關于計算機網絡防火墻的安全設計與應用分析

包麗麗

文章編號：2095-6835（2016）13-0073-01

摘 要：傳統防火墻的設計類似于關卡，結構簡單，維護方便，它作為一種隔離技術，允許符合身份的人進入。但是，對于一些安全級別比較高的數據信息而言，采用傳統的防火墻，外來入侵者很容易獲取到相關信息。鑒于此，在設計Linux系統防火墻時，要針對不同級別的用戶設計不同級別的防火墻。簡要分析了計算機網絡防火墻的安全設計及其應用，以期為日后的相關工作提供參考。

關鍵詞：計算機網絡；防火墻；隔離技術；網絡安全

中圖分類號：TP393.08 文獻標識碼：A DOI：10.15913/j.cnki.kjycx.2016.13.073

防火墻是一種虛擬的網絡隔離技術。目前，防火墻技術已經發展到第五代，越來越完善。為了分析計算機網絡防火墻的安全設計，基于Linux系統，以小企業為服務對象，特設計了相對簡約的Linux防火墻。本文重點分析了基于Linux防火墻的設計與實現。

1 基于Linux防火墻系統設計

基于Linux防火墻的設計提高了系統的安全性、可靠性，使設計系統具有基本功能、輔助功能和增強功能。根據某單位軟硬件的實際使用環境，要開發滿足要求的防火墻系統。防火墻功能的實現需要以主機安全保護和良好人際界面為基礎，方便操作和管理。考慮到現有硬件的顯示，需簡化試驗環境，基于主機設計，在Linux環境下采用C語言實現，界面設計和數據庫的聯接通過Kylix開發工具實現。防火墻包括用戶端、以太網和系統服務器3個端口，內網能夠實現訪問功能，但是，外網訪問會受到限制。

防火墻的功能是通過三端口實現的，它采用2個獨立網卡，一個主要針對服務器的安全，另外一個實現數據交換。防火墻代理系統的實現方式能夠保證用戶信息的安全傳遞。它采用的操作系統為嵌入式的，方便修改和裁剪，而且安全性能比較高。

2 基本構成

傳統防火墻主要有包過濾防火墻、應用代理防火墻和監測模塊。Linux系統同樣采用的是模塊化設計，以方便其日后擴展。包過濾檢測數據包主要包括數據部分和端頭，它不理會包內的信息內容。其中，包頭信息包括地址、目的地址、封裝協議、輸出端接口。包過濾防火墻將根據匹配規則對每一個包作出允許或不允許的決定。地址轉換模塊功能能夠實現靜態網絡地址轉換、端口重定向轉換等。防火墻系統分為Web管理、轉換、內核模塊等部分。在硬件設計中，考慮到系統成分，需要減少硬件凸級。在設計系統中，將Linux核心和文件系統寫入Flash中，避免硬件信息的調入，提高執行效率。身份認證模塊主要服務于內部網絡客戶端，用戶通過認證可以實現數據通信，否則客戶端需要重新發送請求。在網絡地址轉換模塊設計中，要建立映射關系，查詢轉換階段，待完成操作后解除映射關系。

3 網絡安全實現

防火墻設計模塊分為數據路、包過濾、身份認證等。鏈路層建立在物理層傳輸能力的基礎上，位于內外網之間，包括IP協議、ARP協議和RARP協議。其中，IP協議能夠實現數據傳輸，ARP協議和RARP協議主要用于地址信息的接收。在防火墻系統實現的過程中，需要配置硬件，設置Intranet內部網址，同時，配置相應的軟件地址。

身份認證模塊并不具有靈活性。該設計系統比較適合小型單位，因此，在設計中，需要設計用戶自制，并錄入用戶資源信息，對內部成員實現用戶認證，解決身份認證和記錄問題。在用戶認證模塊的設計中，如果用戶進圖模塊判斷用戶信息符合要求，則進入數據庫，生成配置文件，進入系統主控程序。

當主機發起訪問時，需要在數據包報頭中指明IP地址。當數據包被處理時，可將源地址替換為防火墻出口段IP地址，同時，防火墻可能會出現臨時端口，以回應數據到來時外部制劑能夠看到的端口號。

在防火墻配置中，NAT和ACL是重點，ACL實現訪問控制，NAT則實現計算機訪問地址轉換。建立內部網絡和外部網絡，將PC2、Core連接起來，利用軟件進行配置。由2626A創建2個Vlan分配端口，并配置中斷端口，采用三層轉發的方式。同時，給7102A寫指向2626A靜態路由，NAT設置外部接口IP和內部接口IP。建立映射時，要建立 IP 10.1.1.2 端口映設，在接口上啟動NAT，#ip NAT outside //設定 NAT，做nat轉換，從pc2ping PCi截圖。另外，要為三層交換機增加配置，#vlan 10 untagged D1-D4 // vlan10 分配 D1-D4，vlan11 分配 E1-E4，#vlan 11 ip access-group 10 out.

按照分層設計的思想，可將Linux網絡協議分為系統判斷、協議無關、協議實現、驅動和無關設備驅動層。在模塊驅動中，可先判斷insmod，登記成功則成功插入，否則返回。檢測網絡設備名字，確定進入init-function函數，確定網卡設備是否存在，存在則進行初始化工作。在以上模塊驅動中，需要監測和初始化網絡設備，啟動時，系統要檢測可能存在的設備——要在dec-base列表上檢測網絡設備結構，采用net-dev-init函數對節點進行init函數指針，以說明設備的存在。如果設備不存在，則需刪除，保存信息，完成初始化工作。系統完成內核啟動后，產生init進程，帶動sys-setup初始化設備，從而啟動檢測程序實現設備檢測。

4 結束語

總之，本文主要分析了基于Linux防火墻的網絡安全設計。經過測試，防火墻具有測試、工作的雙重性能，而且包過濾技術能夠綜合性分析數據包和應用層規則。在未來的整合過程中，能夠擴大其應用范疇。另外，采用分布式設計結構大大提高了防火墻的安全防護強度，管理員能夠在第一時間處理相關事務。

參考文獻

[1]朱詩生，陳曉強，肖海濤，等.ERP系統IAM的網絡安全設計[J].電子設計工程，2014（22）：166-169.

[2]趙海峰.淺談計算機網絡防火墻的安全技術[J].電腦開發與應用，2013（10）：24-26.

[3]陳建強.基于計算機網絡防火墻的安全設計分析[J].電子技術與軟件工程，2013（16）：241.

〔編輯：白潔〕