導(dǎo)語(yǔ)：防火墻網(wǎng)絡(luò)安全設(shè)計(jì)與實(shí)現(xiàn)探討一文來(lái)源于網(wǎng)友上傳，不代表本站觀點(diǎn)，若需要原創(chuàng)文章可咨詢客服老師，歡迎參考。

0引言

網(wǎng)絡(luò)在我們?nèi)粘Ｉa(chǎn)生活中應(yīng)用越來(lái)越普及，黑客技術(shù)也在不斷發(fā)展，網(wǎng)絡(luò)在改變我們的生活的同時(shí)，我們面臨的威脅也越來(lái)越大，如何避免網(wǎng)絡(luò)不受到非法的攻擊，保證網(wǎng)絡(luò)安全是目前必須要解決的一個(gè)重大問(wèn)題。LINUX防火墻作為保護(hù)網(wǎng)絡(luò)安全的一個(gè)重要部分，它的性價(jià)比高，安全性強(qiáng)，因此應(yīng)用較為廣泛。

1網(wǎng)絡(luò)安全概述

網(wǎng)絡(luò)安全指的就是在使用網(wǎng)絡(luò)的過(guò)程中，安全系統(tǒng)為防止用戶的數(shù)據(jù)信息因惡意或者偶然因素導(dǎo)致破壞而對(duì)硬件、軟件系統(tǒng)中的數(shù)據(jù)進(jìn)行保護(hù)。網(wǎng)絡(luò)安全主要有以下幾個(gè)特征：（1）保密性：保證未經(jīng)授權(quán)前提下信息不被泄露；（2）完整性：在數(shù)據(jù)信息未經(jīng)授權(quán)的前提下，保障信息在存儲(chǔ)或者傳輸中不被修改和破壞；（3）可用性：保障合法用戶在網(wǎng)絡(luò)環(huán)境下能夠獲取自己所需要的相關(guān)數(shù)據(jù)信息。比方說(shuō)，破壞網(wǎng)絡(luò)、拒絕服務(wù)等等行為在網(wǎng)絡(luò)環(huán)境下就不屬于可用性的范疇；（4）可控性：用戶在網(wǎng)絡(luò)環(huán)境下對(duì)信息進(jìn)行傳遞的過(guò)程中，對(duì)信息的內(nèi)容以及傳播能夠加以控制；（5）可審查行性：網(wǎng)絡(luò)用戶的信息丟失或被竊取等等安全問(wèn)題出現(xiàn)的時(shí)候能夠提供相應(yīng)的手段和依據(jù)。

2防火墻概述

防火墻，通俗的來(lái)說(shuō)就是包含有軟硬件的在內(nèi)外部網(wǎng)之間的一種保護(hù)屏障。防火墻主要包括服務(wù)訪問(wèn)規(guī)則、應(yīng)用網(wǎng)關(guān)、包過(guò)濾以及驗(yàn)證工具四大部分組成。能夠?qū)崿F(xiàn)對(duì)內(nèi)部網(wǎng)的信息進(jìn)行有效的安全防護(hù)，其中，計(jì)算機(jī)中通過(guò)的所有的網(wǎng)絡(luò)通信以及數(shù)據(jù)信息都要經(jīng)過(guò)防火墻。防火墻主要有網(wǎng)絡(luò)層防火墻、應(yīng)用層防火墻以及數(shù)據(jù)庫(kù)防火墻三種類型。（1）網(wǎng)絡(luò)層防火墻：網(wǎng)絡(luò)層防火墻能夠?qū)P實(shí)行有效的封包過(guò)濾，并運(yùn)行在底層的TCP/IP協(xié)議堆棧上，管理員能夠?qū)Ψ獍南嚓P(guān)規(guī)則進(jìn)行定義和相關(guān)的修改工作；（2）應(yīng)用層防火墻：應(yīng)用層防火墻跟網(wǎng)絡(luò)層防火墻不同，它是運(yùn)行在TCP/IP協(xié)議堆棧的應(yīng)用層上。它能夠?qū)σ恍?yīng)用程序的所有封包進(jìn)行攔截和封鎖，從理論上來(lái)說(shuō)，這種類型的防火墻基本上可以實(shí)現(xiàn)對(duì)外部數(shù)據(jù)的完全阻絕，不讓外部數(shù)據(jù)進(jìn)入到受保護(hù)的計(jì)算機(jī)中；（3）數(shù)據(jù)庫(kù)防火墻：該防火墻是建立在數(shù)據(jù)庫(kù)協(xié)議分析和控制技術(shù)的數(shù)據(jù)庫(kù)系統(tǒng)之上的一種安全防護(hù)系統(tǒng)。數(shù)據(jù)庫(kù)防火墻能夠主動(dòng)防御，有效的控制數(shù)據(jù)庫(kù)的訪問(wèn)行為，對(duì)訪問(wèn)數(shù)據(jù)庫(kù)中的危險(xiǎn)行為進(jìn)行有效的阻斷，對(duì)訪問(wèn)數(shù)據(jù)庫(kù)中的一些可疑的行為進(jìn)行有效的審計(jì)，從而保護(hù)計(jì)算機(jī)的數(shù)據(jù)庫(kù)系統(tǒng)。

