孟范立

摘要：在網絡中防火墻是主要的安全設備之一，它以其強大的功能保障網絡安全，由于防火墻所處的位置不同，其所發(fā)揮的作用不盡相同，因此根據不同的網絡安全需要，以及路由器、交換機的端口類型，如何選擇防火墻的端口連接方式變得尤為重要，本文詳細闡述了在網絡安全與連接中防火墻的部署與連接方式。

關鍵詞：網絡安全；防火墻；服務器；設計；連接

中圖分類號：TP393 文獻標識碼：A 文章編號：1009-3044（2015）12-0037-02

Based on The Deployment of The Network Firewall Security Design and Connection

MENG Fan-li

（Jilin Vocational College of Industry and Technology， Jilin 132013， China）

Abstract： In the network firewall is one of the major safety equipment， it with its powerful functions of security network security， because the location of the firewall is different， its role is not the same， so according to the different network security needs， as well as routers， switches， port type， how to select firewall port connection is particularly important， this paper expounds on the deployment of firewall in the network security and connected with the connection.

Key words： network security； firewall； server； design； connection

網絡安全規(guī)劃與設計主要是針對網絡安全設備而言，而網絡設備種類非常多，不同安全設備的應用位置也有所不同，如果部署不正確不僅起不到任何保護作用，而且可能造成網絡瓶頸，影響網絡傳輸效率。另外，如果根據安全需要選擇合適的安全產品也是非常重要的問題。防火墻通常部署與網絡的邊界。當然，邊界可以是局域網與廣域的、局域網與Internet 的、不同子網之間，以及子網與服務器之間的邊界等。

1 內部網絡與Internet的連接之間

這是一種應用最廣，也是最重要的防火墻應用環(huán)境。在這種應用環(huán)境下，防火墻主要保護內部網絡不遭受非法用戶的攻擊。目前絕大多數企業(yè)網絡，安裝防火墻的主要目的就在于此。在這種應用環(huán)境中，一般情況下，防火墻網絡可劃分為3個不同級別的安全區(qū)域，如表1和圖1所示。

在這三個區(qū)域中，用戶需要對不同的安全區(qū)域給予不同的安全策略。雖然內部網絡和DMZ區(qū)域都屬于企業(yè)內部網絡的一部分，單它們的安全級別（策略）是不同的。對于要保護的大部分區(qū)域，因需為互聯網應用提供相關的服務，所以在一定程度上，沒有內部網絡限制那么嚴格，如Web服務器通常是允許任何人進行正常訪問的。那么，這些服務器是很容易被攻擊的。由于在這些服務器上所安裝的服務非常少，所允許的權限非常低，真正的服務器數據的是在受保護的內部網絡主機上。所以，黑客攻擊這些服務器沒有任何意義，即不能獲取什么有用的信息，也不能通過攻擊它而獲得過高的網絡訪問權限。可以通過NAT（網絡地址裝換）技術將受保護的內部網絡得全部主機地址映射成防火墻上設置的少數幾個有效公網IP地址，這樣有兩個好處，一是可以對外屏蔽內部網絡和IP地址，保護內部網絡的安全；二是因為公網IP地址共用所以可以大大節(jié)省公網IP地址的使用，節(jié)省了企業(yè)投資成本。

2 連接局域網和廣域網

局域網和廣域網之間的連接是應用防火墻最多的網絡，不過網絡用戶根據自己具體需要的不同，有兩種連接方式可供選擇。

如果用戶網絡原來已存在邊界路由器，則可充分利用原有設備，利用邊界路由器的包過濾功能，添加相應的防火墻配置，這樣原來的路由器也就具有防火墻功能了。然后在利用防火墻與需要保護的內部網絡相連接。對于DMZ區(qū)域中的公用服務器，則可直接與邊界路由器相連，不用經過防火墻，它可以只經過路由器的簡單防護。在這種網絡環(huán)境中，邊界路由器與防火墻一起組成了兩道安全防線，如圖2所示，并且在這兩者之間可以設置一個DMZ區(qū)域，用來放置那些允許外部用戶訪問的公用服務器設施。

