防火墻在企業網絡中的應用和實現

摘 要：計算機網絡技術在飛速發展中，尤其是互聯網的應用變得越來越廣泛，在帶來了前所未有的海量信息的同時，網絡的開放性和自由性也產生了公司信息數據被破壞或侵犯的可能性，網絡信息的安全變得日益重要。文章主要闡述了網絡安全技術所要受到的各方面威脅以及自身存在的一些缺陷。然后通過本企業中的一個簡單應用來闡述防火墻在企業網絡安全中的重要作用。

關鍵詞：計算機網絡；網絡安全；防范措施；防火墻技術

1 網絡安全概述

隨著計算機和網絡的飛速發展，企業也通過信息技術實現無紙化辦公，通過OA、Email進行文件的收發，電子商務，網絡視頻會議等商業活動。要保護計算機和網絡免受網絡威脅的攻擊，就需要我們采取措施來保護自己的網絡免受威脅。防火墻是設置在被保護網絡和外部網絡之間的一道屏障，以防止潛在破壞性的入侵。

1.1 網絡安全需求分析

各企業不同的物理環境和不同的業務應用將決定各個企業不同的網絡拓撲、不同的信息系統、不同的數據訪問方式，產生不同的信息資產，具有不同的脆弱性，面臨不同的威脅。企業進行網絡安全建設，需要根據實際情況進行分析，通常考慮以下幾點：

（1）盡可能保證網絡不存在漏洞和不安全的系統配置；（2）網絡系統能阻止來自外部入侵攻擊的行為和防止內部員工的違規操作或誤操作的行為；（3）企業網絡與外界網絡具有安全邊界，保證良好的安全隔離；（4）企業廣域網無論使用哪種方式的廣域互聯線路，都應保證數據傳輸過程的安全，防止重要信息泄露或被修改；（5）保證企業內部重要數據的安全，防止泄密；（6）保證桌面安全；（7）保證網絡安全的可管理性。

1.2 常見攻擊方法

網絡攻擊，發展到現在的SQL注入、網絡釣魚、跨站攻擊、溢出漏洞、拒絕服務攻擊以及Rootkit。網絡變得十分脆弱，一方面因為威脅變得越來越復雜，另一方面因為實施這些威脅所需要的知識越來越簡單。

2 防火墻原理和設計

2.1 防火墻的定義

防火墻（Firewall）是指設置在不同網絡（如可信任的企業內部網和不可信的公共網）或網絡安全域之間實現訪問控制的一臺專屬的硬件或是架設在一般硬件上的一套軟件。它是一道“門檻”，能有效的把互聯網與內部網隔開，且本身具有較強的抗攻擊能力。它能增強企業內部網絡的安全性，用于加強網絡間的訪問控制，防止外部用戶非法使用內部網的資源，保護內部網絡的設備不被破壞，防止內部網絡的敏感數據被竊取

2.2 防火墻的體系結構

防火墻的體系結構一般可以分為以下幾種：

（1）雙重宿主主機體系結構：又稱為雙重宿主網關或應用層網關，它不允許網絡間有直接的數據傳遞，而是以雙重宿主主機作為數據轉發的中轉站。雙重宿主主機是一個具有兩個網絡界面的主機，每一個網絡界面與它所對應的網絡進行通信，它既能作為服務器接收外來請求，又能作為客戶轉發請求。一般在雙重宿主主機上安裝代理服務器軟件，可為不同的服務提供轉發，并同時根據策略進行過濾和控制。

（2）屏蔽主機防火墻：由包過濾路由器和堡壘主機組成，內部網不能直接通過路由器與Internet相聯系，數據報要通過路由器和堡壘主機兩道防線。堡壘主機安裝在內部網絡上，通過路由器與Internet相連。使用一個路由器把內網和外網隔離開，主要的安全由數據包過濾提供。體系結構中包括堡壘主機，是Internet上的主機能連接到的唯一的內部網絡上的系統。在屏蔽路由器上設置數據包過濾策略，讓所有的外部鏈接只能達到內部堡壘主機。

（3）屏蔽子網體系結構：將額外的安全層添加到被屏蔽主機體系結構，即通過添加周邊網絡更進一步地把內網和外網隔離。周邊網絡=被隔離的獨立子網，充當內網和外網的緩沖區，即DeMilitarized Zone（DMZ）。最簡單形式是兩個屏蔽路由器，一個位于周邊網絡與內部網絡之間，另一個位于周邊網絡與外部網絡之間。有時屏蔽子網中還設有一個堡壘主機作為唯一可訪問點，支持終端交互或作為網關代理。

3 方案設計與實現

3.1 項目背景

XX公司主干網絡系統包括環形的千兆的核心網、千兆鏈路連接的分支節點和網絡邊界。其中千兆鏈路主要承載整個公司信息系統的跨節點的信息交換傳輸工作，為各種應用系統的數據流提供高速網絡通訊支持。

3.2 項目配置

公司采用了PIX535防火墻作為出口，PIX防火墻主要實現以下兩個功能：一是將內網中不同的職能部門私有網絡通過防火墻做邏輯隔離，將內網IP轉換為Internet公網IP，從而實現內網主機可以訪問Internet。二是允許互聯網用戶訪問公司有關部門發布的官方網站，從而實現公司多臺服務器通過一條線路為Internet提供各種服務。

（1）防火墻接口參數的配置：

（2）各個部門IP地址規劃：

（3）配置要求：將營銷部的所有內網IP179.5.17.0通過防火墻轉換為互聯網IP202.10.65.254，使得部門4的所有內網主機都可以訪問互聯網。互聯網的網關IP地址為202.10.65.1；創建內部IP地址179.5.5.11和互聯網IP地址202.10.65.250之間的靜態映射，使得內網服務器利用公網IP向互聯網用戶提供WWW服務。

（4）實現：通過命令行實現配置要求。

3.3 方案測試

（1）NAT配置測試。通過配置NAT后，即使客戶端是內網地址，也可以正常上網。

（2）安全性測試。通過配置防火墻后，外網主機是無法掃描到內部主機，極大提高了網絡的安全性：用192.168.1.44模擬外部主機地址，192.168.1.43模擬防火墻內一臺DMZ里面具有系統漏洞的主機。在未開啟防火墻之前，用x-scan進行掃描，發現漏洞：這樣黑客就可以通過漏洞進行主機的攻擊。開啟防火墻之后，黑客根本無法發現這臺主機的存在，更掃描不了漏洞，極大提高了安全性。

4 結束語

防火墻通過一定的策略和相關的隔離技術，實現了內部網絡和外部網絡的分離，最大限度阻止了黑客的攻擊、能夠有效紀錄Internet上的活動，限制內外網的節點用戶數，將可疑行為拒絕門外。一個安全網絡不僅要在出口上下功夫，我們還需要在內網安裝IPS，IDS等安全設備，來補缺防火墻的局限性。

參考文獻

[1]蕭文龍.企業網絡安全[M].中國鐵道出版社，2001.

[2]王睿，林海波，等.網絡安全與防火墻技術應用大全[M].清華大學出版社，2000.

[3][美]Keith E.Strassberg Richard J.Gondek.防火墻技術大全[M].機械工業出版社，2003.