3LINUX環(huán)境下的防火墻網(wǎng)絡(luò)安全設(shè)計(jì)

3.1LINUX環(huán)境下防火墻網(wǎng)絡(luò)安全設(shè)計(jì)原則

對(duì)LINUX環(huán)境下的防火墻網(wǎng)絡(luò)安全系統(tǒng)的設(shè)計(jì)，主要包括硬件設(shè)計(jì)和軟件設(shè)計(jì)兩方面。硬件部分可以根據(jù)其性能和要求，盡量選擇性價(jià)比高的設(shè)備，軟件設(shè)計(jì)作為該防火墻系統(tǒng)的重點(diǎn)，要求軟件系統(tǒng)保證模塊化，采用模塊化設(shè)計(jì)，一方面能夠有效保證防火墻系統(tǒng)的可靠性和易維護(hù)性，另一方面還能夠保證防火墻系統(tǒng)易擴(kuò)充和靈活，尤其在防火墻系統(tǒng)的升級(jí)的情況下。在防火墻系統(tǒng)的設(shè)計(jì)中，必須要保證系統(tǒng)的可靠性、穩(wěn)定性以及針對(duì)性，使得防火墻能夠?qū)Σ煌脩粼O(shè)置不同的權(quán)限，有效的防止和降低系統(tǒng)外部的非法攻擊與破壞，從而達(dá)到網(wǎng)絡(luò)安全性的提升。

3.2防火墻系統(tǒng)的設(shè)計(jì)功能和目標(biāo)

