計(jì)算機(jī)網(wǎng)絡(luò)防火墻的安全設(shè)計(jì)及應(yīng)用

胡偉強(qiáng) 胡麗芳

【摘要】 防火墻是一種虛擬的網(wǎng)絡(luò)隔離技術(shù)，當(dāng)前防火墻技術(shù)已經(jīng)發(fā)展到第五代，更加完善，對(duì)于提高計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用安全性具有重要作用。

【關(guān)鍵詞】 防火墻 計(jì)算機(jī)網(wǎng)絡(luò)

一、計(jì)算機(jī)網(wǎng)絡(luò)防火墻安全結(jié)構(gòu)設(shè)計(jì)

基于LINUX防火墻方案愛設(shè)計(jì)提高系統(tǒng)安全性、可靠性，設(shè)計(jì)系統(tǒng)分為基本功能、輔助功能以及增強(qiáng)功能。根據(jù)某單位實(shí)際軟硬件環(huán)境，開發(fā)滿足要求的防火墻系統(tǒng)。防火墻實(shí)現(xiàn)需要滿足主機(jī)安全保護(hù)和良好人際界面基礎(chǔ)，方便操作和管理。

考慮到現(xiàn)有硬件的顯示，簡(jiǎn)化試驗(yàn)環(huán)境，基于主機(jī)設(shè)計(jì)，在Linux環(huán)境下采用C語(yǔ)言實(shí)現(xiàn)，界面設(shè)計(jì)和數(shù)據(jù)庫(kù)的聯(lián)接通過(guò)Kylix開發(fā)工具實(shí)現(xiàn)。防火墻包括用戶端、以太網(wǎng)和系統(tǒng)服務(wù)器三個(gè)端口，內(nèi)網(wǎng)同時(shí)能夠?qū)崿F(xiàn)訪問(wèn)功能，但是外網(wǎng)訪問(wèn)會(huì)受到限制。

防火墻通過(guò)三端口實(shí)現(xiàn)，采用兩個(gè)獨(dú)立網(wǎng)卡，一個(gè)主要針對(duì)服務(wù)器安全，另外一個(gè)實(shí)現(xiàn)數(shù)據(jù)交換。防火墻代理系統(tǒng)的實(shí)現(xiàn)方式能夠保證用戶信息的安全傳遞。所采用的操作系統(tǒng)為嵌入式操作系統(tǒng)，方便修改和裁剪，而且安全性能較高，是比較理想的軟件設(shè)計(jì)平臺(tái)。

二、計(jì)算機(jī)網(wǎng)絡(luò)的安全保障實(shí)現(xiàn)路徑

防火墻設(shè)計(jì)模塊分為數(shù)據(jù)路、包過(guò)濾、身份認(rèn)證等模塊。鏈路層建立在物理層傳輸能力基礎(chǔ)上，位于內(nèi)外網(wǎng)之間，包括IP、ARP和RARP協(xié)議，其中IP協(xié)議實(shí)現(xiàn)數(shù)據(jù)傳輸，ARP和RARP模塊實(shí)現(xiàn)地址信息的接受。在防火墻系統(tǒng)實(shí)現(xiàn)中，需要配置硬件，設(shè)置intranet內(nèi)部網(wǎng)址，同時(shí)配置相應(yīng)的軟件地址。主要復(fù)制內(nèi)核文件，busybox-1.18.5 linux linux-3.0.1.tar.bz。復(fù)制到源代碼目錄并命名為.config，root@server56 src]# cd linux-3.0.1；/boot/config-2.6.18-164.el5. /.config。進(jìn)入編譯配置界面，使用make命令編譯內(nèi)核，[root@ server56 linux-3.0.1] # make，makemake modules_install。將內(nèi)核信息寫入grub中，重新啟動(dòng)系統(tǒng)。命令brcfg_era 調(diào)用： br_forward 模塊。

身份認(rèn)證模塊并不具有靈活性，該設(shè)計(jì)系統(tǒng)比較適合小型單位，因此在設(shè)計(jì)中，需要設(shè)計(jì)用戶自制，錄入用戶資源信息，對(duì)內(nèi)部成員實(shí)現(xiàn)用戶認(rèn)證，需要解決身份認(rèn)證和記錄問(wèn)題。

用戶認(rèn)證模塊設(shè)計(jì)中， 用戶進(jìn)圖模塊，判斷用戶信息，符合則進(jìn)入數(shù)據(jù)庫(kù)，茍澤生成配置文件，進(jìn)圖系統(tǒng)主控程序。

