Internet防火墻系統(tǒng)的設(shè)計

摘要：隨著計算機(jī)網(wǎng)絡(luò)的飛速發(fā)展，Internet為人們的工作、學(xué)習(xí)和生活帶來了巨大的便利。與此同時，網(wǎng)絡(luò)安全的重要性也是不容忽視的。而在當(dāng)前形勢下用來保證網(wǎng)絡(luò)安全的一種非常關(guān)鍵的措施就是防火墻技術(shù)，通過防火墻的應(yīng)用可以避免未經(jīng)授權(quán)的用戶對于網(wǎng)絡(luò)的非法訪問，從而避免網(wǎng)絡(luò)中的重要信息被惡意篡改和泄露，并且，也能夠保證合法用戶能夠不受妨礙地訪問網(wǎng)絡(luò)內(nèi)部的資源。因此，進(jìn)行關(guān)于Internet防火墻系統(tǒng)的設(shè)計的研究具有非常深遠(yuǎn)的意義，能夠使網(wǎng)絡(luò)安全性能得到極大程度的提高。

關(guān)鍵詞：Internet 防火墻系統(tǒng) 設(shè)計

一、引言

隨著Internet的不斷發(fā)展和廣泛普及，計算機(jī)網(wǎng)絡(luò)的共享性、開放性和互聯(lián)程度也正在得到不斷的擴(kuò)大，一系列的網(wǎng)絡(luò)新業(yè)務(wù)也正在逐漸出現(xiàn)，主要包括數(shù)字貨幣、電子政務(wù)、電子商務(wù)、網(wǎng)上購物、網(wǎng)上銀行等等，網(wǎng)絡(luò)安全問題也變得愈加值得重視。處理網(wǎng)絡(luò)安全問題的一個非常關(guān)鍵的途徑就是在內(nèi)部網(wǎng)和外部網(wǎng)之間進(jìn)行防火墻的設(shè)置，所以，研究防火墻技術(shù)顯得尤為重要。

二、Internet和網(wǎng)絡(luò)安全問題概述

Internet在剛開始出現(xiàn)的時候是由大學(xué)和科研機(jī)構(gòu)應(yīng)用的，后來逐漸進(jìn)入到社會的各個行業(yè)之中。在當(dāng)今的信息化時代，Internet已經(jīng)和人們的日常生活緊密的聯(lián)系起來，同時，海量的機(jī)密信息也正在通過Internet進(jìn)行傳送，在這一大背景下，也出現(xiàn)了許多和Internet相關(guān)的網(wǎng)絡(luò)安全問題。主要包括以下幾個方面：

第一，企業(yè)不具備較強(qiáng)的網(wǎng)絡(luò)安全意識。目前企業(yè)局域網(wǎng)內(nèi)部利用的計算機(jī)操作系統(tǒng)仍然具備許多不安全的因素，許多高風(fēng)險的網(wǎng)絡(luò)服務(wù)對外開放，但是并未采取相對完善的網(wǎng)絡(luò)安全防范方法，從而導(dǎo)致企業(yè)的大部分主機(jī)面臨著潛在的網(wǎng)絡(luò)安全威脅，為不法侵害人員提供了方便的入口。

第二，網(wǎng)絡(luò)黑客越來越多。在Internet得到廣泛使用的背景下，網(wǎng)絡(luò)黑客也隨之出現(xiàn)，網(wǎng)絡(luò)黑客已經(jīng)在國際范圍內(nèi)廣泛分布，他們的入侵方式也正在變得更加高明。黑客能夠使用在Internet上的眾多攻擊網(wǎng)絡(luò)和系統(tǒng)安全漏洞的小程序?qū)崿F(xiàn)對于網(wǎng)絡(luò)的攻擊，也能夠通過眾多的專門的黑客站點(diǎn)實(shí)現(xiàn)對于網(wǎng)絡(luò)的攻擊。

第三，內(nèi)部攻擊值得關(guān)注。在網(wǎng)絡(luò)安全問題中，內(nèi)部攻擊問題占據(jù)著非常巨大的比例，內(nèi)部攻擊者對于網(wǎng)絡(luò)系統(tǒng)的有用信息比外部攻擊者更加掌握，能夠更加方便地進(jìn)行攻擊，從而會帶來更加嚴(yán)重的攻擊后果。然而，網(wǎng)絡(luò)管理人員通常會忽視這些內(nèi)部攻擊。

三、Internet防火墻系統(tǒng)的總體結(jié)構(gòu)

Internet防火墻系統(tǒng)的總體結(jié)構(gòu)包括兩個包過濾路由器和一個堡壘主機(jī)，由于這種系統(tǒng)支持應(yīng)用層和網(wǎng)絡(luò)層的安全功能，因此，這是一種非常安全的防火墻系統(tǒng)。Internet防火墻系統(tǒng)的堡壘主機(jī)中包括WWW、Email、FTP代理服務(wù)器、日志系統(tǒng)、身份認(rèn)證系統(tǒng)、加密系統(tǒng)。同時，堡壘主機(jī)位于外部網(wǎng)和內(nèi)部網(wǎng)之間。具體來說，Internet防火墻系統(tǒng)的總體結(jié)構(gòu)如下所述。