在防火墻系統(tǒng)的設(shè)計(jì)中，防火墻要能夠?qū)?jīng)由它的網(wǎng)絡(luò)信息和數(shù)據(jù)進(jìn)行掃描工作，將一些攻擊過(guò)濾掉；通過(guò)對(duì)部分特定端口的通信流出予以禁止和對(duì)特殊站點(diǎn)的一些訪問(wèn)予以關(guān)閉，從而保證系統(tǒng)的安全。基于LINUX環(huán)境下防火墻系統(tǒng)的功能主要有：（1）實(shí)現(xiàn)對(duì)數(shù)據(jù)庫(kù)的安全防護(hù)：防火墻系統(tǒng)能夠根據(jù)SQL協(xié)議分析，只對(duì)一些合法的SQL操作放行，從源頭上斬?cái)喾欠ú僮?，保證數(shù)據(jù)庫(kù)的外圍安全，此外，防火墻系統(tǒng)還能夠?qū)σ恍㏒QL危險(xiǎn)操作的審計(jì)和預(yù)防，這樣一來(lái)，一內(nèi)一外實(shí)現(xiàn)了對(duì)數(shù)據(jù)庫(kù)的安全防護(hù)；（2）實(shí)現(xiàn)對(duì)信息外泄的防止：在防火墻系統(tǒng)的設(shè)計(jì)過(guò)程中，必須要將內(nèi)部網(wǎng)絡(luò)合理劃分、保證重點(diǎn)網(wǎng)段的有效隔離納入到設(shè)計(jì)理念中來(lái)，在很大程度上解決了一些局部重點(diǎn)的網(wǎng)絡(luò)安全問(wèn)題等等給全局網(wǎng)羅的安全帶來(lái)的影響，從而有效的防止系統(tǒng)信息的外泄；（3）實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)的監(jiān)控和監(jiān)聽：防火墻系統(tǒng)能夠?qū)υL問(wèn)進(jìn)行相應(yīng)的記錄，保證了網(wǎng)絡(luò)使用情況信息的精準(zhǔn)，同時(shí)，防火墻系統(tǒng)還能夠?qū)σ恍┛梢傻脑L問(wèn)進(jìn)行報(bào)警，并提供網(wǎng)絡(luò)受到不法攻擊和不法檢測(cè)的依據(jù)，此外，能夠及時(shí)將這些信息資料反饋到系統(tǒng)管理員那里，從而保障了系統(tǒng)的安全；（4）實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)安全策略的管理：在防火墻系統(tǒng)中，系統(tǒng)管理員能夠制定合理的網(wǎng)絡(luò)安全方案，針對(duì)不同用戶，制定出不同權(quán)限的權(quán)限表以及不同用戶的基本信息表，并將這些信息應(yīng)用到防火墻系統(tǒng)中，這樣一來(lái)，在用戶使用網(wǎng)絡(luò)的過(guò)程中，防火墻能夠根據(jù)管理員提供的信息表對(duì)不同用戶不同的權(quán)限允許其進(jìn)行不同的操作，實(shí)現(xiàn)了對(duì)網(wǎng)絡(luò)安全問(wèn)題的集中管理。

3.3防火墻的實(shí)現(xiàn)方式與測(cè)試環(huán)境

根據(jù)上文中防火墻的相關(guān)功能，可以在防火墻設(shè)計(jì)中，采用合適數(shù)量的端口，在系統(tǒng)中，一些網(wǎng)卡實(shí)現(xiàn)對(duì)服務(wù)器的安全防護(hù)，剩余的網(wǎng)卡則是主要對(duì)數(shù)據(jù)信息實(shí)現(xiàn)交換，在這里，需要注意的就是數(shù)據(jù)交換并不包括IP的轉(zhuǎn)化；此外，通過(guò)設(shè)置防火墻系統(tǒng)，能夠?qū)崿F(xiàn)用戶信息傳遞過(guò)程中不需要進(jìn)行訪問(wèn)。在對(duì)防火墻系統(tǒng)進(jìn)行測(cè)試的時(shí)候，直接采用源代碼公開的LINUX操作系統(tǒng)進(jìn)行測(cè)試即可。

4LINUX環(huán)境下的防火墻網(wǎng)絡(luò)安全實(shí)現(xiàn)

4.1身份認(rèn)證模塊的實(shí)現(xiàn)

對(duì)用戶身份認(rèn)證識(shí)別，要具有靈活性。一般來(lái)說(shuō)，防火墻的設(shè)計(jì)中，要對(duì)內(nèi)部用戶進(jìn)行資源訪問(wèn)進(jìn)行有效的控制，身份認(rèn)證實(shí)現(xiàn)的流程圖如圖1所示：圖1對(duì)用戶身份的認(rèn)證

4.2網(wǎng)絡(luò)地址轉(zhuǎn)換的實(shí)現(xiàn)

在對(duì)防火墻進(jìn)行配置的時(shí)候，通過(guò)對(duì)NAT配置，保證內(nèi)網(wǎng)計(jì)算機(jī)在訪問(wèn)外網(wǎng)時(shí)的地址轉(zhuǎn)換，確保內(nèi)外網(wǎng)二者之間能夠?qū)崿F(xiàn)對(duì)對(duì)方的訪問(wèn)；此外，ACL訪問(wèn)的設(shè)置，能夠有效地確保內(nèi)網(wǎng)計(jì)算機(jī)的訪問(wèn)權(quán)限的設(shè)置，對(duì)內(nèi)網(wǎng)訪問(wèn)外網(wǎng)或者內(nèi)網(wǎng)計(jì)算機(jī)之間的相互訪問(wèn)予以阻止。

