论防火墙技术设计策略

[摘要]　防火墙是一种确保网络安全的方法，通过隔离、过滤、封锁等技术，防止来自外部网络的攻击。本文对防火墙自我保护能力和防火墙体系结构进行了分析，并给出了设计方法。 [关键字]　防火墙；攻击；路由器；分析 1 ?引 言 古时候，人们常在寓所之间砌起一道砖墙，一旦火灾发生它能够防止火势蔓延到别的寓所。自然，此种砖墙因此而得名“防火墙”。现在，如果一个网络接入到Internet上，在与外界进行通信时，势必也会存在着“火灾发生”。 如何确保网络安全？作为网络安全产品中的防火墙技术，是目前最为成熟的技术。防火墙是建立在内外网络边界上的过滤封锁机制，对内连接LAN，对外连接Internet，通过隔离、过滤、封锁等技术，阻止信息资源的非法访问。 2 ?防火墙设计首要、重点问题 由于防火墙处于内外网络边界上，承担过滤、封锁等工作，自然也是众多攻击者的目标。因此，其自我保护能力（安全性）是设计时的首要、重点问题。 2.1? 专用服务器端口 为降低设计上的难度，通过在防火墙上增设专用服务器端口，来与主机进行连接。除专用服务器外，防火墙不接受任何其他端口的直接访问。由于管道通信是单独的通道，所以不管是内网主机还是外网主机都无法窃听到该通信，显然是很安全的。 2.2? 透明应用代理 提供对高层应用服务，如HTTP、FTP、SMTP等的透明代理，终端无需在客户机上进行代理服务器设置。管理员在防火墙产品上配置相关规则，这些配置对用户来说完全是透明的。用户访问Web、FTP等服务时，自由进行代理转发，外部网络不能通过代理主动访问内部网络，从而有效保证了内部网络的安全。 3 ?防火墙体系结构构建 防火墙结构可使用多种不用部件的组合来构建，每个部件根椐所提供的服务及所能接受的安全等级而解决不同的问题。常见的几种构建方式分析如下： 3.1 ?双宿主机 双宿主机将内外网络隔离，防火墙内部的网络系统与外部的网络系统都与双宿主机通信。这样，内外网络之间的IP数据流是完全切断的，只有入侵者得到双宿主机的访问权，才会侵入内部网络。所以为了保证内部网安全，双宿主机应禁止网络层的路由功能，避免防火墙上过多的用户账号。 3.2 ?屏蔽主机 主机与内部网相连，使用一台单独的过滤路由器强迫所有到达路由器的数据包被发送到被屏蔽主机，任何试图访问内部系统或服务器的外部系统都须与此主机相连。过滤路由器能否正确配置是这种防火墙结构安全的关键，因此过滤路由器中的路由表应严加保护，防止路由表破坏造成数据包越过主机侵入内部网络。 3.3 ?屏蔽子网 在以上基础上，增加一个DMZ（隔离区），进一步将内网与外网隔开。采取两个过滤路由器，攻击者就算攻入了主机，还得通过内部路由器。所以原则上说，此种方式的网络是安全的。