边界防火墙技术在网络安全中应用

科裂诺岳信Ｉ息ｉ科Ｉ学

边界防火墙技术在网络安全中应用

国增平李艳玲

（大庆驻哈尔滨办事处（哈尔滨大庆宾馆），黑龙江哈尔滨１５０００１）

摘要：边界防火墙是现在网络安全防护中最普遍的安装方式，这里主要结合贵州省信息中心的网络进行研究。

关键词：边界防火墙；网络安全；安全需求

前言

边界防火墙是现在网络安全防护中最普遍的安装方式，这里主要结合贵州省信息中心的网络进行研究。目前，贵州省信息中心的网络建设已有一定规模，随着信息化建设的发展，网络在单位的工作中已逐渐成为不可缺少的一个工作环境。随着］ｎｔｅｍｅｔ的发展，贵州省信息中心也很早就建成了自己的Ｉｎｔｅｍｅｔ站点，对外进行信息发布。在网络的使用和发展中，网络的安全隐患越来越严重，并且影响了网络的正常运行。所以，网络安全问题逐步被提升到一个重要位置上来。

１安全需求分析

贵州省信息中心网络于２００１年开始建设并投入使用，中间经过了几次大的改造，目前所使用的网络于２００４年底建成，节点主要分布在２栋大楼内，共有各型计算机２００余台，其中包括了一个拥有２０余台服务器和２０台微机的中央机房。所有机器均接入Ｉｎｔｅｍｅｔ。

图１改造前的网络

１．１服务器操作包括ＷＩＮＤＯＷＳ２０００ＳＥＲＶＥＲ和ＬＩＮＵＸ及两台小型机所使用的ＨＰ—ＵＸ，各种ＰＣ则主要使用的是ＷＩＮ—ＤＯＷＳ２０００、ＷＩＮＤＯＷＳＸＰ操作系统，由于其中很多计算机没有及时升级补丁，存在大量安全漏洞。

１．２服务器缺乏安全保障，没有添加防火墙，完全暴露在外部攻击范围之内。随着黑客活动的频繁发生，２００２年共有３０余次网页被修改的事件发生。

１．３随着红色代码、ＮＩＭＤＡ病毒和ＤＯＳ攻击的增加，网络的负担加重，使网络速度大副降低，甚至造成网络中断。

１．４随着计算机数目的增加，我们所拥有的一个Ｃ类公网地址也显得较为紧张，也需要进行重新分配。

为解决网络中存在的安全隐患，保障网络及信息的安全。设计了以下的网络安全解决方案，以解决现有的网络安全问题。

２设计思想与原则

网络安全是一个必须解决的重要问题，将防火墙合理接人现有网络也是一个非常复杂的问题。要考虑到安全层次、技术难度、经费支出及性能价格比等诸多因素。所以在设计时我们应该遵循如下设计思想：

