMTP等.我们以WWW包过滤为例，来分析这类数据包过滤的实现.
WWW数据包采用TCP或UDP协议，其端口为80，设置安全规则为允许内部网络用户对Internet的WWW访问，而限制Internet用户仅能访问内部网部的WWW服务器，(假定其IP地址为192.168.1.11)。
要实现上述WWW安全规则，设置WWW数据包过滤为，在防火eth0端仅允许目的地址为内部网络WWW服务器地址数据包通过，而在防火墙eth 1端允许所有来自内部网络WWW数据包通过。
 #Define HTTP packets
 #允许Internet客户的WWW包访问WWW服务器
/sbin/ipchains-A input -p tcp -s 0.0.0.0/0 1024: -d 192.168.1.11/32 www -i eth0 –j ACCEPT
 /sbin/ipchains-A input -p tcp -s 0.0.0.0/fl 1024:-d 192.168.1.11132 www -i eth0 –j ACCEPT
 #允许WWW服务器回应Internet客户的WWW访问请求
 /sbin/ipchains-A input-ptcp -s192.168.1.11/32www:-d 0.0.0.0/0 1024:-i ethl –j ACCEPT
 /sbin/ipchains-A input -p udp -s 192.168.1.11 /32www:-d 0.0.0.0/0 1024:-i eth1 –j ACCEPT
 显然，设置此类数据过滤的关键是限制与服务相应的目地地址和服务端口。
 与此相似，我们可以建立起与FTP， Telnet， SMTP等服务有关的数据包检查规则；
2.2与服务无关的安全检查规则 www.qiqi8.cn 778论文在线
    这类安全规则是通过对路由表、数据包的特定IP选项和特定段等内容的检查来实现的，主要有以下几点：
①数据包完整性检查(Tiny Fragment ):安全规则为拒绝不完整数据包进人Ipchains本身并不具备碎片过滤功能，实现完整性检查的方法是利用REDHAT，在编译其内核时设定IP ； always defrayments set to‘y’。 REDHAT检查进人的数据包的完整性，合并片段而抛弃碎片。
 ②源地址IP ( Source IP Address Spoofing)欺骗:安全规则为拒绝从外部传输来的数据包伪装成来自某一内部网络主机，以期能渗透到内部网络中.要实现这一安全规则，设置拒绝数据包过滤规则为，在防火墙eth0端拒绝1P源地址为内部网络地址的数据包通过。  
 ③源路由(Source Routing)欺骗:安全规则为拒绝从外部传输来的数据包包含自行指定的路由信息，实现的方法也是借助REDHAT的路由功能，拒绝来自外部的包含源路由选项的数据包。
总之，放火墙优点众多，但也并非万无一失。所以，安全人员在设定防火墙后千万不可麻痹大意，而应居安思危，将防火墙与其他安全防御技术配合使用，才能达到应有的效果。 
参考文献：
张 晔,刘玉莎 . 防火墙技术的研究与探讨[J] . 计算机系统应用, 1999 
王丽艳 . 浅谈防火墙技术与防火墙系统设计 . 辽宁工学院学报 . 2001
郭伟 . 数据包过滤技术与防火墙的设计 .  江汉大学学报 . 2001
Anthony Northup.  NT Network Plumbing: Routers, Proxies, and Web Services [M]. 
New York: IDG Books Worldwide, 1998.
 (美)Chris Hare Karanjit Siyan . Internet防火墙与网络安全 . 北京:机械工业出版社,1998

    

上一页  [1] [2]