防火墻技術的應用與探討

王杰昌

摘要：防火墻是網絡安全的重要技術手段，一般而言，防火墻設備是被嵌入內網和因特網之間，防止內網受到來自因特網的攻擊。然而，在內網中服務器若想防范來自內網普通用戶的攻擊，就需要構筑內網虛擬防火墻。另外，在服務器區，為防范來自同vlan的中毒服務器攻擊，其他服務器需開啟并設置自帶的系統防火墻。

關鍵詞：防火墻設備;內網虛擬防火墻;系統防火墻

中圖分類號：TP393? ? ? ? 文獻標識碼：A

文章編號：1009-3044（2019）19-0052-02

近幾年來，隨著網絡安全形勢的日益嚴峻，尤其是“棱鏡門”事件的曝光和“勒索病毒”的肆虐，網絡安全越來越受到大家的重視，我國將其上升到國家戰略層面，先是成立了中央網絡安全和信息化領導小組，后又將其改為中央網絡安全和信息化委員會。而防火墻又是網絡安全中一種重要的技術手段和有效的防御工具，通過因特網訪問內網的資源時，以及通過內部主機訪問因特網時，防火墻可保護內網免受來自外網的安全威脅[1]。

1 常規防火墻設備介紹

常規防火墻設備被嵌入內網和因特網之間，從而創建受控制的連接且構成外部安全墻或者說是邊界。這個邊界的目的在于防止內網受到來自因特網的攻擊，并在安全性將受到影響的地方形成阻塞點[1]。

防火墻的設計目標[2]：（1）所有的通信連接，不管是從內網到外網還是從外網到內網，都必須經過防火墻。（2）只有被授權的通信連接才能通過防火墻，本地安全策略將規定這些授權。（3）防火墻本省對于滲透必須是免疫的。

防火墻用以控制訪問和加強網絡站點安全策略的主要有以下四項常用技術[3]：

（1）服務控制：決定哪些服務可以被訪問，不管服務是從內網而外網，還是從外網到內網。防火墻可以以IP地址和TCP端口為基礎過濾通信。

（2）方向控制：決定在哪些特定的方向上服務請求可以被發起并通過防火墻。

（3）用戶控制：根據用戶正在試圖訪問的服務器，來控制他的訪問。這個技術特性主要應用于防火墻網絡內部的用戶（本地用戶），它也可以應用到來自外部用戶的通信。

（4）行為控制：控制一個具體的服務如何被實現。舉例來說，防火墻可以通過過濾郵件來清除垃圾郵件。它也可能只允許外部用戶訪問本地服務器的部分信息。

2 常規防火墻設備不能解決的問題

2.1 內網普通用戶對中心機房服務器區發起的攻擊

普通的防火墻產品只是被嵌入內網和因特網之間，防止內網受到來自因特網的攻擊。但是有三種安全威脅常規防火墻設備無法防范：（1）內網的普通用戶若上網不慎導致電腦中毒，會對內網服務器區造成安全威脅。（2）內網的普通用戶被黑客攻擊變成肉雞，被黑客控制對服務器區發動攻擊。（3）內網用戶本人直接在內網對服務器發動惡意攻擊。因這些針對內網服務器的攻擊都是在內網發起的，而不是直接從因特網發起的，內外網之間的那道防火墻也愛莫能助。

2.2 中心機房服務器間發起的攻擊

普通的防火墻產品只是被嵌入內網和因特網之間，所以其根本無法防御中心機房服務器間（尤其是同vlan）發動的攻擊。一臺服務器中毒的話，它會很容易感染同vlan服務器。另外，如果一臺服務器被別人遠程控制，那么別人會輕而易舉地通過這臺服務器去攻擊其他同vlan服務器。因為這些攻擊是在中心機房服務器區內發動的，內網與因特網間的防火墻更加無能為力了。

3 解決問題的對策

3.1 為防范內網攻擊而設立的內網虛擬防火墻

若中心機房服務器要防范直接或間接從內網普通用戶發起的攻擊，必須在內網的中心機房服務器區和內網普通用戶之間另設一道防火墻，我們稱之為虛擬防火墻。

虛擬防火墻主要用于防范來自內網普通用戶對服務器發起的攻擊，為了防范來自內網的攻擊，可以為其設置相應的安全策略。以校園網為例，大部分服務器的端口（尤其是遠程控制）或高級權限只能開放給網絡中心的管理員，教務系統服務器的高級控制權限只能開放給教務處的系統管理員，財務服務器的高級控制權限只能開放給財務處的系統操作員，等等，同時，要求這些管理員老師要對自己的辦公PC定期殺毒，而且不要隨便下載或點擊因特網上一些不明資源或鏈接。對于普通老師和學生用戶，只對他們開放一些必需的http訪問權限。這樣服務器就能有效避免來自內網普通用戶的攻擊。具體操作如下：

