局域網防火墻技術分析及典型配置

摘 要：本文主要介紹了局域網中防火墻的功能特點，重點分析了防火墻的技術類型，主要有包過濾技術、代理技術、狀態檢測技術，最后介紹了典型防火墻配置，即三網口透明模式、三網口混合模式。

關鍵詞：防火墻 局域網 網絡安全

中圖分類號：TP393.1 文獻標識碼：A 文章編號：1672-3791（2013）02（a）-0031-01

隨著網絡安全重要性日益提升，防火墻作為網絡防御技術的重要手段廣泛應用于網絡工程中。防火墻通常部署于網絡之間，通過訪問控制策略來保護網絡通信安全。（圖1）

1 防火墻的主要功能

防火墻配置于信任程度不同的網絡之間，是軟件或硬件設備的組合，它對網絡之間的通信進行控制，通過強制實施統一的安全策略，防止對重要信息資源的非法存取和訪問，從而保護目標系統的安全。防火墻的主要功能如下。（1）防御攻擊。防火墻通過設置過濾規則，禁止有安全隱患的服務，防止非授權用戶進入內部網絡，極大提高了內網的安全性。（2）強化內網安全管理。利用防火墻的網絡管理功能可對內部網絡進行網段劃分，區分不同的網絡分組來制定訪問規則。（3）實現網絡地址轉換。防火墻的NAT技術，可以將內網地址映射到公網地址，實現解決公網地址不足和隱藏內網結構的目的，降低來自外網安全威脅，同時主機IP地址配置不用做大的變動，僅需要配置網關即可。

2 防火墻技術的主要類型

目前，防火墻技術主要包括：包過濾技術、應用代理技術、狀態檢測技術等。

（1）包過濾技術。包過濾型防火墻工作在OSI網絡參考模型的網絡層和傳輸層，它根據數據的包頭源地址、目的地址、端口號和協議類型來過濾信息。當一個數據包滿足過濾規則，則允許此數據包通過。（2）應用代理技術。應用代理型防火墻工作在OSI網絡參考模型的最高層，即應用層。通過對每種應用服務使用特定的代理程序，實現監視和控制應用層信息流的作用。（3）狀態檢測技術。狀態檢測技術采用基于連接的檢測機制，將屬于同一連接的所有包作為一個整體的數據流來對待，構成連接狀態表，通過規則表與狀態表的共同配合，對表中的各個連接狀態加以識別。狀態檢測技術是包過濾技術的延伸，使用各種狀態表來追蹤活躍的TCP會話。由用戶定義的訪問控制列表決定充許建立哪些會話，只有與活躍會話相關聯的數據才能通過防火墻。

3 防火墻典型應用環境

3.1 三網口透明模式（圖2）

三網口透明模式中，網絡IP地址屬于同一網段，劃分為三個區段。內部局域網區段的地址是 10.10.10.1～50/24；DMZ網絡區段的地址是10.10.10.100～150/24；fe2所連網絡區段的地址是 10.10.10.200～254/24。DMZ提供WWW、MAIL、FTP等服務。防火墻fe1、fe2、fe3工作在透明模式。區段間的安全策略是：允許內部網絡區段訪問DMZ區段和外網的http、smtp、pop3、ftp服務，允許外網區段訪問DMZ網絡的http、smtp、pop3、ftp服務。外網對DMZ的訪問做深度防護檢測，其他的訪問都不做深度防護檢測。

3.2 三網口混合模式（圖3）

三網口混合模式中，局域網和DMZ屬于同一網段，其中局域網的IP地址是10.10.10.2～50/24；DMZ網絡區段的IP地址是10.10.10.100～150/24。DMZ提供WWW、MAIL、FTP等服務。外網地址是202.100.100.0/24。防火墻fe1、fe3工作在透明模式，fe2工作在路由模式。區段間的安全策略是：允許局域網訪問DMZ和外網，允許外網訪問DMZ，其他的訪問都禁止。

4 結語

防火墻是實現網絡安全、防御網絡入侵的重要手段，通過對內、外網之間的通信進行檢測，從而有效地保護內部網絡資源，也可以限制內部網絡對某些外部信息的訪問。必須強調，網絡安全僅僅依靠防火墻技術是不夠的，還需結合其他技術全面考慮。

參考文獻

[1]許偉，廖明武.網絡安全基礎教程[M].北京：清華大學出版社，2009.

[2]吳灝.網絡攻防技術[M].北京：機械工業出版社，2010.