論由網絡硬件防火墻作路由器鏈接ＩＮＴＥＲＮＥＴ上網的網絡配置模型

張　平　陳　玉

[摘要]在現代網絡辦公形式中,各種形式的INTERNET網絡鏈接形式各有利弊,在不同形式的環境中發揮的巨大的作用,其中由網絡硬件防火墻作路由器上網的鏈接方式,是小型企業和組織使用的最廣泛的一種上網工作方式。對該系統進行相應的配置,使我們的網絡工作得到有效的安全保障。

[關鍵詞]網絡硬件防火墻NTERNET安全配置

中圖分類號:TJ8文獻標識碼:A文章編號:1671-7597(2009)0710020-02

隨著計算機網絡的不斷發展,全球信息化進程的加速,計算機網絡體系的使用更加廣泛。但由于各種計算機網絡鏈接形式各種各樣,各終端和客戶機分布不均勻性,加之網絡所具有的開放性、互連性等特點,致使網絡易受黑客、病毒、惡意軟件和其他非法行為的攻擊,所以網絡硬件結構的安全和網絡軟件配置的安全就越來越成為計算機網絡安全管理人員面臨的一個重大課題。

現在各種企業和組織使用的鏈接INTERNET網的方式多種多樣,各有千秋。以我們十多年參與小型網絡建設與管理的經驗,分析由網絡硬件防火墻作路由器鏈接INTERNET網,作為一個小型企業或組織網絡出口的網關,是當前鏈接INTERNET網絡的主流方式,也是網絡配置比較簡捷和好用的方式,同時網絡的安全性和穩定性得以保障。

這里所論述的小型網絡是指企業或組織有一個以上的網絡固定IP出口,企業和組織內部用的是C類IP地址鏈接INTERNET網絡,具體企業或組織內部有沒有對外或內部公開使用的各種類型服務器不做必要的要求。

一、網絡硬件防火墻網絡體系結構的配置

(一)網絡硬件防火墻接口的配置

網絡硬件防火墻自身具有路由功能可直接聯通INTERNET,防火墻本身有外網、內網和DMZ三組接口分別對應鏈接相應的網絡環境。

網絡硬件防火墻作為一種網絡邊界防護型的網絡安全設備,必須配置在企業或組織受保護網絡的邊界處,只有這樣,防火墻才能控制所有流入和流出網絡的通信數據,達到將非法入侵者拒之門外的目的,起到保護企業或組織內部各種公用服務器和內部服務器的安全,同時保障企業或組織內部能上INTERNET網交換數據的客戶機的上網沖浪的安全。

外網接口自然是接光纖入口或者是其它網絡供應商提供的上網接口,通過給防火墻設置網絡出口的固定IP地址可以使網絡內部的客戶機或終端暢游INTERNET世界。同時也可以讓外界的各相關用戶通過本網絡的固定IP地址或是域名訪問本企業或組織所擁有的對外開放的INTERNET服務網絡里的相關內容。

內網接口鏈接企業或組織內部相關的多級網關、路由器、交換機和集線器,各個客戶機或終端通過所在的局域網絡和網關、路由器、交換機和集線器鏈接實現上網功能。企業或組織內部的各種服務器也要安置在內網區域內,內部各業務服務器作為功能獨立的主機必須與單位內部用戶的個人所使用的客戶機或終端機分開設置在不用IP地址范圍內的二級交換機上,同時配置獨立的、固定的IP地址段,組成系統內部的INTRANET。而內部和客戶機和終端根據辦公所需要的網絡環境不同配置相關的IP地址或是不配置IP地址。

DMZ,英語直譯是非軍事化緩沖區,而在計算機行業中稱之為中立區網絡,它是當我們的企業或組織的網絡中的各種WEB服務器、FTP服務器、郵件服務器和數據庫服務器需要開放給公網用戶時而特設置的獨立區域。由于這些開放的業務服務器要面對大量公網上的任意未知用戶的訪問,因此,在接入時必須使用網絡防火墻上的獨立DMZ接口進行隔離,同時需要設置嚴格的防火墻訪問控制策略,以防止入侵者的破壞。如果這些對外開放的服務器是與其他內部主機混在一起,沒有放在獨立的DMZ區進行隔離,其后果可能是,一旦服務器被黑客利用其漏洞攻擊成功,則整個網絡就暴露在黑客面前,黑客將很輕松的以服務器為跳板攻擊整個網絡。由于企業或組織內部擁有不只一臺相關的服務器,各DMZ接口一般接在各種對外公開的服務的集合部,也就是各個服務器所接的交換機上,使各個服務器都能被網絡外部的計算機所訪問。

(二)網絡硬件防火墻拓樸結構的配置

網絡硬件防火墻的拓樸結構是指的防火墻的各個端口和各級交換機,路由器,集線器的鏈接方式。一般小型企業和組織使用的防火墻上網的模式大多是由網絡防火墻做INTERNET代理上網服務器,使用C類IP采用INTERNET共享上網方式。

