試析電臺防火墻規范化配置設計

張 彬

（吉林人民廣播電臺，吉林長春 130051）

試析電臺防火墻規范化配置設計

張 彬

（吉林人民廣播電臺，吉林長春 130051）

本文通過對防火墻原理和作用的分析，提出規范化部署防火墻安全管理、訪問控制、安全防御策略、攻擊防護配置和日志告警等功能，構建電臺安全穩定的網絡安全體系。

防火墻安全管理；訪問控制；安全防御策略

隨著計算機網絡在電臺辦公自動化的作用越來越大，為了維護電臺綜合辦公網的網絡安全，防火墻成為其中最主要、最核心、最有效的手段之一。它通過控制和監測網絡之間的信息交換和訪問行為來實施對網絡安全的有效管理，防火墻安全配置效率的高低會直接影響整體網絡體系的安全穩定。為此在對電臺綜合辦公網網絡環境充分了解的基礎上，通過對防火墻原理和作用的分析，提出規范化部署設計網絡防火墻配置，有效提高電臺網絡安全體系。

1 防火墻的原理和應用

防火墻是對通過互聯網連接進入專用網絡或計算機系統的信息進行過濾的程序或硬件設備。防火墻主要由服務訪問規則、驗證工具、包過濾和應用網關4個部分組成。其具有以下特點：(1)內部網絡和外部網絡之間的所有網絡數據流都必須經過防火墻；(2)只有符合安全策略的數據流才能通過防火墻；(3)防火墻自身應具有非常強的抗攻擊免疫力。

防火墻使用以下3種方法中的一種或多種來控制流入和流出網絡的通信：(1)數據包過濾。根據一組過濾器分析數據包（小的數據塊）。通過過濾器的數據包將發送到請求數據包的系統，沒有通過的數據包將被丟棄；(2)代理服務。防火墻檢索來自互聯網的信息，然后將信息發送到請求信息的系統，反之亦然；(3)狀態檢測。它并不檢查每個數據包的內容，而是將數據包的特定關鍵部分與受信任信息數據庫進行比較。從防火墻內部傳遞到外部的信息將受到監視，以獲得特定的定義特征，然后將傳入的信息與這些特征進行比較。如果通過比較得出合理的匹配，則允許信息通過；否則將丟棄信息。

2 規范化部署設計網絡防火墻配置

2.1 防火墻安全管理

防火墻管理員賬號口令長度至少8位，并包括數字、小寫字母、大寫字母和特殊符號4類中至少2類；應刪除或鎖定與設備運行、維護等無關的賬號；不同等級管理員分配不同賬號，避免賬號混用；對具備字符交互界面及圖形界面的設備，應配置定時賬戶自動登出。

2.2 防火墻部署及訪問控制

劃分安全區域和非安全區域，設置授信地址，允許位于安全域的主機訪問防火墻，為防火墻端口配置IP地址，對防火墻進行操作。

防火墻的工作方式：NAT模式、路由模式、透明模式，根據應用的環境特征（網絡規劃及配置、地址翻譯、動態路由協議、VlANTRUNK數據包通過）等條件來選擇符合當前需要的防火墻模式。

依據防火墻工作模式，根據實際需要，構建基于狀態檢測技術的IP地址、端口、用戶和時間的管理控制；自定義訪問對象的控制；定義用戶控制策略可以實現用戶之間、用戶與IP網段或主機間的訪問行為，如協議類型、訪問時間等；URL和文件級細粒度應用層管理控制，例如：應用層安全控制策略主要針對常用的網絡應用協議HTTP和ftp，控制策略可以實現定義訪問源對象到目標對象間的常用協議命令通過防火墻的權限，源對象可以是網段、主機。HTTP和ftp的協議端口用戶可根據實際情況在策略中定義，協議命令為HTTP和ftp的主要常用命令。通過應用層策略實現URL和文件級的訪問控制。

2.3 安全策略配置要求

2.3.1 基本安全策略

一切沒有允許的服務都是禁止，策略只允許通過必要的數據，控制雙向數據流，同時建議在防火墻最后增加一條拒絕所有數據經過的策略。

2.3.2 規則盡量簡單清晰

規則力求簡單，在滿足業務需求的情況下，規則盡量簡單，避免出現策略相互重疊、包容甚至沖突的情況，同時可以通過增加注釋、使用策略組等方式增加清晰度。

2.3.3策略次序安排

按照業務的重要性，策略由前往后。對于訪問規則的排列，應當遵從范圍由小到大的排列規則，應根據實際網絡流量，保證重要連接和數據吞吐量大的連接對應的防火墻規則優先得到匹配。

2.4 攻擊防護配置要求

打開DOS和DDOS攻擊防護功能，對攻擊告警；限制PING包的大小，以及一段時間內同一主機發送的次數；啟用對帶選項的IP包及畸形IP包的檢測；打開病毒防護，對蠕蟲等病毒傳播時的攻擊流量進行過濾。

2.5 日志配置要求

設備應配置日志功能，對用戶登錄進行記錄，記錄內容包括用戶登錄使用的賬號、登陸是否成功、登錄時間，以及用戶使用的IP地址；防火墻管理員操作必須被記錄日志，如登錄信息、修改信息、賬號解鎖等；設備配置遠程日志功能，將需要重點關注的日志內容傳輸到日志服務器。

2.6 告警配置要求

設備應具備向管理員告警的功能，報告對防火墻本身的攻擊或者防火墻的系統嚴重錯誤；告警信息應被保留，直到被確認為止；報告網絡流量中對TCP/IP應用層協議異常進行攻擊的相關告警對每一個告警項是否告警可由實際情況進行配置；打開掃描攻擊探測告警，掃描攻擊告警的參數根據網絡環境來定義。

3 結語

根據上述規定的綜合辦公網機房內防火墻配置應當遵循安全性設置標準，機房網絡管理人員依據此規范對防火墻設備進行配置后，電臺綜合辦公網的網絡安全體系有了極大提高，確保了電臺記者、編輯對網絡辦公自動化的安全需求，有效地提高了網絡辦公效率。

[參 考 文 獻]

[1]王達.網管員必讀網絡安全[M].2版.北京:電子工業出版社,2007.

[2]黎連業,張維.防火墻及其應用技術[M].北京:清華大學,2004.

[3]鄧亞平.計算機網絡安全[M].北京:人民郵電出版社,2004.

[4]袁家政.計算機網絡安全與應用技術[M].北京:清華大學出版社,2002.

The Analysis of Firewall Normalizing Design on Radio Station Office Network

ZHANG Bin
(Jilin People RadioStation,Changchun Jilin 130051,China)

Through the analysis offirewall principle and characteristics,we normalize the deployment offirewall securitymanagement,access control,securityand defense strategy,attack protection configuration and logwarning function,and build a reliable network securitysystemon radiostation office network.

firewall securitymanagement；access control；securityand defense strategy

TN93

A

1008-178X(2013)01-0038-02

2012-12-29

張 彬（1965-），男，河北東光人，吉林人民廣播電臺工程師，從事電臺自動化控制研究。