基于 Internet 技术的网络教学平台组建 —— 论防火墙技术设计策略 Construction of network teaching platform based on Internet technique —— Strategy of firewall technique design [摘要] 防火墙是一种确保网络安全的方法，通过隔离、过滤、封锁等技术，防止来自 外部网络的攻击。本文对防火墙自我保护能力和防火墙体系结构进行了分析，并给出了设计 方法。 [关键字] 防火墙；攻击；路由器；分析 [Abstract] The firewall，an efficient measure which is used to protect the safety of network， prevents from attacking of outer network by technologies such as insulating ， filtering and blockage etc. This article analyses the structure and self-protect designing of firewall ，and also supplies designing method. [Keywords] firewall; attack; router; analyse 1 引 言 古时候，人们常在寓所之间砌起一道砖墙，一旦火灾发生它能够防止火势蔓延到别的寓 所。自然，此种砖墙因此而得名“防火墙”。现在，如果一个网络接入到 Internet 上，在与 外界进行通信时，势必也会存在着“火灾发生”。 如何确保网络安全？作为网络安全产品中的防火墙技术，是目前最为成熟的技术。防火 墙是建立在内外网络边界上的过滤封锁机制，对内连接 LAN，对外连接 Internet，通过隔离、 过滤、封锁等技术，阻止信息资源的非法访问。 2 防火墙设计首要、重点问题 由于防火墙处于内外网络边界上，承担过滤、封锁等工作，自然也是众多攻击者的目标。 因此，其自我保护能力（安全性）是设计时的首要、重点问题。 2.1 专用服务器端口 为降低设计上的难度，通过在防火墙上增设专用服务器端口，来与主机进行连接。除专 用服务器外，防火墙不接受任何其他端口的直接访问。由于管道通信是单独的通道，所以不 管是内网主机还是外网主机都无法窃听到该通信，显然是很安全的。 2.2 透明应用代理 提供对高层应用服务，如 HTTP、FTP、SMTP 等的透明代理，终端无需在客户机上进 行代理服务器设置。管理员在防火墙产品上配置相关规则，这些配置对用户来说完全是透明 的。用户访问 Web、FTP 等服务时，自由进行代理转发，外部网络不能通过代理主动访问内 部网络，从而有效保证了内部网络的安全。 3 防火墙体系结构构建 防火墙结构可使用多种不用部件的组合来构建，每个部件根椐所提供的服务及所能接受 的安全等级而解决不同的问题。常见的几种构建方式分析如下： 3.1 双宿主机 双宿主机将内外网络隔离，防火墙内部的网络系统与外部的网络系统都与双宿主机通 信。这样，内外网络之间的 IP 数据流是完全切断的，只有入侵者得到双宿主机的访问权， 

才会侵入内部网络。所以为了保证内部网安全，双宿主机应禁止网络层的路由功能，避免防 火墙上过多的用户账号。 3.2 屏蔽主机 主机与内部网相连，使用一台单独的过滤路由器强迫所有到达路由器的数据包被发送到 被屏蔽主机，任何试图访问内部系统或服务器的外部系统都须与此主机相连。过滤路由器能 否正确配置是这种防火墙结构安全的关键，因此过滤路由器中的路由表应严加保护，防止路 由表破坏造成数据包越过主机侵入内部网络。 3.3 屏蔽子网 在以上基础上，增加一个 DMZ（隔离区），进一步将内网与外网隔开。采取两个过滤路 由器，攻击者就算攻入了主机，还得通过内部路由器。所以原则上说，此种方式的网络是安 全的。 4 应对常见攻击方式的策略 4.1 病毒 尽管某些防火墙产品提供了在数据包通过时进行病毒扫描的功能，但仍然很难将所有的 病毒（或特洛伊木马程序）阻止在网络外面，黑客很容易欺骗用户下载一个程序从而让恶意 代码进入内部网。 