常見的模型是防火墻占用一個固定IP(公網IP,從ISP處獲得)地址,防火墻對內的地址是192.168.0.1,系統內的其它計算機通過不同區所接的交換機或是集線器通過防火墻上網。防火墻、交換機(集線器)、路由器和光貓構成了一個星型的網絡拓樸結構,但這只是這些網絡鏈接設備,沒加各個計算機。

防火墻的三個功能區接口,每個接口鏈接一個交換機或是路由器上,通過交換機和路由器再鏈接相關的計算機或是下一級的交換機,對于每個交換機所鏈接的設備又構成了一個星型的網絡拓樸結構。若干個小的星型網絡拓樸結構通過幾層的擴展鏈接,最終把所有的計算機和網絡設備鏈接成一個星星網,構成了一個樹型網絡,有的專家也稱之為混合型網絡。這樣的網絡結構層次清楚,容易隔離有問題的某個網絡小單元段,也便于增加新的網絡單元段,更便于網絡的維護。

(三)網絡硬件防火墻IP地址的配置

網絡防火墻硬件系統和企業或組織內的各種設備安裝到位后,接下來就是給予每個要上網的主機分配上網地址,也就是通常我們所說的IP地址,每個上網主機有了IP地址后才能通過防火墻代理上網,實現相應的網絡功能。

首先是將從ISP處獲得的公網IP地址分配給防火墻,通過防火墻的管理軟件將該IP地址轉換成INTERNET網絡共享IP地址192.168.0.1。然后把其于253個IP地址分配給各個上網的主機或終端。建議IP地址分段落的分配給各個用戶層,這樣便管理和故障處理。例如:我們將192.168.0.2至192.168.0.20用于校內內部各個服務器上,將192.168.0.21至192.168.0.

100分配給各個辦公室的上網辦公用機,將192.168.0.101至192.168.0.

200分配給機房和多功能教室的教學上網用機,從192.168.0.201以后留作備用和設備的拓展使用。

二、網絡硬件防火墻網絡軟件功能的配置

網絡硬件防火墻的硬件布置好后,只能說網絡硬件防火墻可以工作了,但還不能起作用,只有進入網絡硬件防火墻的管理系統內進行相關的軟件功能設置后,網絡硬件防火墻才能真正的起作用。

首先是對網絡出口的配置。使用網絡硬件防火墻上網的目的就是能安全穩妥的上網進行相應的工作,所以配置網絡出口是必須的也是首要任務。進入防火墻管理系統后,在基本設置里面選擇相應的網絡模式,小型企業和組織一般多用的是靜態設置選項,也就是從ISP處獲取固定的網絡出口的公網IP地址,不管你的組織內有沒有公網服務器,都要有一個這樣的IP地址,這是保障網絡安全和穩定的必要手段。將從ISP處獲取的IP地址寫入“設置WAN接口IP地址處,配置如下:

WAN接口IP

之后設置LAN接口IP地址,配置如下:

其次是對企業或組織內對外的公開服務器的配置。要在防火墻的高級設置里加上WAN的IP地址和內網IP地址轉換參數,例如:

并在虛擬服務器項目上進行策略的設置,例如:

這樣系統內的服務器就可以成為公網上的一個公用服務器,不僅本系統內的計算機能訪問,外界的計算機也能訪問。

第三步是內部INTRANET服務器的設置。許多企業和組織都有內部辦公數據服務器,僅對系統內部的主機開放,故這些服務只需把本機的IP地址設為內網的IP地址,然后安裝好相關的應用系統,并對相關的應用數據設置共享,系統內的主機就可以采用IP地址或是機器名的方式訪問內部服務器的相關內容。

最后是對功能權限的合理分配。企業或組織根據的自己系統的實際情況進行合理的配置以使系統達到最佳的工作狀態。比如有些企業在工作時間內不允許使用QQ等軟件,就可根據用戶的不同級別設置不同的權限。具有最高權限的用戶不受任何限制,次級權限的用戶根據工件需要相應開放MSN,QQ,E-mail,web,ftp等對口業務的權限,而最低級別的用戶只開放本職工作權限如郵件服務功能。同時為了最大限度發揮網絡的功能,還可以根據時間段對上網行為進行控制,比如在工作時間內禁止BT下載,視頻活動等功能。

用網絡硬件防火墻作路由器上網并不是最安全的上網方式,但是是在小型企業和組織中使用最廣泛的一種上網工作方式,由于它的鏈接方式簡潔,功能適中,安全性有所保障,能夠滿足系統內部實現網絡辦公自動化的要求,是一種很好的網絡工作模式的選擇。該種工件方式在應用中還在不斷的完善和發展,以適應更新更廣泛的需求。

參考文獻:

[1]周明天、汪文勇,《TCP/IP網絡原理與技術》,清華大學出版社,1999.12.

[2]楚狂,《網絡安全與防火墻技術》,人民郵電出版社,2000.4.

[3]瑞星全功能NP防火墻使用手冊.

[4]瑞星防火墻設計使用書.