基于LINUX的网络安全与防火墙设置探讨.pdfVIP

基于LINUX的网络安全与防火墙设置探讨 刘童娜张谦 河北保定华北电力大学，保定，071000 摘耍本文简要介绍了防火墙在网络信息安全中的重要作用。描述了防火墙的原理及分类，分 析了构建防火墙时对防火墙的选择与设置，并以LINUX屏蔽子网防火墙为例说明了防火墙的主要 规则设置方法。最后提出了面对网络安全问题应用防火墙所面临的挑战。 关键词防火墙。网络，Intemet。Linux I 引言 渠道。然而，这种灵活性同时也不可避免地带来了各种各样网络安全问题。可以说网络的安 全问题主要是由网络的开放性、无边界性、自由性造成的，所以我们考虑网络的安全首先应该 考虑把被保护的网络由开放的、无边界的网络环境中独立出来，成为可管理、可控制的安全的 内部网络。只有这样，实现信息网络的安全才有可能，而最基本的分隔手段就是防火墙。利用 防火墙，可以实现内部网(信任网络)与外部不可信任网络(如因特网)之间或是内部网不同网 络安全域的隔离与访问控制，保证网络系统及网络服务的可用性。本文在分析现有防火墙分 类的基础上，对网络安全以及防火墙构建提出了一些看法。 2 防火墙的类型 2．1 包过滤路由器 最常见的防火墙是放在Intemet和内部网络之间的包过滤路由器。包过滤路由器在网络 之间完成数据包转发的普通路由功能，并利用包过滤规则来允许或拒绝数据包。 2．2屏蔽主机防火墙 屏蔽主机防火墙系统采用了包过滤路由器和堡垒主机组成。这个防火墙系统提供的安全 等级比包过滤防火墙系统要高，因为它实现了网络层安全(包过滤)和应用层安全(代理服 务)。所以入侵者在破坏内部网络的安全性之前，必须首先渗透两种不同的安全系统。对于 这种防火墙系统，堡垒主机配置在内部网络上，而包过滤路由器则放置在内部网络和Internet 之间。在路由器上进行规则配置，使得外部系统只能访问堡垒主机，去往内部系统上其他主机 的信息全部被阻塞。 160 2．3 DMZ或屏蔽子网防火墙 DMZ或屏蔽子网防火墙系统的实例采用了两个包过滤路由器和一个堡垒主机。这个防 火墙系统建立的是最安全的防火墙系统，因为在定义了DMZ网络后，它支持网络层和应用层 安全功能。网络管理员将堡垒主机，信息服务器，Modem组，以及其他公用服务器放在DMZ 息传输是严格禁止的。 3 网络防火墙的选择与构建 网络面对日益严重的信息安全隐患的同时都在积极的寻求解决的方案，面对功能各异的 防火墙产品做出—个适合自身需要的选择是比较困难的，我觉得在选择防火墙时特别应该注 意以下几个方面： 3．1 防火墙一般应具备如下性能 (1)防火墙除包含先进的鉴别措施，还应采用如包过滤技术、加密技术、可信的信息技术 等尽量多的技术。同时需要配备身份识别及验证、信息的保密性保护、信息的完整性校验、系 统的访问控制机制、授权管理等。 (2)防火墙过滤语言应该是友好灵活的，同时应具备若干诸如源和耳的口地址、协议类 型、源和目的TCP／UDP端口及入出接口等过滤属性。 (3)防火墙应该忠实地支持自己的安全性策略，并能灵活地容纳新的服务和机构，改变所 需的安全策略。防火墙应包含集中化的SMTP访问能力，以简化本地与远程系统的SMTP连 接，实现本地E—mail集中处理。 (4)若防火墙需Unix之类的操作系统，该系统的版本安全本身就是一个需要考虑的重要 问题，应该作为防火墙的一部分，当用其他安全工具时，要保证防火墙主机的完整性，而且该系 统应能整体安装。防火墙及操作系统应该可更新，并能用简易的方法解决系统故障等。 3．2制定安全计划 选购防火墙前，还应认真制定安全政策，也就是要判定一个周密计划。安全政策是规定什 么人或什么事允许连接到哪些人或哪些事。也就是说，事先要考虑把防火墙放在网络系统的 哪一个位置上，才能满足自己的需求，才能确定欲购的防火墙所能接受的风险水平。 3．3 防火墙性能要均衡 在选择防火墙时不仅要考虑防火墙的安全性、实用性，而且要根据自己的还要考虑经济 性，防火墙产品的安全性、实用性和经济性是相互制约和平衡的。 161 4 基于LINUX的防火墙设置 一级防火墙是整个内部网络对外的枢纽，是一定需要设立的。它一边连接单位内部网络， 一边通往外部网络。外部网