淺談防火墻的基礎技術

摘 要：在信息技術不斷發展進步的今天，計算機的網絡安全技術成為了網絡發展的重要前提。網絡安全有其先天的脆弱性，所以在面對網絡黑客攻擊的危險性和破壞手段多樣性的問題上，提高防火墻技術是解決網絡安全問題的重要手段和措施。防火墻運用的核心思想是在不安全的網絡環境中構造一個相對安全子網環境。文章重點介紹防火墻的定義和分類，功能特性，設備管理和基本配置。

關鍵詞：網絡安全；防火墻；技術

引言

隨著網絡的普及和推廣，電子商務的規模越來越大，網絡安全已經不僅僅是科技人員和少數黑客所涉足的領域，龐大的網絡用戶也必須進行了解和掌握，以便能夠在網絡交易中確保自己財產和個人信息的安全，如何更有效的保護重要信息數據，已經成了全世界共同關注的話題，防火墻可以提高和加強網絡的安全性，保護當今的網絡安全。所以防火墻的基礎技術普及是至關重要的。

1 防火墻概述

防火墻是一種將內部網絡和公眾網絡分開的方法，其實它是一種隔離技術，是在兩個網絡通訊時執行的一種訪問控制尺度，最大限度的阻止黑客訪問你的網絡。

2 防火墻功能特性與分類

主要功能分為訪問控制和業務感知：（1）邏輯區域過濾器；（2）隱藏內網網絡結構；（3）自身安全保障；（4）主動防御攻擊。防火墻按照形態分為硬件防火墻和軟件防火墻；按照保護對象可分為單機防火墻和網絡防火墻；按照訪問控制方式可分為包過濾防火墻、代理防火墻和狀態檢測防火墻，TCP-IP層-數據鏈路層-PC-防火墻-服務器-數據鏈路層-IP層-TCP層。防火墻組網方式：二層以太網接口（對網絡拓撲透明、不需要更改組網）；三層以太網接口（支持更多安全特性、對網絡拓撲有所影響）

防火墻硬件平臺分類

（1）intel X86適用于百兆網絡，受CPU處理能力和PCI總線速度的限制。

（2）ASIC硬件集成電路，它把指令或計算機邏輯固化到硬件中，提升防火墻性能。

（3）NP網絡處理器是專門為處理數據包而設計的可編程處理器，是X86與ASIC之間的折衷方案。

（4）多核新一代的硬件平臺。多核方案，更高的集成度、更高效的核間通信和管理機制。

什么是安全區域？安全區域（Security Zone），或者簡稱為區域（Zone）。Zone是本地邏輯安全區域的概念。Zone是一個或多個接口所連接的網絡。

防火墻安全區域分類：（1）缺省安全區域：a.非受信區域Untrust；b.非軍事化區域DMZ；c.受信區域Trust；d.本地區域Local。

防火墻安全攻擊防范：

網絡攻擊主要分為四大類：（1）流量型攻擊；（2）掃描窺探攻擊；（3）畸形報文攻擊；（4）特殊報文攻擊。

防火墻報文統計：

（1）報文統計。對于防火墻來說，不僅要對數據流量進行監控，還要對內外部網絡之間的連接發起情況進行檢測，因此要進行大量的統計、計算與分析。

（2）防火墻對報文統計結果的分析有兩個方面。a.專門的分析軟件事后分析日志信息。b.防火墻實時完成一部分分析功能。

防火墻黑名單：

（1）黑名單。黑名單是一個IP地址列表。防火墻將檢查報文源地址，如果命中，丟棄所有報文。并且快速有效地屏蔽特定IP地址的用戶。

（2）創建黑名單表項，有如下兩種方式：a.通過命令手工創建。b.通過防火墻攻擊防范模塊或IDS模塊動態創建。

防火墻性能指標：

（1）吞吐量：防火墻能同時處理的最大數據量。

（2）有效吞吐量：除掉TCP因為丟包和超時重發的數據，實際的每秒傳輸有效速率。

（3）時延：數據包的第一個比特進入防火墻到最后一個比特輸出防火墻的時間間隔指標，是用于測量防火墻處理數據的速度理想的情況。

（4）每秒新建連接數：指每秒鐘可以通過防火墻建立起來的完整TCP連接，是用來衡量防火墻數據流的實時處理能力。

（5）并發連接數：防火墻是針對連接進行處理報文的，并發連接數目是指防火墻可以同時容納的最大連接數目，一個連接就是一個TCP/UDP的訪問。該參數是用來衡量主機和服務器間能同時建立的最大連接數。

3 防火墻設備管理

3.1 設備登陸管理

（1）通過console口登陸設備：USG配置口登陸的缺省用戶名為admin，缺省用戶密碼為Admin@123。其中，用戶名不區分大小寫，密碼要區分大小寫。

（2）通過web方式登陸設備：設備缺省可以通過GigabitEthernet0/0/0接口來登錄Web界面。將管理員PC的網絡連接的IP地址獲取方式設置為“自動獲取IP地址”。將PC的以太網口與設備的缺省管理接口直接相連，或者通過交換機中轉相連。在PC的瀏覽器中訪問http；//192.168.0.1，進入Web界面的登錄頁面。缺省用戶名為admin，密碼為Admin@123。

（3）通過telnet方式登陸設備：設備缺省可以通過GigabitEthernet0/0/0接口來實現Telnet登錄。將管理員PC的網絡連接的IP地址獲取方式設置為“自動獲取IP地址”。通過Putty telnet192.168.0.1，進入登錄頁面。缺省用戶名為admin，密碼為Admin@123。

（4）通過ssh方式登陸設備：新建用戶名為Client001的SSH用戶，且認證方式為password。

[USG]ssh user client001

[USG]ssh user client001 authentication-type password

為SSH用戶Client001配置密碼為Admin@123。

[USG]aaa

[USG-aaa]local-user client001 password ciher Admin@123

[USG-aaa]local-user client001 service-type ssh

配置SSH用戶Client001的服務方式為Stelnet，并啟用Stelnet服務。

[USG]ssh user client001 service-type stelnet

[USG]stelnet server enable

以上配置完成后，運行支持SSH的客戶端軟件，建立SSH連接。

3.2 設備文件管理

3.2.1 配置文件類型：saved-configuration current-configuration

3.2.2 配置文件操作

（1）保存配置文件；（2）擦出配置文件（恢復出廠設置）；（3）配置下次啟動時的系統軟件和配置文件；（4）重啟設備。

4 防火墻基本配置

（1）Vrp命令行級別分為：參觀級、監控級、配置級、管理級。（2）vrp命令視圖：用戶視圖、系統視圖、接口視圖、協議視圖。

5 結束語

網絡的發展進步，給我們的生活帶來了極大的便利，讓我們的生活越來越依賴于網絡，隨著網絡的復雜多樣變化，人們對網絡安全也越來越關注，如何保護網絡的安全成為人們關注的焦點，防火墻技術的運用是最好的選擇，為了讓與我們息息相關的網絡更安全，我們要不斷加強和發展防火墻技術，營造一個健康安全的網絡環境。