計算機網絡防火墻的安全設計及應用

胡偉強 胡麗芳

【摘要】 防火墻是一種虛擬的網絡隔離技術，當前防火墻技術已經發展到第五代，更加完善，對于提高計算機網絡應用安全性具有重要作用。

【關鍵詞】 防火墻 計算機網絡

一、計算機網絡防火墻安全結構設計

基于LINUX防火墻方案愛設計提高系統安全性、可靠性，設計系統分為基本功能、輔助功能以及增強功能。根據某單位實際軟硬件環境，開發滿足要求的防火墻系統。防火墻實現需要滿足主機安全保護和良好人際界面基礎，方便操作和管理。

考慮到現有硬件的顯示，簡化試驗環境，基于主機設計，在Linux環境下采用C語言實現，界面設計和數據庫的聯接通過Kylix開發工具實現。防火墻包括用戶端、以太網和系統服務器三個端口，內網同時能夠實現訪問功能，但是外網訪問會受到限制。

防火墻通過三端口實現，采用兩個獨立網卡，一個主要針對服務器安全，另外一個實現數據交換。防火墻代理系統的實現方式能夠保證用戶信息的安全傳遞。所采用的操作系統為嵌入式操作系統，方便修改和裁剪，而且安全性能較高，是比較理想的軟件設計平臺。

二、計算機網絡的安全保障實現路徑

防火墻設計模塊分為數據路、包過濾、身份認證等模塊。鏈路層建立在物理層傳輸能力基礎上，位于內外網之間，包括IP、ARP和RARP協議，其中IP協議實現數據傳輸，ARP和RARP模塊實現地址信息的接受。在防火墻系統實現中，需要配置硬件，設置intranet內部網址，同時配置相應的軟件地址。主要復制內核文件，busybox-1.18.5 linux linux-3.0.1.tar.bz。復制到源代碼目錄并命名為.config，root@server56 src]# cd linux-3.0.1；/boot/config-2.6.18-164.el5. /.config。進入編譯配置界面，使用make命令編譯內核，[root@ server56 linux-3.0.1] # make，makemake modules_install。將內核信息寫入grub中，重新啟動系統。命令brcfg_era 調用： br_forward 模塊。

身份認證模塊并不具有靈活性，該設計系統比較適合小型單位，因此在設計中，需要設計用戶自制，錄入用戶資源信息，對內部成員實現用戶認證，需要解決身份認證和記錄問題。

用戶認證模塊設計中， 用戶進圖模塊，判斷用戶信息，符合則進入數據庫，茍澤生成配置文件，進圖系統主控程序。

主機發起訪問，需要在數據包報頭中指明IP地址，數據包被處理時，源地址替換為防火墻出口段IP地址，同時防火墻可會出現臨時端口，回應數據到來時，外部制劑能夠看到端口號。該模塊充分利用內核模塊設計優勢，模塊初始化有con-lter實現。

在防火墻配置中，NAT和ACL是重點，ACL實現訪問控制，NAT則實現計算機訪問地址轉換。建立內部網絡和外部網絡，將PC2、Core連接起到，利用軟件進行配置。

Linux網絡協議棧按照分層設計思想，分為系統判斷、協議無關、協議實現、驅動以及無關設備驅動層。模塊驅動中，先判斷insmod，登記成功則成功插入，否則返回。檢測網絡設備名字，確定進入init-function函數，確定網卡設備是否存在，存在則進行初始化工作，存在則初始化成功。以上模塊驅動中，需要監測和初始化網絡設備，啟動時，系統能夠檢測可能存在的設備。

主要過程為啟動時，在dec-base列表上檢測網絡設備結構，采用net-dev-init函數對節點進行init函數指針，說明設備存在，設備不存在則刪除，保存信息完成初始化，系統完成內核啟動后，產生init進程，刁穎sys-setup初始化設備，啟動檢測程度，實現設備檢測。

網卡初始化函數任務為判斷該設備是夠存在，完成網卡驅動后，傳輸網絡數據，注冊ei-interrupt（）后處理服務程序結構數據。

三、安全測試

以某單位實際工作環境為背景，從外層防火墻進行分析，在測試中判斷性能質量。預期結構正向ping成功，訪問被禁止，規則不允許，實測結果征象成功，反向不同，訪問被禁止，與預測結果相一致。IP過濾規則對數據包測試，預測正向成功，反向禁止，訪問被禁止，實測結果與預期結果一致。將IP包過濾應用于FTP服務，實測結果禁止telnet訪問，允許PTP訪問，與預期結果一致。對防火墻進行攻擊測試，測試結果顯示防火墻能夠抵御絕大多數網絡攻擊，與預期結果相一致。

四、總結

總之，本文主要分析基于LINUX防火墻網絡安全設計，經過測試，防火墻能夠實現與測試工作的雙重性能，包過濾技術能夠綜合性分析數據包和應用層規則，在未來整合中能夠整合更多范疇，采用分布式設計結構，安全防護強度大大提高，管理員能夠第一事件處理相關事務。