策略：设定安全等级，严格阻止系统在未经安全检测的情况下执行下载程序；或者通过 常用的基于主机的安全方法来保护网络。 4.2 口令字 对口令字的攻击方式有两种：穷举和嗅探。穷举针对来自外部网络的攻击，来猜测防火 墙管理的口令字。嗅探针对内部网络的攻击，通过监测网络获取主机给防火墙的口令字。 策略：设计主机与防火墙通过单独接口通信（即专用服务器端口）、采用一次性口令或 禁止直接登录防火墙。 4.3 邮件 来自于邮件的攻击方式越来越突出，在这种攻击中，垃圾邮件制造者将一条消息复制成 成千上万份，并按一个巨大的电子邮件地址清单发送这条信息，当用户不经意打开邮件时， 恶意代码即可进入。 策略：打开防火墙上的过滤功能，在内网主机上采取相应阻止措施。 IP 地址 4.4 黑客利用一个类似于内部网络的 IP 地址，以“逃过”服务器检测，从而进入内部网达 到攻击的目的。 策略：通过打开内核 rp_filter 功能，丢弃所有来自网络外部但却有内部地址的数据包； 同时将特定 IP 地址与 MAC 绑定，只有拥有相应 MAC 地址的用户才能使用被绑定的 IP 地 址进行网络访问。 5 基本决策 5.1 方案选择 市场上的防火墙大致有软件防火墙和硬件防火墙两大类。软件防火墙需运行在一台标准 的主机设备上，依托网络在操作系统上实现防火墙的各种功能，因此也称“个人”防火墙， 其功能有限，基本上能满足单个用户。硬件防火墙则是把硬件和软件都单独设计，并集成在 一起，运行于自己专用的系统平台上。由于硬件防火墙集合了软件方面的功能，因此更为强 

大，目前已普遍使用。 在制造上，硬件防火墙须同时设计硬件和软件两方面。国外厂家基本上是将软件运算硬 件化，把主要运算程序做成芯片，以减少 CPU 的运算压力；国内厂家的防火墙硬件平台仍 使用通用 PC 系统，增加了内存容量，增大了 CPU 的频率。在软件性能方面，国外一些著 名的厂家均采用专用的操作系统，自行设计防火墙，提供高性能的产品；而国内厂家大部分 采用基于 Linux 的操作平台，有针对性地修改代码、增加技术及系统补丁等。因此，国产防 火墙与国外的相比仍有一定差距。但科技的进步，也生产出了较为优秀的产品，如北京天融 信的 NG 系列产品，支持 TOPSEC 安全体系、多级过滤、透明应用代理等先进技术。 5.2 结构透明 防火墙的透明性是指防火墙对于用户是透明的。以网桥的方式将防火墙接入网络，网络 和用户无需做任何设置和改动，也根本意识不到防火墙的存在。用户根椐自己企业的网络规 模，以及安全策略来选择合适的防火墙的构造结构（可参照本文第 3 点分析），如果经济实 力雄厚的，可采用屏蔽子网的拓扑结构。 5.3 坚持策略 （1）管理主机与防火墙专用服务器端口连接，形成单独管理通道，防止来自内外部的 攻击。 （2）使用 FTP、Telnet、News 等服务代理，以提供高水平的审计和潜在的安全性。 （3）支持“除非明确允许，否则就禁止”的安全防范原则。 （4）确定可接受的风险水平，如监测什么传输，允许和拒绝什么传输流通过。 5.4 实施措施 好的防火墙产品应向使用者提供完整的安全检查功能，应有完善及时的售后服务。但一 个安全的网络仍必须靠使用者的观察与改进，企业要达到真正的安全仍需内部的网络管理者 不断记录、追踪、改进，定期对防火墙和相应操作系统用补丁程序进行升级。 6 结束语 以上从防火墙所具有的功能出发，分别介绍了防火墙技术在设计时的重点问题、防火墙 体系结构的构建、常见攻击方式的防范及基本设计决策。全文在分析的基础上给出了具体的 解决方法，企业在设计过程中应根据自身条件出发，选择最优的策略。 参 考 文 献 [1] 陶笃纯，饶友玲，康晓东编著. 网站建设项目管理. 北京：人民邮电出版社，2002 [2] 彭涛编著. 计算机网络教程. 北京：机械工业出版社，2002 [3] IBON.Marshield 网络安全技术白皮书. 艾邦公司资料，2002 致 谢 在这次毕业设计中，我得到了 XXX 教师的大力支持和帮助，特表示衷心的感谢。同时 也感谢同组同学。马上就要踏上工作的岗位，本文也算是我人生中的一段总结。真心感谢所 有传授给我知识的敬爱的老师们。在你们的精心教导下，我度过了一段充实、精彩的大学生 活，谢谢你们！