第一，Internet防火墻系統(tǒng)的第一道防線就是包過濾路由器，這一路由器預(yù)先檢查進(jìn)入內(nèi)部網(wǎng)的通信。同時，包過濾路由器利用包過濾規(guī)則來實(shí)現(xiàn)數(shù)據(jù)包的轉(zhuǎn)發(fā)或丟棄。包過濾路由器的包過濾規(guī)則為：內(nèi)部網(wǎng)絡(luò)上的主機(jī)對于外部網(wǎng)絡(luò)可以實(shí)現(xiàn)直接訪問，而外部網(wǎng)絡(luò)上的主機(jī)只能夠限制性的訪問內(nèi)部網(wǎng)絡(luò)的主機(jī)，同時，必須對于源路由選項(xiàng)的數(shù)據(jù)包和假冒緩沖區(qū)內(nèi)主機(jī)地址的數(shù)據(jù)包進(jìn)行阻塞設(shè)置。

第二，緩沖區(qū)（DMZ），這是為了解決安裝防火墻后外部網(wǎng)絡(luò)不能訪問內(nèi)部網(wǎng)絡(luò)服務(wù)器的問題，而設(shè)立的一個非安全系統(tǒng)與安全系統(tǒng)之間的緩沖區(qū)，這個緩沖區(qū)位于企業(yè)內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的小網(wǎng)絡(luò)區(qū)域內(nèi)。

第三，堡壘主機(jī)，這是在內(nèi)部網(wǎng)和緩沖區(qū)之間所設(shè)置的網(wǎng)關(guān)，內(nèi)部網(wǎng)和緩沖區(qū)之間的所有通信都一定要通過堡壘主機(jī)。保證堡壘主機(jī)的安全運(yùn)轉(zhuǎn)可以為Internet和內(nèi)部網(wǎng)之間的信息交換打下堅實(shí)的基礎(chǔ)。

第四，堡壘主機(jī)連接緩沖區(qū)的網(wǎng)卡，為這塊網(wǎng)卡配置的IP地址必須和緩沖區(qū)內(nèi)主機(jī)的IP地址存在著一致的子網(wǎng)掩碼，也就是說，必須保證它們位于相同的子網(wǎng)之中。

第五，堡壘主機(jī)連接內(nèi)部網(wǎng)的網(wǎng)卡，為這塊網(wǎng)卡配置的IP地址必須和內(nèi)部網(wǎng)主機(jī)的IP地址存在著一致的子網(wǎng)掩碼，也就是說，必須保證它們位于相同的子網(wǎng)之中。

四、Internet防火墻系統(tǒng)的特點(diǎn)

Internet防火墻系統(tǒng)有利于解決網(wǎng)絡(luò)安全問題，它的特點(diǎn)如下所述。

第一，非法入侵者為了能入侵內(nèi)部網(wǎng)一定要突破三個不同的設(shè)備，也就是外部路由器、堡壘主機(jī)、內(nèi)部路由器。

第二，因?yàn)橥獠柯酚善鲀H僅將堡壘主機(jī)的存在通告給外部網(wǎng)，所以，能夠確保內(nèi)部網(wǎng)對外是“不可見”的，與此同時，必須是緩沖區(qū)網(wǎng)絡(luò)上選定的系統(tǒng)才可以向外部網(wǎng)開放。

第三，因?yàn)楸局鳈C(jī)的存在，內(nèi)部網(wǎng)用戶為了實(shí)現(xiàn)和外界之間的通信，必須借助于堡壘主機(jī)上的代理系統(tǒng)。

五、結(jié)束語

綜上所述，本文進(jìn)行了關(guān)于Internet防火墻系統(tǒng)的設(shè)計的研究。但是，僅僅依靠防火墻技術(shù)來保障網(wǎng)絡(luò)安全是遠(yuǎn)遠(yuǎn)不夠的，還必須通過一些其它技術(shù)和非技術(shù)的因素來進(jìn)行網(wǎng)絡(luò)安全的保障，例如，還必須進(jìn)一步應(yīng)用信息加密技術(shù)、設(shè)定適當(dāng)?shù)木W(wǎng)絡(luò)安全法律法規(guī)、增強(qiáng)網(wǎng)絡(luò)管理使用人員的安全意識等等。希望通過本文的研究，能夠?yàn)镮nternet時代的網(wǎng)絡(luò)安全問題的解決提供一定的借鑒。

參考文獻(xiàn)：

[1] 林曉東，楊義先，馬嚴(yán)，王仲文. Internet防火墻系統(tǒng)的設(shè)計與實(shí)現(xiàn)[J]. 通信學(xué)報，1998，(01) .

[2] 陳關(guān)勝. 防火墻技術(shù)現(xiàn)狀與發(fā)展趨勢研究[A]. 信息化、工業(yè)化融合與服務(wù)創(chuàng)新——第十三屆計算機(jī)模擬與信息技術(shù)學(xué)術(shù)會議論文集[C]，2011

[3] 賈志高，周以琳. 基于防火墻和網(wǎng)絡(luò)入侵檢測技術(shù)的網(wǎng)絡(luò)安全研究與設(shè)計[J]. 甘肅科技，2009，(18)

[4] 余志高，周國祥. 入侵檢測與防火墻協(xié)同應(yīng)用模型的研究與設(shè)計[J]. 網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2010，(03) .

[5] 李彥軍，屠全良，郝夢巖. 基于中小企業(yè)網(wǎng)絡(luò)安全的防火墻配置策略[J]. 太原大學(xué)學(xué)報，2006，(01)

[6] 張鳴，高楊. 計算機(jī)網(wǎng)絡(luò)安全與防火墻技術(shù)研究[J]. 黃河水利職業(yè)技術(shù)學(xué)院學(xué)報，2011，(02) .