如果用戶網絡中不存在邊界路由器，則此時直接由防火墻來保護內部網絡，如圖3所示。此時DMZ區(qū)域和需要保護的內部網絡分別連接防火墻的不同LAN網絡接口，因此，需要對這兩部分網絡設置不同的安全策略。這種網絡中雖然只有一道安全防線，但對于大多數中小企業(yè)來說是完全可以滿足的。不過在選購防火墻時就需要注意，防火墻一定要有兩個及以上的LAN網絡接口。

3 內部網絡不同部門之間的連接

這種應用環(huán)境就是在一個企業(yè)內部網絡之間，對一些安全性要求較高的部門（如人事管理或財務管理等）進行隔離保護，通過防火墻保護內部網絡中敏感部門的資源不被非法訪問，在這些部門網絡主機中的數據對于企業(yè)來說是非常重要的，因為它不能完全脫離企業(yè)網絡，但其中的數據又不能隨便提供給企業(yè)網絡中的用戶訪問。這時有幾種解決方案通常是采用VLAN配置，但這種方法需要配置三層及以上交換機，同時配置方法較為復雜。另一種有效的方法就是采用防火墻進行隔離，在防火墻上進行相關的配置（比起劃分VLAN來簡單許多）。

通過防火墻隔離后，盡管同屬于一個內部局域網，但是其他用戶的訪問都需要經過防火墻的過濾，符合條件的用戶才能訪問。這類防火墻通常不僅通過過濾來篩選數據包，而且還要對用戶身份的合法性（在防火墻中可以設置允許哪些用戶訪問）進行識別。通常為自適應代理服務器型防火墻，這種防火墻方案還可以有日志記錄功能，對網絡管理員了解網絡安全現狀及改進非常重要。在如圖4所示的網絡中，同是一個企業(yè)的內部網絡，可以將需要受到保護的重要部門和一些服務器通過防火墻連接至其他網絡。

4 用戶與中心服務器之間的連接

對于一個服務器中心而言，大多數服務器都需要對第三方（合作伙伴或互聯網用戶等）開放，但是所有這些服務器分別屬于不同用戶所有，其安全策略也各有不同，如果把它們都定義在同一個安全區(qū)域中，顯然不能滿足各用戶的不同需求。這時，就可以按不同安全策略保護這些服務器，根據實施方式的不同又可以分為以下兩種網絡環(huán)境。

1）每臺服務器單獨配置獨立防火墻

此種方法是最容易實現也是最直觀的，但這種方案無論從經濟上，還是從使用和管理的靈活可靠性上都不是最好的。它需要購買與托管代理服務器數據一樣多的防火墻，對托管中心來說投資非常大，而且托管中心管理員面對這么多防火墻，其管理難度比較高。

2）配置虛擬網絡防火墻

這主要是利用三層交換機的VLAN功能，先在三層交換機上將有不同安全要求的服務器劃分至不同的VLAN。然后，借助對高性能防火墻模塊的VLAN子網配置，將防火墻劃分為多個虛擬防火墻，如圖5所示。這種方案雖然配置較為復雜，但是，一旦配置完成，以后的使用和管理將相當方便，就像用交換機管理多個VLAN子網一樣來管理每個用戶服務器，而且該方案在現實中比較經濟可行。

借助三層交換機或路由器內置的防火墻模塊，也可以為不同的用戶VLAN配置不同的安全策略，從而將網絡攻擊限制在不同的VLAN中，從而保證整個企業(yè)網絡的安全。

參考文獻：

[1] 石炎生，等.計算機網絡工程實用教程[M]. 2版.北京：電子工業(yè)出版社，2011.

[2] 戴蓮芬.基于智能防火墻的網絡安全設計[J].信息安全與技術，2011（4）.

[3] 許諾全.基于防火墻技術的網絡系統(tǒng)安全設計[J].網絡安全技術與應用，2014（5）.

[4] 王博立.計算機網絡的安全設計與系統(tǒng)化管理[J].信息技術與信息化，2014（10）.

[5] 孫亞志.基于防火墻的網絡邊界安全的設計與實現[J].科技資訊，2010（7）.

[6] 賈志高. 基于防火墻和網絡入侵檢測技術的網絡安全研究與設計[J].甘肅科技，2009（18）.

[7] 趙平. 基于防火墻日志的網絡隔離安全審計系統(tǒng)設計與實現[J].計算機應用研究，2007（7）.

[8] 石淑華，池瑞楠.編計算機網絡安全技術[M]. 3版.北京：人民郵電出版社，2012.