主機(jī)發(fā)起訪問(wèn)，需要在數(shù)據(jù)包報(bào)頭中指明IP地址，數(shù)據(jù)包被處理時(shí)，源地址替換為防火墻出口段IP地址，同時(shí)防火墻可會(huì)出現(xiàn)臨時(shí)端口，回應(yīng)數(shù)據(jù)到來(lái)時(shí)，外部制劑能夠看到端口號(hào)。該模塊充分利用內(nèi)核模塊設(shè)計(jì)優(yōu)勢(shì)，模塊初始化有con-lter實(shí)現(xiàn)。

在防火墻配置中，NAT和ACL是重點(diǎn)，ACL實(shí)現(xiàn)訪問(wèn)控制，NAT則實(shí)現(xiàn)計(jì)算機(jī)訪問(wèn)地址轉(zhuǎn)換。建立內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)，將PC2、Core連接起到，利用軟件進(jìn)行配置。

Linux網(wǎng)絡(luò)協(xié)議棧按照分層設(shè)計(jì)思想，分為系統(tǒng)判斷、協(xié)議無(wú)關(guān)、協(xié)議實(shí)現(xiàn)、驅(qū)動(dòng)以及無(wú)關(guān)設(shè)備驅(qū)動(dòng)層。模塊驅(qū)動(dòng)中，先判斷insmod，登記成功則成功插入，否則返回。檢測(cè)網(wǎng)絡(luò)設(shè)備名字，確定進(jìn)入init-function函數(shù)，確定網(wǎng)卡設(shè)備是否存在，存在則進(jìn)行初始化工作，存在則初始化成功。以上模塊驅(qū)動(dòng)中，需要監(jiān)測(cè)和初始化網(wǎng)絡(luò)設(shè)備，啟動(dòng)時(shí)，系統(tǒng)能夠檢測(cè)可能存在的設(shè)備。

主要過(guò)程為啟動(dòng)時(shí)，在dec-base列表上檢測(cè)網(wǎng)絡(luò)設(shè)備結(jié)構(gòu)，采用net-dev-init函數(shù)對(duì)節(jié)點(diǎn)進(jìn)行init函數(shù)指針，說(shuō)明設(shè)備存在，設(shè)備不存在則刪除，保存信息完成初始化，系統(tǒng)完成內(nèi)核啟動(dòng)后，產(chǎn)生init進(jìn)程，刁穎sys-setup初始化設(shè)備，啟動(dòng)檢測(cè)程度，實(shí)現(xiàn)設(shè)備檢測(cè)。

網(wǎng)卡初始化函數(shù)任務(wù)為判斷該設(shè)備是夠存在，完成網(wǎng)卡驅(qū)動(dòng)后，傳輸網(wǎng)絡(luò)數(shù)據(jù)，注冊(cè)ei-interrupt（）后處理服務(wù)程序結(jié)構(gòu)數(shù)據(jù)。

三、安全測(cè)試

以某單位實(shí)際工作環(huán)境為背景，從外層防火墻進(jìn)行分析，在測(cè)試中判斷性能質(zhì)量。預(yù)期結(jié)構(gòu)正向ping成功，訪問(wèn)被禁止，規(guī)則不允許，實(shí)測(cè)結(jié)果征象成功，反向不同，訪問(wèn)被禁止，與預(yù)測(cè)結(jié)果相一致。IP過(guò)濾規(guī)則對(duì)數(shù)據(jù)包測(cè)試，預(yù)測(cè)正向成功，反向禁止，訪問(wèn)被禁止，實(shí)測(cè)結(jié)果與預(yù)期結(jié)果一致。將IP包過(guò)濾應(yīng)用于FTP服務(wù)，實(shí)測(cè)結(jié)果禁止telnet訪問(wèn)，允許PTP訪問(wèn)，與預(yù)期結(jié)果一致。對(duì)防火墻進(jìn)行攻擊測(cè)試，測(cè)試結(jié)果顯示防火墻能夠抵御絕大多數(shù)網(wǎng)絡(luò)攻擊，與預(yù)期結(jié)果相一致。

四、總結(jié)

總之，本文主要分析基于LINUX防火墻網(wǎng)絡(luò)安全設(shè)計(jì)，經(jīng)過(guò)測(cè)試，防火墻能夠?qū)崿F(xiàn)與測(cè)試工作的雙重性能，包過(guò)濾技術(shù)能夠綜合性分析數(shù)據(jù)包和應(yīng)用層規(guī)則，在未來(lái)整合中能夠整合更多范疇，采用分布式設(shè)計(jì)結(jié)構(gòu)，安全防護(hù)強(qiáng)度大大提高，管理員能夠第一事件處理相關(guān)事務(wù)。