企业网防火墙设计与实现.docVIP

企业网防火墙的设计与实现 　　一、引言 　　 　　随着计算机网络技术的不断发展，组网成本不断下降，很多企业为了充分合理地利用企业内部资源，提高管理水平和效益，都在建立自己的内部信息网络，把企业内不同区域，不同部门的各种信息资源通过网络技术有机地结合在一起，构成企业网，以便人们共享信息资源，同时企业网通过Internet外延，使它既可享用Internet上的资源，也可通过OA系统实现远程办公。但是，这也给企业网带来了严重的安全问题，这是企业网建设中必须认真考虑的问题。近几年，Linux操作系统越来越受到网络管理员的喜爱，本文即借助Linux操作系统强大的网络功能实现企业网防火墙，可以为企业节省一笔不菲的开支。 　　 　　二、防火墙 　　 　　防火墙是由一个或一组网络设备（计算机或路由器等），可用来在两个或多个网络间加强访问控制。 　　设立防火墙的主要目的是保护一个网络不受来自另一个网络的攻击。 　　通常，被保护的网络属于我们自己，或者是我们负责管理的，而所要防备的网络则是一个外部的网络，该网络是不可信赖的，因为可能有人会从该网络上对我们的网络发起攻击，破坏网络安全。 　　对网络的保护包括下列工作：拒绝未经授权的用户访问，阻止未经授权的用户存取敏感数据，同时允许合法用户不受妨碍地访问网络资源。 　　如果某个网络决定设定防火墙，那么首先需要由网络决策人员及网络专家共同决定本网络的安全策略（security policy），即确定那些类型的信息允许通过防火墙，那些类型的信息不允许通过防火墙。 　　防火墙的职责就是根据本单位的安全策略，对外部网络与内部网络交流的数据进行检查，符合的予以放行，不符合的拒之门外。 　　在设计防火墙时，除了安全策略以外，还要确定防火墙类型和拓扑结构。一般来说，防火墙被设置在可信赖的内部网络和不可信赖的外部网络之间。 　　防火墙相当于一个控流器，可用来监视或拒绝应用层的通信业务，防火墙也可以在网络层和传输层运行，在这种情况下，防火墙检查进入和离去的报文分组的IP和TCP头部，根据预先设计的报文分组过滤规则来拒绝或允许报文分组通过。 　　防火墙是用来实现一个组织机构的网络安全措施的主要设备。在许多情况下需要采用验证安全和增强私有性技术来加强网络的安全或实现网络方面的安全措施。 　　三、Linux防火墙的安全机制 　　1、包过滤技术 Linux内核可以完成对IP包的IP地址过滤和协议端口过滤，系统可以对每一个进出局域网的IP包进行检查，并可以进行计帐，获取IP源地址、目标地址和所用的TCP端口，根据事先设定的过滤逻辑规则，拒绝或允许IP包通过，从而实现对进入局域网的IP包实现控制。 　　2、代理服务器技术 代理服务器防火墙是客户访问Internet远程服务器的中间者，对客户而言是服务器，对远程服务器而言是客户，内部客户程序先向代理服务器发出连接请求，通过防止数据包在用户网络和Internet间直接传送，有效地屏蔽了内部网络，增强了安全性。用Linux构建代理服务器除了Linux内核及基本网络套装软件还需要额外的软件包，可以选择的是：SOCKS和TIS防火墙工具箱。 　　SOCKS代理服务器的主要部件是Socket池，内部网络客户程序先向代理服务器发出Socket连接请求，代理服务器根据不同的协议分配一个或多个Socket与客户程序连接；客户程序将Internet请求报文发送到代理服务器，代理服务器分配Socket与远程网络服务器连接并转发客户机的请求，当目的地址的计算机响应后，代理服务器又将该响应返回给客户机。 　　TIS系统中有一套程序用来为用户提供防火墙功能程序与SOCKS基本相同，采用的策略不同，SOCKS是用一个程序来处理所有的Internet事务，TIS则为不同的应用开发不同的程序，具有比SOCKS更好的安全性。 　　3、IP伪装 IP伪装是Linux核心提供的一个用于防火墙解决方案的附加功能，IP伪装无需在服务器运行任何代理服务程序，而是采用核心重写由内部网的机器转发的IP包的包头，把包的源地址（不合法IP）改为合法的IP地址，再发送出去，接收时再去掉合法IP，转发包给内部网主机。 　　包过滤防火墙实现相对容易，管理、维护简单；利用Linux核心提供的IP伪装功能可以增强安全性；代理服务器防火墙利用额外的软件支持，可以提供较为强大的安全功能，但实现相对困难，管理、维护起来也相对麻烦。 　　四、Linux防火墙系统的一种实现方案 　　1、防火墙实现所用工具策略 这里提出的防火墙方案主要是利用IP包过滤来实现，只需Linux内核以及基本网络套装软件，例如inetd，telnet和telnetd，ftp和ftpd等。使用Linux自带的防火墙软件ipchain