防火墻在局域網中的部署與實現

摘 要：本單位局域網建成于2004年，隨著網絡安全管理的不斷加強，對于本單位的局域網也進行了整改。首先實現了內外網絡的物理隔離，其是進一步完善內部網絡和外部網絡的網絡安全部署。局域網的防病毒策略、硬件防火墻的部署為主要側重點。硬件防火墻部署在外部網絡的接入口處。文章主要針對于部署防火墻的實例進行分析。

關鍵詞：網絡安全；防火墻；局域網

1 防火墻的介紹

防火墻作為網絡安全管理的首選工具，已經在網絡安全領域得到了廣泛的應用。防火墻技術也成為該領域的的關注焦點。防火墻的主要作用就是對不信任的外部網絡的訪問進行訪問控制，更好的保護內部網絡的安全穩定運行。也可以視為對于內部不同網絡之間的訪問控制工具。

防火墻的部署方案：

防火墻的工作模式有：透明模式、路由模式以及混合模式。

（1）路由模式是指網絡衛士防火墻類似于一臺路由器轉發數據包，將接收到的數據包的源MAC地址替換為相應接口的MAC地址，然后轉發。和路由器一樣，網絡衛士防火墻的每個接口均要根據區域規劃配置IP地址。

（2）透明模式是指，網絡衛士防火墻的所有接口均作為交換接口工作。即對于同一VLAN的數據包在轉發時不作任何改動，包括IP和MAC地址，直接把包轉發出去。同時，網絡衛士防火墻可以在設置了IP的VLAN之間進行路由轉發。

（3）混合模式是前兩種模式的混合。也就是說某些區域（接口）工作在透明模式下，而其他的區域（接口）工作在路由模式下。該模式適用于較復雜的網絡環境[2]。

2 網絡規劃

由于防火墻要部署在已運行的局域網中，此時防火墻的部署往往要求盡可能地少改動或禁止改動各節點的網絡屬性，如網絡拓撲結構、網絡設備地址等，同時要求防火墻的接入對現網絡的通信影響為最低。為此防火墻的部署采用了透明模式。

根據外網用戶的需求及外網內各類服務器的需求實現訪問控制管理。具體部署如圖1。

3 實現訪問控制功能

根據業務需求及安全策略的考慮主要對以下進行配置。根據現局域網網絡部署及安全管理要求，接口模式采用交換接口模式。外網局域網中主要進行資源管理的有外網路由器、外網web服務器及防火墻。為了便于管理外網IP地址從新更換了網段地址。

3.1 訪問控制

訪問控制規則主要針對于局域網中客戶端允許或禁止訪問控制規則的報文通過或僅記錄為符合規則的連接信息等。

本地主要配置的訪問控制規則有：

（1）限制訪問路由器的用戶。通過MAC地址、IP地址來限制訪問和管理路由器的用戶。同時禁止外部網絡用戶訪問路由器。

（2）不限制內部用戶訪問web服務器，但禁止外部任何地址對web服務器的訪問。

（3）限制訪問防火墻的用戶。通過MAC地址、IP地址來限制訪問和管理防火墻的用戶。同時禁止外部網絡用戶訪問防火墻。

（4）針對于普通訪問外網用戶，不做限制。禁止外網的任何地址訪問到內網客戶端。

3.2 入侵防御

入侵防御部分也主要針對路由器、web服務器、防火墻等進行了配置。

3.3 內容過濾

根據常用的網絡服務及協議，對于ftp服務、smtp服務、tftp服務、http服務、pop3、sqlnet、telnet等應用協議及端口進行綁定、配置。

3.4 阻斷策略

通過阻斷策略可實現簡單的二、三層的訪問控制。如果沒有匹配到任何策略，則會依據默認規則對該報文進行處理。

3.5 日志與報警

根據單位實際業務運行情況，對于日志及報警信息進行存儲。以備于查詢。

4 結束語

網絡安全衛士防火墻接入運行以來，對于內部網絡的網絡安全起到了決定性作用。作為一種安全審計設備對訪問內部業務系統及信息進行了合法授權和有效控制。對于提升本單位信息網絡安全及保密管理等方面有著不可忽視的“墻”的作用。

參考文獻

[1]華蓓，蔣凡，史杏榮，等.計算機安全[M].人民郵電出版社，2003.

[2]網絡衛士防火墻系統.NGFW4000-UF系列產品說明[Z].

[3]王秀翠，王彬.防火墻技術在計算機網絡安全中的應用[J].軟件導刊，2011（5）.