4.3路由器記錄模塊的設(shè)計(jì)實(shí)現(xiàn)

在路由器記錄模塊功能的實(shí)現(xiàn)中，路由選擇選項(xiàng)能夠?qū)崿F(xiàn)對(duì)路由器選擇路由的控制和監(jiān)視。路由器將處理過(guò)的數(shù)據(jù)信息后將其IP地址加入到源主機(jī)生成的IP地址空表中來(lái)，同時(shí)，路由選擇選項(xiàng)就那個(gè)數(shù)據(jù)報(bào)的相關(guān)記錄加以設(shè)置，進(jìn)而采用相關(guān)的結(jié)構(gòu)實(shí)現(xiàn)數(shù)據(jù)的轉(zhuǎn)換，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)數(shù)據(jù)在協(xié)議層之間移動(dòng)過(guò)程描述。

4.4LINUX的TCP/IP實(shí)現(xiàn)

在LINUX的TCP/IP實(shí)現(xiàn)中，模塊的驅(qū)動(dòng)需要對(duì)被裝載的網(wǎng)絡(luò)設(shè)備進(jìn)行相關(guān)的檢測(cè)和初始化，對(duì)內(nèi)核啟動(dòng)的驅(qū)動(dòng)方法，則需要檢測(cè)和初始化所有內(nèi)核支持的網(wǎng)絡(luò)設(shè)備，在初始化過(guò)程中，LINUX調(diào)用了init函數(shù)對(duì)網(wǎng)卡進(jìn)行了驅(qū)動(dòng)，實(shí)現(xiàn)對(duì)設(shè)備是否存在的檢測(cè)、對(duì)網(wǎng)絡(luò)設(shè)備終端號(hào)的檢測(cè)等等工作。

5結(jié)束語(yǔ)

本文主要通過(guò)對(duì)網(wǎng)絡(luò)安全和防火墻進(jìn)行詳細(xì)的概述，并就LINUX環(huán)境下防火墻網(wǎng)絡(luò)安全設(shè)計(jì)從LINUX環(huán)境下防火墻網(wǎng)絡(luò)安全設(shè)計(jì)原則、防火墻系統(tǒng)的設(shè)計(jì)功能和目標(biāo)以及防火墻的實(shí)現(xiàn)方式與測(cè)試環(huán)境三方面來(lái)進(jìn)行詳細(xì)的分析，并從身份認(rèn)證模塊的實(shí)現(xiàn)、網(wǎng)絡(luò)地址轉(zhuǎn)換的實(shí)現(xiàn)、路由器記錄模塊的設(shè)計(jì)實(shí)現(xiàn)以及LINUX的TCP/IP實(shí)現(xiàn)對(duì)LINUX環(huán)境下防火墻網(wǎng)絡(luò)安全實(shí)現(xiàn)進(jìn)行探討。

作者:劉成 單位:湖北生物科技職業(yè)學(xué)院

引用：

[1]劉清毅.淺談防火墻在網(wǎng)絡(luò)安全中應(yīng)用[J].電子測(cè)試，2015.

[2]李華清.防火墻網(wǎng)絡(luò)安全技術(shù)分析[J].電子制作，2014.

[3]秦拯，厲怡君，歐露等.一種基于SFDD的狀態(tài)防火墻規(guī)則集比對(duì)方法[J].湖南大學(xué)學(xué)報(bào)（自然科學(xué)版），2014.

[4]王俊康.基于防火墻網(wǎng)絡(luò)安全技術(shù)分析[J].信息通信，2015.

[5]羅彩君.基于Linux系統(tǒng)的網(wǎng)絡(luò)安全策略研究[J].電子設(shè)計(jì)工程，2013.