２．１在确保可用性的前提下，尽可能地提

高系统的安全性。

２．２保持网络原有的性能特点，即对网络

和传输具有透明性。

２．３易于操作、维护，便于自动化管理，尽

量减少附加操作。

２．４进一步完善网络拓扑结构，使之在安

全性能上得到提高和改进，并便于系统结构和

功能的扩展。

２．５具有较好的性能价格比，一次性投资，

可以长期使用。

２．６安全产品具有合法性，并便于安全管

理单位的检查和监督。

遵循的原则有以下几点：

２．６．１综合性、整体性原则。防火墙的引入

应该体现系统运行和管理的统一性。提高整个

系统的安全性以及系统中各个部分之间的严密

的安全逻辑关联强度，以保证组成系统的各个

部分协调一致的运行。

２．６．２先进性与成熟性。防火墙应选择成

熟，通过国家安全部门检测的产品，同时还要考

虑其先进性。

２．６．３可用性。防火墙的引入及运行，不应

成为网络通信的“瓶颈”。

２．６．４可管理性与扩展性。选用的防火墙应

易于管理，而且支持通过现有网络对网上的安

全设备进行安全地统一管理、控制，能够在网上

监控设备的运行状况，进行实时的安全审计。

２．６．５在制定安全策略时还要注意遵循最

小特权原则、纵深防御原则、阻塞点原则、最薄

弱链接原则和失效保护状态原则。

３安全策略

对于其安全策略，我们认为应从四部分加

以考虑：网络安全、主机安全、数据安全、人员安

全。但本章主要介绍防火墙的应用，因此主要侧

重防火墙的策略。

３．１内部网络资源严禁外网访问，且提供

向外部的访问服务，由于便于对单位的内网计

算机进行管理和维护，所以对内网计算机实施

了ＭＡＣ地址与ＩＰ地址的绑定。

３．２ＮＡＴ（网络地址转换）方式隐藏内部网

络结构。防火墙提供的网络地址转换功能不仅

可以隐藏内部网络地址信息，使外界无法直接

访问内部网络设备，同时，它还帮助网络可以超

越地址的限制，合理地安排网络中的公有Ｉｎ—

ｔｅｍｅｔ地址和私有ＩＰ地址的使用。通过ＮＡＴ功

能，防火墙系统可以帮助采用私有地址的内部

网用户顺利的访问Ｉｎｔｅｍｅｔ的信息资源，不但不

会造成任何网络应用的阻碍，同时还大量节省

了网络地址资源。

３．３ＶＬＡＮ的划分，信息中心网络均采用

以太网技术，为更好地保证局域网的安全和稳

定，在网络划分上使用了ＶＬＡＮ技术。将整个

内部网络划分成为了２个网络，提供各自不同

的出口，相互之间不可进行互访。

３．２实施方案

在对上述方案进行实施时，我们将整个方

案分成了几个阶段来实施：

３．２．１实施主机安全策略，做到最基本的主

机安全防护。

３．２．２重新整和现有网络系统，将原来的网

络结构调整成能够进行安全系统升级的网络结

构。

３．２．３安装适合自身需求，性价比较高的防

火墙，实施网络安全策略。

３．２．４调整网络主机，实现管理，数据备份

等工作。

３．３实际情况

本文在贵州省信息中心所使用的防火墙

为高阳信安公司推出的ＤＳ２０００－Ｂｉｚ。在网络改

造完成后，将网络和防火墙连接完毕后，根据前

面所提到的配置方案，其配置的安全策略如下：

３．３．１通过控制界面，首先进行防火墙基础

信息的设置。

３．３．２对网络地址转换进行设置，本网络涉

及的网络地址转换包括两部分：动态地址转换

和静态地址转换，动态地址转换应用于内部网

络的对外访问用出口，静态地址转换则主要应

用于停火区的服务器地址的映射。

３．３．３将应用于整个网络的安全策略添加

到防火墙的安全策略列表中。实现防火墙的防

护功能。

３．３．４性能测试。分别用ＩＳＳ、ｓＡＩＮＴ扫描、

ＳＹＮ攻击、ＩＰ碎片攻击等进行模拟攻击，服务

器正常工作，且没有发现漏洞。防火墙的状态监

测也清楚地看到每一次攻击行为。

最后进行吞吐量、延时、包丢失率等各项

测试，全部通过。

参考文献

『１１肖捷．防火墙技术与防火墙系统设计『Ｊ１．计算

机应用，１９９９，１９（６）：１１—１９．

ｆ２１林晓东，杨义先，马严等．Ｉｎｔｅｍｅｔ防火墙系统

的设计与实现【Ｊ】．通信学报，１９９８，９（１）：１２—３１．

［３］李海泉．计算机网络防火墙的体系结构［Ｊ】．微

机与应用，２０００，２：２０１．

『４１４洪浩．防火墙技术在网络安全中的实际应用

Ⅲ．网络安全与防火墙，２００４，１ｌ，７（３）：３３—４２．

［５］阎慧，王伟，宁宇鹏．防火墙原理与技术［Ｍ】．西

安：机械工业出版社，２００３，３６—１１０．

一６８—　万方数据