以阿姆瑞特防火墻為例，通過web頁面管理，網絡中心管理員登錄進去后，為各業務系統設置權限。若是為教務系統設置權限，那么首先要打開對象，選擇地址簿，將教務處系統管理員、成績管理員、學籍管理員、評教管理員等老師的辦公電腦ip地址添加進去并命名，還可以將他們編成一個教務處ip組。然后再在對象下選擇服務，將tcp80端口添加（tcp/udp服務）并命名為http，將tcp3389端口添加（tcp/udp服務）并命名為rdp，另外再將兩個數據庫端口添加并命名為兩個tcp/udp服務，并且將這兩個數據庫tcp/udp服務添加并命名到一個服務組里。新建幾條策略，首先將教務系統數據庫服務器的數據庫服務組開放給教務處ip組，然后將教務系統web服務器的http服務開放給校內所有人，因這兩臺服務器vlan相同，虛擬防火墻不會限制它倆的任何通信;如有需要，可將這兩臺服務器的rdp服務分別開放給教務系統管理員和網絡中心管理員;然后點擊讓這些策略生效。

3.2 為防范同vlan服務器間的攻擊而開啟的服務器系統防火墻

一般而言，內網虛擬防火墻對服務器區不同vlan間的服務器也有隔離作用，但同vlan的服務器間虛擬防火墻不起作用，如果一臺服務器中毒，那么它會輕而易舉地對同vlan的服務器發起攻擊，此時就需要開啟服務器自帶的系統防火墻。

專門的防火墻產品可以定向只對某些用戶開放端口，限制普通用戶的訪問權限。而服務器系統防火墻只能粗放型地對所有用戶開放哪些端口，關閉哪些端口。雖然服務器自帶的系統防火墻沒有專門的防火墻產品那么智能，但是它卻能有效地防范來自同vlan的服務器攻擊。一臺服務器開啟系統防火墻后，可以只令部分業務端口（比如http端口）例外通過，關閉高風險端口（比如遠程連接端口），這些高風險端口只有在必須使用的情況下才臨時打開一會兒，這樣就能有效避免來自同vlan的服務器攻擊。下面就兩種常見的服務器系統防火墻設置舉例：

（1）對于win server 2008系統來說，我們首先要打開控制面板，然后再控制面板中找到windows防火墻并打開，然后點擊打開或關閉windows防火墻，啟用windows防火墻，在這種情況下大部分端口都被封閉了，服務器是很安全的，但是基本是不能對外界提供服務，安全和便利是矛盾的，是既對立又統一的。服務器如果想在相對安全的條件下對外提供服務，那就需要在開啟防火墻的情況下開啟端口例外。

在windows防火墻設置選項卡下點擊高級設置，然后在高級安全windows防火墻右上方，點擊創建規則，在新建入站規則向導窗口下選擇端口，點擊下一步，選擇TCP或UDP，點擊特定本地端口輸入端口號（例如80、8080-8081），下一步選擇允許連接，再點擊下一步，選擇域、專用、公用等，然后命名該條規則（例如：http）完成;出站規則和入站規則設置一樣。通過這些操作就可以使特定服務端口例外通過防火墻。

如果想遠程控制服務器，那么不僅要讓TCP3389端口例外通過windows防火墻，而且還要服務器中右擊計算機，選擇屬性，然后點擊遠程設置，最后選擇允許運行任意版本遠程桌面的計算機連接。只有這樣，才能打開遠程連接，服務器才能被遠程控制。但是服務器能夠被遠程連接也是非常危險的，特別容易被攻擊，所以一定要在管理員或廠家使用完遠程連接后，及時遠程連接。

（2）對于Linux操作系統（以Centos6.5為例）來說，開啟防火墻需要敲入命令：service iptables start;如果我們要讓80、443、8080這三個端口例外通過防火墻，我們可以在/etc/sysconfig/iptables文件中添加三行命令：

-A INPUT –m state –state NEW –m tcp –p tcp –dport 80 –j ACCEPT

-A INPUT –m state –state NEW –m tcp –p tcp –dport 443 –j ACCEPT

-A INPUT –m state –state NEW –m tcp –p tcp –dport 8080 –j ACCEPT

4 結語

隨著網絡安全越來越被大家重視，防火墻技術的重要性凸顯，本文從實踐中深入探討了一般防火墻所不能防范的兩種網絡威脅，并提出了相應的解決方法。希望對大家有所啟發，共同進步。

參考文獻：

[1] 斯托林斯.密碼編碼學與網絡安全——原理與實踐[M]. 3版.北京：電子工業出版社，2004.

[2] Bellovin S， Cheswick W.Network Firewalls[J].IEEE Communications Magazine，1994（9）.

[3] Smith R.Internet Cryptography[M]. MA：Addison-Wesley，1997.

【通聯編輯：代影】